Accès des fournisseurs au SI : conseils pratiques

Le principal problème lié au respect de la politique et au maintien de la sécurité dans deux sociétés est que, souvent, les identifiants utilisés par le fournisseur ne sont pas sous le contrôle direct de l’entreprise

Deux réseaux différents avec deux répertoires d’utilisateurs différents et, peut-être, deux politiques de sécurité différentes, rendent la mise en conformité à la sécurité difficile. Même avec un moyen de s’assurer que les meilleures pratiques de sécurité étaient respectées, on ne disposerait toujours d’aucune visibilité sur les activités effectuées sur les équipements connectés à un réseau.

Selon William Culbert, directeur Europe du Sud de BeyondTrust, treize bonnes pratiques sont à prendre en compte :

– Comprendre la valeur des données pour l’organisation avant d’autoriser un tiers à y accéder.

– Créer des attentes de sécurité pour les fournisseurs, décrivant/définissant comment ils doivent sécuriser les données

– Établir un plan de réponse aux incidents.

– Ne partager avec un fournisseur que le minimum d’informations nécessaires pour qu’il atteigne les objectifs.

– Effectuer une surveillance continue de la sécurité des fournisseurs et sous-traitants tiers.

– Ne pas être génériques ou laxistes dans ses attentes en termes de sécurité.

– Ne pas permettre à des tiers d’accéder aux données sans procéder à des évaluations appropriées.

– Ne pas laisser tout le monde dans l’organisation tierce – ou sa propre organisation – avoir accès à ses données.

– Ne pas autoriser les utilisateurs tiers à accéder aux données à l’aide d’appareils non approuvés.

– Ne pas communiquer aux fournisseurs plus d’informations sur les produits propriétaires ou les données qu’ils n’en ont besoin.

– Établir la propriété et l’adhésion : s’assurer que les fournisseurs et partenaires tiers ont un intérêt à sécuriser l’organisation.

– Évaluer les risques : analyser le risque potentiel que les partenaires représentent pour l’organisation.

– Audit en continu et surveillance des activités des tiers.