Après trois mois d’application du RGPD, les entreprises connaissent les risques encourus en cas de fuites de données liées à des fournisseurs tiers. Mais peu ont anticipé cet aspect-là de leurs opérations selon une étude de Bomgar.
Le RGPD est entré en vigueur depuis plus de trois mois et “si un nombre important d’entreprises a mis en place des mesures pour identifier et sécuriser ses données et accès en interne et pour former ses employés, elles ne doivent pas oublier qu’elles font partie d’un écosystème : qu’en est-il de leurs fournisseurs tiers sur l’ensemble de leur supply chain ?”, s’interroge William Culbert, directeur commercial Europe du Sud chez Bomgar.
75 % des entreprises françaises menacées par le manque de visibilité
Selon le rapport 2018 sur les menaces liées aux accès privilégiés du spécialiste de la gestion des identités et des accès, 75 % des entreprises constatent l’augmentation du nombre de leurs fournisseurs tiers ayant accès à leurs réseaux au cours de l’année 2017 (72 % des entreprises françaises ont au moins 20 % de fournisseurs en plus par rapport à 2016), mais 33 % consacrent trop peu de temps à la surveillance des accès de leurs fournisseurs tiers. 75 % des entreprises françaises se disent menacées par le manque de visibilité et de traçabilité sur les actions menées par leurs fournisseurs, alors que seulement 25 % d’entre elles sont équipées de solutions leur permettant de savoir quel prestataire s’est connecté, quand et pourquoi.
75 % ne pourraient pas identifier de quel fournisseur tiers viendrait une faille
D’ailleurs, 66 % des entreprises reconnaissent qu’elles ont peut-être été victimes d’une faille causée par l’accès de fournisseurs tiers au cours des 12 derniers mois et 62 % du fait des identifiants de leurs salariés. 75 % des entreprises françaises ne pourraient pas identifier de quel prestataire viendrait une faille et 82 % ne savent pas à qui leurs prestataires communiquent leurs identifiants de connexion.
“Fournisseurs cloud, agences de communication, logiciels et applications SaaS de CRM, RH et gestion des achats : il faut vérifier que tous ont bien mis en place les règles nécessaires et les mesures de sécurité qui s’imposent pour garantir la conformité aux règles chaque fois qu’ils stockent ou traitent les données“, conseille William Culbert. Le responsable évoque la mise en place de solutions permettant de contrôler, surveiller et administrer l’accès aux systèmes et aux données sensibles par les tiers, alors 77 % des entreprises françaises ne contrôlent pas les applications auxquels les prestataires ont accès ou encore que 74 % ne sont pas sures de pouvoir interdire les accès des prestataires.
Les 4 conseils de Bomgar
- Appliquer le principe du moindre privilège : n’accorder l’accès aux données qu’à ceux qui en ont besoin et quand ils en ont besoin, avec des contrôles d’accès granulaires pour éviter l’approche “tout ou rien”.
- Conserver un historique des sessions : enregistrer toutes les sessions d’accès et l’activité de chaque session. Cela permet de savoir qui a accédé à quel système et pour y faire quoi, ce qui permettra de prendre les mesures adéquates si nécessaire
- Supprimer tous les chemins d’accès point à point : bloquer tous les chemins d’accès point à point aux systèmes, sans connexion descendante, éliminant ainsi la nécessité d’utiliser des VPN
- Eliminer toute gestion manuelle des mots de passe et des contrôles d’accès : automatiser l’injection automatique d’identifiants et instaurer l’accès sécurisé aux systèmes en un clic pour les prestataires
Lire aussi...
L'article de la semaine
