Les entreprises, organisations et structures publiques sont aujourd’hui toutes confrontées à la cybercriminalité. Dans ce contexte, les cyber attaques sont responsables de nombreux problèmes comme une perte de réputation, de chiffre d'affaires, une rupture d’activité, etc. L’industrie du e-commerce ne fait pas exception. En effet, la très forte montée en puissance du e-commerce (notamment en B2B) est désormais une tendance durable qui conduit les professionnels à positionner la sécurisation de leurs plateformes comme une donnée stratégique. De plus, il y a encore peu de temps, peu de transactions B2B étaient réalisées par rapport au B2C. De fait, le e-commerce B2B était encore relativement épargné par les cyberattaques. Ce n'est plus le cas désormais au regard des forts volumes de transactions réalisés à l’échelle mondiale. Il est donc stratégique de positionner la sécurité au centre de son projet.
Bien d’autres sujets sont possibles pour élever le niveau de cybersécurité des sites e-commerce B2B. Une chose est sûre, la cybersécurité est bien plus qu’un élément technique, c’est bien une priorité stratégique qui se positionne au centre de la qualité de l’expérience délivrée aux acheteurs.
A propos de l'auteur : Laurent Desprez est vice president et general Manager pour l'Europe chez Oro Inc .
Les prestataires de services financiers jouent un rôle clé dans la lutte contre la prolifération de l’argent sale dans le système financier mondial. Ainsi, il est impératif pour tous les prestataires de services financiers de comprendre ce qu’est le KYC dans le secteur bancaire.
Lorsque les banques ou les institutions financières ne respectent pas leurs obligations de connaissance client, elles s’exposent à de lourdes amendes et pénalités. En 2020, environ 20 milliards d’euros d’amendes ont frappés les banques et institutions financières pour leurs manquements en matière de KYC. Le maintien d’un respect strict de la conformité KYC est nécessaire, non seulement pour éviter d’énormes pénalités financières, mais aussi pour éviter les dommages coûteux à la réputation associés aux scandales de blanchiment d’argent.
Les procédures KYC des banques visent à trier les clients en fonction de leur risque relatif pour les besoins des services bancaires et financiers. Les documents KYC fournissent aux banques les preuves nécessaires à la vérification de l’identité et à l’évaluation du niveau de risque du client. La complexité des documents requis augmente pour toute banque ou institution financière souhaitant opérer à l’échelle mondiale. Chaque pays, et chaque juridiction au sein d’un pays ont des exigences différentes en matière de documents, et également des langues différentes. En réalité, cela revient à examiner des milliers de documents dans des centaines de langues, une tâche qui dépasse largement les capacités d’une équipe KYC humaine. Pour les institutions financières qui souhaitent se développer à l’échelle mondiale, une solution KYC basée sur l’IA, telle que la signature électronique qualifiée reposant sur l’identification vidéo, est devenue le moyen le plus simple et le plus rentable de maintenir la conformité.
L’année dernière, quatre entreprises britanniques sur dix ont annulé leur relation avec leurs fournisseurs financiers en raison de la lourdeur et de la longueur des procédures de diligence pratiquées. En exploitant stratégiquement la technologie KYC, les banques et les prestataires de services financiers peuvent automatiser les aspects les plus coûteux en matière de diligence et se concentrer sur l’amélioration de l’expérience client.
Aujourd’hui, tenter d’atteindre la conformité KYC pour les banques en interne, tout en développant son propre produit dans un domaine de plus en plus concurrentiel, est devenu une point clé. La capacité à maintenir une excellente expérience client peut faire la différence entre gagner ou perdre de précieux clients. L’exploitation des mesures avancées de KYC, qui utilisent une procédure d’authentification en deux étapes devient la norme du secteur. Avec l’essor des solutions alimentées par l’IA et l’automatisation du KYC pour les banques, le secteur s’est orienté vers l’externalisation de ces procédures vers des fournisseurs tiers pour les accompagner dans leurs défis à venir.
A propos de l'auteur : Cyril Drianne est country manager France chez Electronic IDentification.
Ces dernières années, l’évolution de l’environnement de travail a connu une très forte accélération, en particulier après la pandémie qui a obligé les entreprises à prendre de nouvelles dispositions pour que leurs équipes puissent collaborer à distance. Dans ce contexte, les DSI ont repensé en profondeur leur mode de gestion de parcs pour prendre en compte les nouveaux usages liés au télétravail et à la mobilité. Deux éléments sont désormais fondamentaux : le pilotage des postes et devices utilisés et la maîtrise des éléments installés sur le parc.
Lors de l’arrivée de nouveaux collaborateurs par exemple, ces derniers pourront être équipés comme s’ils étaient dans les locaux de l’entreprise. Il est alors possible d’avoir une vue d’ensemble de son parc dans son intégralité et maîtriser sa gestion à tous les niveaux (technique, logistique, financier, conformité…).
