Les PME suisses externalisent de plus en plus leur informatique aupr\u00e8s de prestataires externes. Les Managed Service Providers (MSP), les soci\u00e9t\u00e9s de services informatiques et les consultants cloud prennent en charge la gestion des r\u00e9seaux, serveurs et terminaux. C’est souvent judicieux, mais cela cr\u00e9e un risque dont on parle trop peu : votre prestataire informatique dispose d’un acc\u00e8s \u00e9tendu \u00e0 vos syst\u00e8mes. Et s’il est compromis, vous l’\u00eates aussi.<\/p>\n
Un sc\u00e9nario typique en PME : le prestataire informatique dispose de droits d’administrateur sur le contr\u00f4leur de domaine, d’un acc\u00e8s VPN au r\u00e9seau interne, d’un acc\u00e8s \u00e0 la configuration du pare-feu et des mots de passe root de tous les serveurs. Il g\u00e8re les sauvegardes, maintient les mises \u00e0 jour logicielles et s’occupe des nouveaux collaborateurs.<\/p>\n
C’est une relation de confiance consid\u00e9rable. Et dans la plupart des cas, il n’existe aucun contr\u00f4le ind\u00e9pendant<\/strong> pour v\u00e9rifier si le prestataire lui-m\u00eame applique des pratiques s\u00e9curis\u00e9es. Son propre r\u00e9seau est-il prot\u00e9g\u00e9 ? Utilise-t-il l’authentification multi-facteurs ? Ses outils d’acc\u00e8s \u00e0 distance sont-ils \u00e0 jour ? Les identifiants de ses clients sont-ils stock\u00e9s de mani\u00e8re s\u00e9curis\u00e9e ?<\/p>\n La r\u00e9ponse honn\u00eate : la plupart des PME ne le savent pas. Et la plupart ne posent pas la question.<\/p>\n Les attaques par la cha\u00eene d’approvisionnement (supply chain attacks), c’est-\u00e0-dire les attaques via les fournisseurs et prestataires de services, font partie des cat\u00e9gories de menaces qui croissent le plus rapidement. La logique est d’une simplicit\u00e9 redoutable : pourquoi un attaquant s’en prendrait-il \u00e0 100 PME individuellement alors qu’il peut acc\u00e9der \u00e0 toutes les 100 via un seul prestataire informatique ?<\/p>\n Le pass\u00e9 fournit des exemples \u00e9loquents :<\/p>\n Ces incidents ne sont pas des cas isol\u00e9s, mais un sch\u00e9ma r\u00e9current. L’Agence europ\u00e9enne pour la cybers\u00e9curit\u00e9 (ENISA) classe les attaques par la cha\u00eene d’approvisionnement parmi les principales menaces. Et l’Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 (OFCS) met r\u00e9guli\u00e8rement en garde contre ce risque.<\/p>\n Les vecteurs d’attaque via les prestataires informatiques sont multiples :<\/p>\n Les MSP utilisent des outils comme ConnectWise, Kaseya, Datto ou TeamViewer pour g\u00e9rer les syst\u00e8mes de leurs clients. Ces outils disposent par conception d’un acc\u00e8s \u00e9tendu aux terminaux et serveurs g\u00e9r\u00e9s. Une vuln\u00e9rabilit\u00e9 dans l’outil de gestion \u00e0 distance ou des identifiants vol\u00e9s du technicien MSP ouvrent la porte \u00e0 tous les r\u00e9seaux clients simultan\u00e9ment.<\/p>\n Toutes les attaques ne reposent pas sur une vuln\u00e9rabilit\u00e9 logicielle. Probl\u00e8mes fr\u00e9quents chez les prestataires informatiques :<\/p>\n Certains prestataires exploitent des syst\u00e8mes de monitoring ou de sauvegarde partag\u00e9s. Si cette infrastructure centrale est compromise, tous les clients connect\u00e9s sont impact\u00e9s.<\/p>\n La confiance est une bonne chose, mais elle devrait reposer sur une base \u00e9clair\u00e9e. Voici des questions concr\u00e8tes \u00e0 poser \u00e0 votre prestataire informatique :<\/p>\n Si votre prestataire ne peut ou ne veut pas r\u00e9pondre \u00e0 ces questions, c’est un signal d’alarme.<\/p>\n Ind\u00e9pendamment de la comp\u00e9tence et de la fiabilit\u00e9 de votre prestataire informatique, il existe de bonnes raisons de disposer de son propre scanning de vuln\u00e9rabilit\u00e9s :<\/p>\n Visibilit\u00e9 ind\u00e9pendante :<\/strong> votre prestataire informatique a un int\u00e9r\u00eat inh\u00e9rent \u00e0 pr\u00e9senter son propre travail sous un jour favorable. Un scan de vuln\u00e9rabilit\u00e9s ind\u00e9pendant vous montre la r\u00e9alit\u00e9 objective : les syst\u00e8mes sont-ils r\u00e9ellement \u00e0 jour ? Les r\u00e8gles du pare-feu sont-elles propres ? Y a-t-il des services expos\u00e9s qui ne devraient pas l’\u00eatre ?<\/p>\n Ma\u00eetrise de son propre risque :<\/strong> la responsabilit\u00e9 de vos donn\u00e9es ne peut pas \u00eatre externalis\u00e9e. M\u00eame si le prestataire informatique g\u00e8re les syst\u00e8mes, c’est vous, en tant qu’entreprise, qui portez la responsabilit\u00e9 en cas de perte de donn\u00e9es. La nLPD (nouvelle Loi sur la Protection des Donn\u00e9es) le stipule sans ambigu\u00eft\u00e9.