Contrôle 15 — Gestion des prestataires de services
Gérer les risques de cybersécurité liés aux fournisseurs et prestataires tiers ayant accès à vos systèmes ou données. La chaîne d'approvisionnement est un vecteur d'attaque majeur.
Pourquoi ce contrôle est critique ?
Les prestataires de services (comptable, fournisseur logiciel, prestataire IT, MSP) ont souvent un accès privilégié à vos systèmes. Si l'un d'eux est compromis, l'attaquant peut rebondir vers votre organisation. La gestion des accès prestataires et les clauses contractuelles de sécurité sont essentielles.
Procédures & outils recommandés
Inventorier tous les prestataires avec accès à vos systèmes ou données. Pour chacun, documenter le niveau d'accès et les données auxquelles ils ont accès. Inclure des clauses de sécurité dans les contrats. Révoquer les accès à la fin du contrat.
- SecurityScorecard (freemium) — évaluation de la posture sécurité des prestataires
- BitSight — scoring risque tiers
- Vanta / Drata — gestion automatisée des prestataires
- Clauses contractuelles — templates CISO/OWASP
- Questionnaire SIG Lite (gratuit) — évaluation standardisée des fournisseurs
Tableau des Safeguards
| # | Action (Safeguard) | IG | Classe |
|---|---|---|---|
| 15.1 | Établir et tenir à jour un inventaire de tous les prestataires tiers ayant accès aux données ou systèmes. | IG1 | Données |
| 15.2 | Établir et maintenir un programme de gestion des risques liés aux prestataires. | IG2 | N/A |
| 15.3 | Classifier les prestataires selon leur niveau de criticité et d'accès. | IG2 | Données |
| 15.4 | S'assurer que les contrats incluent des exigences de sécurité, de notification d'incident et d'audit. | IG2 | N/A |
| 15.5 | Évaluer la posture de sécurité des prestataires avant de leur donner accès (questionnaire ou score). | IG2 | N/A |
| 15.6 | Surveiller les accès des prestataires et mettre fin aux accès inutilisés ou à la fin du contrat. | IG2 | Utilisateurs |
| 15.7 | Effectuer des évaluations de sécurité annuelles des prestataires critiques. | IG3 | N/A |
Application pour les PME québécoises
Action IG1 immédiate : lister tous les prestataires avec accès à vos systèmes ou données (comptable, IT externe, fournisseur logiciel). Pour chacun, documenter l'accès fourni et s'assurer qu'il est révoqué dès la fin du contrat. Inclure une clause de notification d'incident dans les nouveaux contrats.
Quiz de validation — 5 questions
1. Qu'est-ce qu'une attaque via la chaîne d'approvisionnement ?
2. Combien de Safeguards IG1 contient le Contrôle 15 ?
3. Que doit contenir le contrat avec un prestataire selon le Safeguard 15.4 ?
4. Quel lien entre le Contrôle 15 et la Loi 25 ?
5. Quel incident de supply chain majeur a compromis des milliers d'organisations via un logiciel de gestion IT ?
Voir aussi