Il est primordial de maîtriser l’ensemble de son parc matériel. En cas de vol d’un PC de l’entreprise au domicile du salarié par exemple, il sera plus facile d’effacer les données de cet appareil à distance pour empêcher le vol des données.
Pour cela, les DSI doivent administrer ces points à distance sur tout le parc et de manière industrielle. Il faut sensibiliser correctement les collaborateurs à ces points incontournables mais également pouvoir réagir à distance en cas de problèmes : désactiver des accès, limiter la consultation de ressources ou de données, signaler un incident de sécurité…
Maîtriser son parc est donc un prérequis incontournable pour les équipes informatiques, dont le rôle stratégique est de permettre à l’entreprise d’évoluer et d’intégrer les nouvelles habitudes de travail. Il est fondamental de pouvoir visualiser et piloter l’ensemble des processus liés à la gestion de son parc dans un environnement de travail toujours plus ouvert, tourné vers la mobilité et le télétravail. La pandémie n’aura fait qu’accélérer cette prise de conscience et positionner ce sujet comme prioritaire pour toutes les organisations.
A propos de l'auteur : Benjamin Dupont est Responsable équipe Projet et Intégration chez Cegedim Outsourcing.
L'ANSSI a récemment publié le bulletin CERTFR-2022-ACT-008 qui présente les 10 vulnérabilités les plus critiques de 2021. Bien que les techniques de développement logiciel et les bonnes pratiques aient évolué en termes de sécurité, il reste impossible de garantir l'absence de vulnérabilités. Leur correction fait partie intégrante du cycle de vie des solutions.
En 2021, de nombreux événements de sécurité ont exploité des vulnérabilités bien connues et certaines souvent anciennes.
Ces solutions doivent être mises à jour très rapidement et les mécanismes d'authentification et de transport doivent être particulièrement robustes (MFA, chiffrement, historisation). Ces opérations sont sensibles et doivent être correctement réalisées pour limiter les risques d'impact sur la production.
Par ailleurs, face à l’exposition aux cybermenaces, le réflexe de beaucoup d’organisations est d’accroitre le nombre d’outils de sécurité. Une étude récente a montré que ceux-ci ont augmenté de près de 20% depuis 2019. Le mieux étant souvent l’ennemi du bien, cette approche provoque l’effet contraire de celui escompté. Car au-delà de la fuite en avant financière, l’empilement des outils augmente la complexité.
Et finalement, ces outils contribuent-ils vraiment à une posture de sécurité efficace et pérenne ? Pour preuve, les marqueurs précurseurs d’une attaque sont présents au sein du Système d’Information des semaines voire des mois avant la concrétisation de leurs actions.
Pendant cette période, les équipes IT disposent de nombreuses possibilités de détecter, limiter, voire juguler l’attaque en identifiant les opérations en cours de réalisation :
Pourtant dans la majorité des cas, ces signaux échappent aux contrôles de sécurité en place. Alors, plutôt que de tenter d’ajouter en permanence de nouvelles fonctions de défense, il est plus utile de se concentrer sur l’utilisation efficace de solutions simples. Car peu importe comment les attaquants ont pénétré le Système d’Information. Leur agilité leur permettra toujours de trouver le moyen d’y parvenir. Ce qui est important c’est de contrer ce qu’ils sont venus y faire. Et sur ce point, les attaquants ont toujours les mêmes objectifs : hameçonnage, vol de mots de passe, analyse des vulnérabilités.
L’empilement des solutions de sécurité apporte donc plus de complexité que d’efficacité dans la cyberdéfense des organisations. Il est plus utile de capitaliser sur des solutions simples et bien maîtrisées par les équipes IT. Cette approche basée sur la simplicité et l’efficacité de la sécurité est l’un des piliers du modèle SASE.
Dans ce modèle, les fonctions de sécurité essentielles contre les intrusions et les logiciels malveillants :
Les bénéfices sont alors mesurables à différents niveaux :
- Réduction de la surface d'attaque du Système d'Information
- Protection temps réel et 0-day contre les intrusions et les logiciels malveillants
- Élimination de la charge et des risques associés aux mises à jour de sécurité
- Contrôle des accès aux applications internes et Cloud réalisés par les utilisateurs sur site ou en situation de mobilité
- Historisation de tous les échanges
En conclusion, la réduction du risque d’exposition aux cyberattaques repose sur des solutions simples à déployer et à opérer. Le modèle SASE constitue véritablement aujourd’hui le socle pérenne de la performance et de la sécurité IT des entreprises. Plus tôt elles amorceront son adoption, plus vite elles pourront répondre efficacement aux enjeux digitaux de leurs métiers et aux nouveaux modes de production de leurs collaborateurs.
