Connaître vos partenaires

Les risques

liés à des tiers

Le moment est venu de doubler votre niveau de sécurité. Cette année, des traits foncés devraient être tracés. Les organisations évalueront d’une nouvelle façon les cyberrisques découlant de leurs chaînes d’approvisionnement et avec un niveau d’inquiétude accru.

La signature des contrats passera invariablement par le respect de certaines normes. Le raisonnement est simple. Il suffit d’une porte dérobée non défendue pour compromettre la viabilité de l’entreprise, comme illustré récemment avec la chaîne d’approvisionnement, qui compromet l’ancien programme de partage de fichiers d’Accellion et le logiciel de gestion de réseau SolarWinds Orion.

Organisations à but lucratif, organismes sans but lucratif, milieu universitaire, gouvernement – toutes les organisations sont liées les unes aux autres, et la COVID-19 a forcé une plus grande dépendance envers des tiers alors que les organisations se précipitaient pour répondre aux demandes numériques. La marche vers les unités centrales de traitement (UC) et les puces informatiques hybrides avec des composantes logicielles entraîne aussi de nouveaux risques. Compromettez une version d’une puce et un pirate informatique pourrait aussitôt avoir accès au système de milliers d’organisations. Même en sachant tout cela, les organisations peuvent avoir de la difficulté à évaluer concrètement la vulnérabilité et la sécurité de leurs chaînes d’approvisionnement. L’approche statique, qui consiste à se fier à des renseignements non vérifiés et non testés tirés des réponses d’un questionnaire de 500 questions sur l’évaluation des risques, pourrait ne plus être suffisante.

Alors quelles mesures votre organisation peut-elle prendre? La révision des codes sources par des tiers peut être une option, mais elle suscitera probablement de la résistance et dépassera les capacités de nombreuses personnes. Les évaluations et les certifications par des tiers neutres de confiance peuvent devenir des pratiques exemplaires. Une bonne façon de commencer consiste à effectuer une évaluation complète des contrôles, combinée à la quantification des risques et à la planification de l’assurance. Mais la gestion des risques liés à des tiers exige vraiment un modèle d’assurance continue, avec une cyberanalyse et une recherche continues des menaces, par exemple au moyen d’un essai de piratage électronique. Les organisations doivent aussi se préparer à intervenir et sont chargées de choisir le bon fournisseur d’intervention en cas d’incident. La qualité varie, et les assureurs font preuve de moins de souplesse à l’égard des fournisseurs qui ne figurent pas sur une liste ou ne font pas l’objet d’une entente préalable.


Les organisations ne sont pas prêtes à évaluer et à gérer les risques liés à des tiers.

Explorez les principaux risques liés aux chaînes d’approvisionnement, reliez-les aux principaux contrôles de cybersécurité et déterminez les mesures que votre organisation peut prendre pour combler ses lacunes en matière de cybersécurité.


Pour en savoir plus, cliquez sur les domaines de sécurité

*Le cyberquotient (CyQu) d’Aon est une évaluation complète des cyberrisques permettant d’évaluer le cyberrisque dans neuf domaines critiques, répartis en 35 points de contrôle essentiels.

3 | Mettre l’accent sur les contrôles