Les PME, le maillon le plus faible de la cybersécurité

En matière de cybersécurité, ce sont les petites entreprises qui constituent le maillon le plus faible et que les attaquants cherchent à faire tomber en priorité pour atteindre des cibles plus importantes. Face à ce phénomène, certaines entreprises font appel à des sociétés de rating pour estimer le niveau de sécurité de leurs fournisseurs et éventuellement sélectionner ceux-ci en fonction de leur note dans les appels d’offres. Extrêmement coûteuse, une telle démarche reste néanmoins réservée à quelques grandes entreprises internationales.

Une étude menée par la société spécialisée en cybersécurité BlueVoyant montre que parmi les 1 500 entreprises interrogées, 77 % des CISO et DSI pointent un manque total de visibilité sur la sécurité de leurs fournisseurs. Dans le même temps, 82 % d’entre eux ont eu à déplorer au moins une violation de données au cours des 12 derniers mois. Ce manque de contrôle sur la sécurité des tierces parties s’explique car les ressources cyber des entreprises ont bien évidemment pour priorité de sécuriser leur propre système d’information.

Certaines entreprises font parvenir un questionnaire de sécurité à leurs partenaires afin d’évaluer leurs pratiques, mais le nombre de fournisseurs d’une entreprise, de l’ordre de 1 000 partenaires en moyenne, bride la capacité de l’entreprise à les contrôler. Les cybermenaces et les systèmes de protection évoluent en permanence et même les systèmes qui peuvent apparaître comme les plus matures, et notamment l’EDI (Echange de Données Informatisées), ne sont pas toujours les plus sûrs.

L’EDI, une technologie sûre, mais pas à l’abri des attaquants

Par conception, les flux EDI sont sécurisés : le protocole assure l’intégrité ainsi que la traçabilité des échanges. Les données elles-mêmes sont chiffrées, ce qui garantit leur confidentialité et leur intégrité. Le scénario d’une désorganisation de l’activité suite à l’envoi de données falsifiées est à écarter, mais les flux EDI peuvent potentiellement être exploités par les pirates pour s’infiltrer dans le système d’information d’une entreprise ou de son prestataire EDI, ou encore pour détourner des données de manière indirecte.

Depuis les années 2010, les flux réseaux de l’EDI initialement portés par le réseau spécialisé X25 ont fait place à l’IP et aux connexions Internet. De même, l’usage de l’EDI s’est élargi notamment auprès de PME, grâce au développement des solutions de type Web-EDI, accessibles à tous. N’importe quelle entreprise peut ainsi communiquer des données EDI via un simple navigateur Web et cette démocratisation accroît notablement le risque de piratage informatique.

L’écosystème, une notion trop souvent sous-estimée par les entreprises

Dans le cas d’un fournisseur qui serait invité à récupérer des listes d’adresses en vue de livraisons à effectuer, son ordinateur interroge celui de son client via un flux qui relie les plateformes grâce à des droits d’accès. En attaquant le fournisseur, le cyber attaquant ouvre alors une brèche vers l’entreprise cliente.

S’il convient au fournisseur de protéger ses clients, il appartient également à l’entreprise cliente de nuancer la confiance qu’elle lui accorde. À tout point de vue, car les tentatives d’intrusion sont polymorphes : si les usurpations d’identité sont les cas les plus fréquents, les entreprises doivent de façon générale limiter le flux de données sensibles communiquées au sein de leur écosystème.

Le support de tous les formats et protocoles EDI du marché est le premier critère de choix d’une solution EDI. La plateforme doit supporter EANCOM, EDIFACT, XML, UBL, HL7, JSON, PDF ou X12, mais aussi offrir des interfaces avec les ERP et progiciels métiers de type SAP, Microsoft, Oracle ou Sage. Enfin, le prestataire EDI doit bien évidemment disposer de capacités d’interopérabilité vers tous les pays avec qui devra échanger l’entreprise. Mais aujourd’hui il faut aussi choisir son prestataire EDI en fonction de sa maturité et de ses investissements en matière de cybersécurité.

Le rôle du prestataire EDI a évolué ; il est devenu un acteur clé pour protéger les entreprises de ces attaques et l’entreprise elle-même doit s’assurer du sérieux des protections mises en place par son prestataire EDI avant de se connecter à son service.

Les certifications et normes sont un moyen de s’assurer du sérieux de ses processus. Une certification ISO 27001 apparaît ainsi comme un critère de choix essentiel dans la sélection d’un prestataire EDI. C’est à lui de s’assurer que le flux de données n’est pas l’objet d’une attaque de type « Man in the Middle », c’est aussi lui qui stocke les données échangées entre les partenaires EDI. Ce stockage doit donc être nécessairement chiffré afin de s’assurer que, même si un attaquant parvient à percer les défenses mises en place, il ne pourra exploiter la donnée exposée à son attaque. Le chiffrement asymétrique est la solution la plus sûre pour protéger ses données, mais certains acteurs se tournent même aujourd’hui vers la technologie Blockchain pour accroître encore le niveau de sécurité de leur EDI.