A propos de l'auteur : Jérôme Beaufils est président de Sasety.
L'un des sujets permettant d'illustrer cette opportunité est celui de l'évaluation du risque lié aux tiers. Les tiers désignant en l'espèce les organismes externes avec lesquels une entreprise est en relation pour maintenir son activité (fournisseurs, sous-traitants, clients, partenaires...). Ces tiers peuvent parfois bénéficier d'un accès privilégié aux informations et systèmes de l'organisation, un accès certes proportionné au périmètre de leur mission mais qui fait peser des risques sur la société avec laquelle ils collaborent. Ces risques transverses font l'objet d'un examen minutieux notamment dans deux domaines : la sécurité des systèmes d'information et la lutte anticorruption. Etant donné que ces univers sont a priori très éloignés, cela peut brouiller les pistes d'actions communes. C'est pourquoi l'analyse de l'imbrication des différents travaux relatifs à la gestion des risques liés aux tiers semble ici judicieuse.
L'analyse du risque lié aux tiers : un sujet éminemment d'actualité
Que ce soit pour apprécier le niveau de sécurité informatique d'un tiers ou son niveau d'intégrité, il existe des textes de référence, méthodes normes et règlementations spécifiques à chaque situation. Parmi ceux-ci, on peut citer pour la sécurité de l'information et des systèmes associés la norme ISO 27 001, la Loi de Programmation Militaire (LPM) et les standards du NIST, ainsi que la réglementation relative à la protection des données à caractère personnel (RGPD). Côté lutte anti-corruption, la loi Sapin II est un exemple emblématique.
La norme ISO 27001 est une norme internationale portant sur la gestion de la sécurité de l'information. Publié en octobre 2005 et révisé en 2013 et 2017, ce standard définit les exigences de sécurité en matière de management des systèmes d'information pour tous types d'organisations. L'objectif est de protéger les ressources qui permettent de collecter, stocker, traiter et diffuser de l'information contre la perte, le vol ou l'altération.
La loi Sapin II quant à elle est entrée en vigueur le 1er juin 2017. Elle a pour but de renforcer la transparence relative aux activités économiques des entreprises et de lutter contre la corruption. Elle s'applique aux entreprises de plus de 500 salariés, dont le chiffre d'affaires est supérieur à 100 millions d'euros.
Le Règlement général sur la protection des données (RGPD), quant à lui, est entré en vigueur le 25 mai 2018. L'objectif principal est de renforcer la protection des données personnelles, de responsabiliser les acteurs qui traitent ces données, et d'harmoniser la réglementation au niveau européen. Le RGPD s'applique à toutes les entreprises, organismes publics et associations qui traitent les données personnelles de personnes physiques qui se trouvent sur le territoire de l'Union Européenne ou de citoyens européens.
Un point commun semble rapprocher ces normes et réglementations : les risques que font encourir les tiers doivent être examinés dès le déclenchement de la mise en conformité. En effet, les échanges inter-entreprises sont de nos jours largement portés par les systèmes d'information. La sécurité des informations qui y sont contenues et l'intégrité des acteurs ayant accès à ces données sont donc primordiales. L'écosystème d'une société ne se réduit plus désormais à ses seuls collaborateurs et à sa clientèle. Tout un réseau d'acteurs intervient sur le cycle du produit, du service ou à l'appui d'une fonction support, offrant par la même occasion de nouveaux points d'entrées pour nuire à une organisation. Le risque lié aux tiers doit dès lors être analysé avec la plus grande attention pour permettre ensuite de l'atténuer au maximum. C'est pourquoi les autorités publiques et les organismes de normalisation incitent les entreprises à être plus prudentes et à surveiller de près leurs tiers.
Une approche mutualisée de ces sujets au travers d'une méthode et d'outils peut dès lors permettre un gain d'efficacité et une meilleure visibilité de l'ensemble de ces relations.
La cartographie du système d'information : un socle commun et un prérequis à l'analyse du risque tiers
De nombreuses entreprises proposent aux organismes publics et privés un large choix de services pour accompagner la mise en conformité. Les entreprises sont ainsi poussées à multiplier les outils relatifs à chaque réglementation, bien que certaines approches de gestion du risque puissent être mutualisées.
La cartographie du système d'information (SI) est un outil indispensable dans le domaine de la sécurité informatique. Elle permet de connaître l'ensemble des éléments constitutifs du SI, d'identifier les tiers avec lesquels l'entreprise échange des informations et les flux qui sous-tendent ces échanges. Grâce à sa vision globale (métier, applicative et infrastructure), elle s'intègre dans une démarche générale de gestion des risques. Les organisations concernées par la loi Sapin II peuvent donc se baser sur les cartographies réalisées en sécurité informatique pour alimenter celles qui doivent être élaborées dans le cadre de la lutte contre la corruption. Il en va de même pour les organisations concernées par le RGPD, qui peuvent se baser sur ces cartographies pour alimenter celles qui doivent être élaborées dans le cadre de la mise conformité au RGPD. Les relations avec les tiers seront préalablement explicitées, il suffira donc de procéder à l'identification des risques de corruption susceptibles d'émerger et des risques de non-conformité au RGPD. Les risques diffèrent mais les relations avec les tiers demeurent identiques.