<\/p>\n D\u00e9tection pr\u00e9coce des probl\u00e8mes :<\/strong> des scans r\u00e9guliers d\u00e9tectent quand un correctif n’a pas \u00e9t\u00e9 install\u00e9, quand un service est mal configur\u00e9 ou quand une nouvelle vuln\u00e9rabilit\u00e9 affecte vos syst\u00e8mes. Vous pouvez r\u00e9agir de mani\u00e8re proactive au lieu d’attendre le prochain incident de s\u00e9curit\u00e9.<\/p>\n Base de n\u00e9gociation :<\/strong> avec des r\u00e9sultats de scan concrets, vous pouvez mener des discussions fond\u00e9es avec votre prestataire. \u00ab Notre scan montre que le serveur Exchange n’a pas install\u00e9 deux correctifs critiques \u00bb est un tout autre point de d\u00e9part que \u00ab Tout est s\u00e9curis\u00e9 chez nous ? \u00bb<\/p>\n Transparence de la cha\u00eene d’approvisionnement :<\/strong> un scan externe de votre propre infrastructure montre \u00e9galement si les syst\u00e8mes g\u00e9r\u00e9s par le prestataire pr\u00e9sentent des vuln\u00e9rabilit\u00e9s que celui-ci aurait d\u00fb corriger.<\/p>\n Le principe \u00ab Trust, but verify \u00bb (faire confiance, mais v\u00e9rifier) est issu de la diplomatie, mais il est hautement pertinent dans le domaine de la s\u00e9curit\u00e9 informatique. Il ne signifie pas que vous devez vous m\u00e9fier de votre prestataire informatique. Il signifie qu’en tant qu’entreprise, vous ne pouvez pas d\u00e9l\u00e9guer enti\u00e8rement la responsabilit\u00e9 de votre propre s\u00e9curit\u00e9.<\/p>\n Mesures concr\u00e8tes que chaque PME peut mettre en oeuvre :<\/p>\n ExposIQ permet aux PME suisses de r\u00e9aliser un scanning de vuln\u00e9rabilit\u00e9s simple et ind\u00e9pendant, fonctionnant en parall\u00e8le du prestataire informatique existant. La plateforme ne n\u00e9cessite aucune expertise technique : vous saisissez vos domaines et plages d’adresses IP et recevez r\u00e9guli\u00e8rement un aper\u00e7u actualis\u00e9 de votre posture de s\u00e9curit\u00e9.<\/p>\n Avec plus de 35 moteurs de scan, 64’000 CVE et un scoring des risques bas\u00e9 sur l’EPSS, vous voyez en un coup d’oeil quelles vuln\u00e9rabilit\u00e9s existent et avec quelle urgence elles doivent \u00eatre corrig\u00e9es. Les r\u00e9sultats fournissent une base objective pour le dialogue avec votre prestataire informatique, ou vous montrent qu’il fait du bon travail.<\/p>\n H\u00e9berg\u00e9 en Suisse, conforme \u00e0 la nLPD et disponible d\u00e8s CHF 99 par mois. Car le contr\u00f4le ind\u00e9pendant n’est pas un vote de d\u00e9fiance, mais une gestion professionnelle des risques : exposiq.ch<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Les PME suisses externalisent de plus en plus leur informatique aupr\u00e8s de prestataires externes. Les Managed Service Providers (MSP), les soci\u00e9t\u00e9s de services informatiques et les consultants cloud prennent en charge la gestion des r\u00e9seaux, serveurs et terminaux. C’est souvent judicieux, mais cela cr\u00e9e un risque dont on parle trop peu : votre prestataire informatique … Lire plus<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"rank_math_focus_keyword":"prestataire it risque s\u00e9curit\u00e9 cha\u00eene approvisionnement","rank_math_title":"Prestataires IT comme risque de s\u00e9curit\u00e9 : la s\u00e9curit\u00e9 de la cha\u00eene d'approvisionnement pour les PME","rank_math_description":"Votre prestataire IT a un acc\u00e8s admin \u00e0 vos syst\u00e8mes. S'il est compromis, vous l'\u00eates aussi. Pourquoi les PME ont besoin de leur propre scanning.","rank_math_robots":"","rank_math_canonical_url":"","rank_math_primary_category":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-1181","post","type-post","status-publish","format-standard","hentry","category-it-sicherheit","generate-columns","tablet-grid-50","mobile-grid-100","grid-parent","grid-33"],"_links":{"self":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1181","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/comments?post=1181"}],"version-history":[{"count":0,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/posts\/1181\/revisions"}],"wp:attachment":[{"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/media?parent=1181"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/categories?post=1181"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/exposiq.ch\/fr\/wp-json\/wp\/v2\/tags?post=1181"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Les attaques par la cha\u00eene d’approvisionnement se multiplient<\/h2>\n
\n
Comment les prestataires informatiques deviennent une porte d’entr\u00e9e<\/h2>\n
Outils de gestion \u00e0 distance compromis<\/h3>\n
Pratiques non s\u00e9curis\u00e9es chez le prestataire<\/h3>\n
\n
Infrastructure partag\u00e9e<\/h3>\n
Comment \u00e9valuer votre prestataire informatique<\/h2>\n
\n
Pourquoi les PME ont besoin de leur propre scanning de vuln\u00e9rabilit\u00e9s<\/h2>\n
Trust, but verify<\/h2>\n
\n
ExposIQ comme contr\u00f4le ind\u00e9pendant<\/h2>\n