L’enquête de cet acteur souligne que l’accès mal sécurisé octroyé aux fournisseurs crée un environnement idéal pour des cyberattaques.
Intitulée Vendor Vulnerability et portant sur la vulnérabilité des accès de tiers autorisés, cette nouvelle étude fait le point sur la visibilité, le contrôle et les capacités d’administration des entreprises aux Etats-Unis et en Europe, vis-à-vis des autorisations d’accès à leurs réseaux IT accordées à des prestataires externes. En complément, elle vérifie le niveau de connaissance des entreprises face aux risques potentiels de l’accès à distance à leurs systèmes, par des tiers autorisés, en termes de cyberattaques et de compromissions des données notamment. A cela s’ajoute l’examen des règles et processus que les entreprises mettent en place pour se protéger de ces menaces, ainsi que leurs prestataires externes.
Premier enseignement : 81 % des entreprises sondées reconnaissent que les cas de compromissions de données largement médiatisés, comme l’attaque de Target en 2013, les ont sensibilisées à la nécessité de renforcer les contrôles d’accès de tiers. Cela dit, 35 % pensent savoir quel est le nombre exact des fournisseurs qui ont accès à leurs systèmes IT. L’étude Vendor Vulnerability révèle que 89 tiers autorisés ont accès en moyenne au réseau d’une entreprise chaque semaine et que ce nombre est voué à progresser. 75 % des entreprises sondées ont confirmé que le nombre des fournisseurs tiers sollicités par elles-mêmes a augmenté ces deux dernières années, et 71 % ont le sentiment que cette tendance va se confirmer au cours des deux prochaines années.
Autre enseignement, 92 % des sondés déclarent avoir une totale confiance en leurs fournisseurs ou une confiance quasi totale, mais ils sont 67 % à reconnaître leur faire excessivement confiance. 34 % seulement savaient quelle était la part des ouvertures de session sur leur réseau attribuée à des fournisseurs tiers et 69 % admettent qu’ils ont manifestement ou possiblement subi une compromission de données du fait de l’accès d’un fournisseur externe au cours de l’année passée.
Enfin, les entreprises sondées n’ignorent pas les risques, au contraire elles sont en général sensibilisées aux menaces auxquelles les expose une gestion insuffisamment efficace de l’accès de fournisseurs.
Plus généralement, parmi les entreprises interrogées 56 % estiment que le niveau de menace lié aux accès de tiers autorisés n’est pas suffisamment pris au sérieux ; 22 % confirment avoir une totale confiance dans le fait que leur entreprise est parfaitement protégée contre le risque de compromissions du fait de fournisseurs tiers. 44 % adoptent une approche du « tout ou rien » vis-à-vis des accès des fournisseurs plutôt que d’attribuer des niveaux d’autorisation granulaires selon les fournisseurs. 51 % appliquent des règles aux accès de tiers, 55 % ne les ont pas revues au cours des deux dernières années. 64 % estiment que leur entreprise privilégie l’aspect économique aux garanties de sécurité quand il est question d’externalisation des services. 74 % se disent préoccupés par le risque de compromission IT via des terminaux connectés au cours de l’année à venir et 72 % estiment que les propres sous-traitants de leurs fournisseurs constituent un risque supplémentaire.