Une expertise nécessaire à la mise en place d'une approche mutualisée
Optimiser la démarche d'investigation
Le parallèle entre la loi Sapin II et la sécurité de l'information est présent lors de l'élaboration de la cartographie mais aussi dans l'ensemble de la démarche de gestion de la conformité. Pour suivre le niveau de conformité d'un tiers, il faut le tester, l'évaluer, lui adresser des recommandations et suivre son évolution sur les points de vigilance.
La phase d'évaluation nécessite de collecter des informations et des preuves auprès du tiers pour attester de son intégrité ou du degré de sécurité déclaré. Il est alors primordial de croiser l'information interne et externe.
Dans le domaine légal, on vérifie que le tiers dispose d'une recommandation, d'une expérience reconnue pour le service à effectuer, de schémas de rémunération licites. A cette information interne s'ajoute un questionnaire externe permettant de vérifier l'identité du bénéficiaire effectif pour éviter les détournements. Enfin, il est possible d'utiliser des outils tels que des bases de données externes permettant de recueillir des informations sur les listes de sanctions, de condamnations, les bénéficiaires effectifs, les personnes politiquement exposées.
En sécurité des systèmes d'information, le tiers, quand il n'est pas supervisé à l'aide de solution dynamique (i.e. le Security Rating d'Almond, qui permet de combiner analyse externe indépendante, remplissage de questionnaires, fourniture de preuves et monitoring continu) répond à des questionnaires de sécurité et fournit une documentation qui permet d'évaluer son niveau de maturité. Les résultats de ces évaluations servent alors à s'assurer de la liste des exigences de sécurité qui couvriront tous les risques identifiés. Elles devront être converties en clauses de sécurité jointes en annexe d'un contrat entre l'entreprise et le tiers, ce contrat devant prévoir la surveillance du risque tout au long de la relation par différents mécanismes tels que, le cas échéant, la fourniture de tableaux de bord incluant des indicateurs orientés sécurité, des comités de pilotage abordant spécifiquement la sécurité, la gestion des incidents de sécurité, des audits de sécurité, des exercices de continuité informatiques...
La démarche est sensiblement la même, si ce n'est identique, sur le sujet de la conformité à la réglementation relative à la protection des données à caractère personnel.
A ce stade, les acteurs contribuant à la mise en conformité (services conformité, juridique, cabinets de conseil etc.) ne tirent sans doute pas encore suffisamment parti des liens existants entre les disciplines, ces approches de collecte / recherche d'information sur les tiers ne se nourrissant que rarement mutuellement.
Au lieu de traiter les sujets les sujets RGPD, SSI et corruption en parallèle, il serait intéressant d'exploiter les résultats d'une investigation pour enrichir la suivante ou de mener en combinaison la recherche d'informations sur l'intégrité et la sécurité des tiers. Une approche mutualisée consisterait à s'appuyer sur les outils et process d'investigation de la SSI pour collecter les preuves, exploiter les bases de données publiques et consolider les informations sur les niveaux de risques. On pourrait ainsi constituer et partager des répertoires de preuves qui allègeraient la collecte et favoriseraient le suivi simultané de la conformité à plusieurs référentiels.
Développer des outils multifonctionnels
De nombreuses sociétés de conseil proposent des outils adaptés aux référentiels de conformité qui s'appliquent à leurs clients : pré-évaluation, procédures d'évaluation, cartographies et analyses des risques, tests automatisés, dispositifs de contrôle, audits de suivi.
Les outils pré-packagés couvrent le plus souvent les référentiels phares du domaine d'expertise de la société de services. Une telle entreprise développe par exemple une offre de services autour des normes ISO, du RGPD, des réglementations sectorielles en SSI. Un prestataire de services juridiques s'assure du respect des lois anti-corruption à l'aide de ses procédures et dispositifs de contrôle de la légalité.
La responsabilisation croissante des organisations rend nécessaire le développement d'une solution « tout en un » pour évaluer des tiers au regard de leur conformité à l'ensemble des standards. Cela permettrait d'adopter une approche pluridisciplinaire améliorant l'efficacité et la qualité de la gestion des risques liés aux tiers.
En définitive, une approche commune de gestion de la conformité pourrait être un réel gain de temps et de productivité pour les entreprises, par le biais de process, d'outils et de compétences transverses applicables à de multiples référentiels.
A propos de l'auteur : Florence Exmelin est consultante sécurité chez Almond.