Points clés
- Les accès accordés aux fournisseurs et sous-traitants constituent une surface d'attaque permanente que la plupart des organisations sous-estiment.
- Ces accès — VPN, RDP, outils de prise en main à distance, portails partenaires — sont souvent configurés pour la commodité opérationnelle plutôt que pour la sécurité.
- Une étude Forrester (2023) indique que 74 % des organisations accordent à leurs prestataires plus d'accès que nécessaire pour leurs interventions.
- Les accès prestataires sont impliqués dans 51 % des violations attribuées à des tiers selon CrowdStrike Global Threat Report 2023.
- DORA impose des exigences contractuelles précises sur les droits d'accès accordés aux prestataires ICT critiques, incluant l'audit de ces accès.
Les accès fournisseurs sont une catégorie de risque structurelle dans toute organisation qui externalise des fonctions IT ou qui fait appel à des prestataires de maintenance. Ces accès, accordés pour des raisons légitimes — support, maintenance préventive, développement — peuvent devenir des portes d'entrée permanentes pour des attaquants qui compromettent d'abord le prestataire.
Le problème n'est pas l'existence de ces accès, qui sont souvent nécessaires à la relation commerciale. Le problème est la manière dont ils sont gérés : accordés une fois, rarement révisés, souvent trop larges pour les besoins réels, et insuffisamment surveillés. Cette accumulation de lacunes transforme des accès légitimes en vulnérabilités structurelles.
Les types d'accès fournisseurs à risque
Plusieurs catégories d'accès fournisseurs présentent des risques spécifiques. Les VPN permanents accordés aux prestataires de maintenance sont les plus risqués : ils offrent une connexion continue au réseau interne, souvent avec des droits excessifs, sans surveillance en temps réel. Les outils de prise en main à distance (TeamViewer, AnyDesk, Citrix) maintenus en permanence sont un autre risque majeur : l'incident Oldsmar Water Treatment en 2021 en est l'exemple le plus cité. Les comptes de service partagés entre plusieurs techniciens d'un même prestataire rendent l'imputabilité impossible et empêchent toute détection comportementale.
Les portails partenaires, enfin, peuvent donner accès à des données clients sensibles avec des contrôles d'authentification souvent moins rigoureux que sur les systèmes internes.
Les bonnes pratiques de gestion des accès fournisseurs
La gestion sécurisée des accès fournisseurs repose sur quatre principes. Le premier est le just-in-time access : les accès sont activés uniquement pendant les fenêtres d'intervention, puis automatiquement révoqués. Le deuxième est le least privilege : les droits accordés sont limités strictement aux systèmes et actions nécessaires à l'intervention. Le troisième est la surveillance et l'enregistrement : toutes les sessions d'accès prestataire sont journalisées et idéalement enregistrées (session recording). Le quatrième est la revue régulière : la liste des accès prestataires actifs est révisée au minimum trimestriellement pour identifier et révoquer les accès obsolètes.
Les solutions PAM (Privileged Access Management) spécialisées dans la gestion des accès tiers — CyberArk Vendor PAM, BeyondTrust Vendor Privileged Access, Delinea Privilege Manager — automatisent l'application de ces principes.
La segmentation réseau comme protection complémentaire
La segmentation réseau est la mesure de protection la plus efficace contre la propagation latérale depuis un accès prestataire compromis. En limitant l'accès du prestataire aux seuls systèmes nécessaires, via des segments réseau dédiés et des règles de firewall strictes, l'organisation limite les dégâts en cas de compromission de l'accès prestataire. NIST SP 800-77 et les référentiels PCI-DSS définissent les exigences de segmentation réseau pour les environnements ayant des accès tiers.
L'accès réseau accordé à Fazio Mechanical pour la gestion de la climatisation des magasins Target était connecté au même réseau que les systèmes de paiement, sans segmentation. Les attaquants ont utilisé les credentials de Fazio pour se déplacer latéralement depuis le réseau de gestion des installations vers le réseau de caisse, y déposer un maliciel de vol de données bancaires et exfiltrer les informations de 40 millions de cartes de paiement. La segmentation réseau aurait limité l'accès de Fazio aux seuls systèmes de gestion HVAC.
LockBit 2.0 a revendiqué avoir volé 6 TB de données d'Accenture, l'un des plus grands prestataires IT mondiaux, avec une demande de rançon de 50 millions de dollars. L'attaque a suscité des inquiétudes chez les milliers de clients d'Accenture qui lui accordaient des accès à leurs systèmes. Bien qu'Accenture ait minimisé l'impact, l'incident a relancé le débat sur la nécessité pour les organisations d'auditer les pratiques de sécurité de leurs grands prestataires IT et de surveiller les accès qu'ils leur accordent.
Singapore Airlines a subi une violation de données affectant 580 000 membres de son programme de fidélité via une compromission d'un système tiers de gestion des données de fidélité (SITA, prestataire aéronautique). Les données exposées incluaient des informations d'abonnement et des codes de membres. L'incident a mis en lumière le risque des accès accordés aux prestataires de gestion de données clients, notamment lorsque plusieurs compagnies aériennes partagent le même prestataire.