2022 Verizon Data Breach Investigations Report : Comment répondre aux attaques croissantes des fournisseurs tiers et de la chaîne d'approvisionnement ?

Le 2022 Verizon Data Breach Investigations Report contient un véritable trésor de données analysant plus de 23 896 incidents de sécurité et 5 212 brèches pour la période comprise entre le 1er novembre 2020 et le 31 octobre 2021. Cependant, certaines tendances inquiétantes dans les données devraient alerter les équipes de gestion de la sécurité, des risques et des fournisseurs afin de mieux se préparer aux futurs incidents. Voici les principaux enseignements du rapport en matière de gestion des risques liés aux tiers.

62% des incidents d'intrusion dans les systèmes sont passés par un partenaire

Toute organisation s'appuie sur des tiers dans une certaine mesure - qu'il s'agisse de vendeurs qui fournissent des biens ou des services pour soutenir l'entreprise ou des fournisseurs qui produisent des intrants pour les produits finis. Les données de Verizon montrent que les partenaires (par exemple, les tiers, les vendeurs ou les fournisseurs) ont été à l'origine de 62 % des incidents d'intrusion dans les systèmes au cours de l'année dernière (voir la figure 36 du rapport). Si l'on considère que les partenaires n'étaient impliqués que dans 39 % des violations de données en 2008, on comprend vite l'étonnante croissance au fil du temps des tiers impliqués dans les incidents de sécurité. Pour chaque tierce partie avec laquelle vous faites des affaires, votre surface d'attaque s'étend de façon exponentielle.

Les attaques de la chaîne d'approvisionnement des logiciels (via les mises à jour logicielles) sont à l'origine d'une grande partie de la croissance des intrusions menées par des partenaires, ces types d'incidents représentant 9 % du total des incidents en 2021. Un seul fournisseur de logiciels compromis qui envoie des mises à jour à des milliers de ses clients (qui, à leur tour, peuvent travailler avec des milliers de vendeurs, de fournisseurs et d'autres tiers - c'est-à-dire des victimes secondaires) peut faire des ravages incalculables (lire : SolarWinds).

Bien que l'ensemble des données montre que les violations par des tiers ne représentent que 1 % des données de violation, Verizon note que dans cette méthode, les informations d'identification volées et les rançongiciels étaient deux des cinq principales variétés d'action. Cela signifie que les praticiens du risque tiers devraient s'assurer activement que leurs vendeurs et fournisseurs tiers ont mis en place des politiques de mot de passe et des architectures de segmentation du réseau solides - et être en mesure de valider ces pratiques de manière indépendante.

(Source : Verizon Data Breach Investigations Report, mai 2022)

L'industrie manufacturière est une cible de plus en plus importante

D'un point de vue industriel, les partenaires représentent 1 % des acteurs de la menace dans le secteur manufacturier. Si 1 % ne semble pas être un chiffre élevé, il faut considérer les dommages causés par une seule intrusion dans un système, comme l'attaque par ransomware contre Kojima industries, un fournisseur de Toyota. Bien qu'en dehors de la fenêtre de cet ensemble de données, une telle violation devrait servir à rappeler qu'un incident peut avoir des impacts étendus et durables. En fait, les données de Verizon montrent que l'industrie manufacturière dans son ensemble est une cible de plus en plus importante, les intrusions dans les systèmes connaissant une croissance exponentielle. Voir la figure 92 du rapport.

(Source : Verizon Data Breach Investigations Report, mai 2022)

Augmentation significative des ransomwares

Pour poursuivre sur le thème des ransomwares, les violations par ransomware ont augmenté de 13 % en 2020, ce qui, selon Verizon, représente une augmentation d'une année sur l'autre supérieure à celle des cinq dernières années combinées. Voir la figure 38 du rapport ci-dessous.

L'augmentation du nombre d'incidents et de violations ne devrait pas être une surprise ; il suffit de lire les gros titres pour connaître la dernière victime. L'année dernière a été marquée par d'importantes violations de ransomware de tiers, notamment PracticeMax, Kaseya et Colonial Pipeline, dont beaucoup sont des variantes du ransomware Ryuk.

(Source : Verizon Data Breach Investigations Report, mai 2022)

Sept meilleures pratiques éprouvées pour réduire les risques liés aux tiers

Avec l'augmentation du nombre de brèches et d'attaques par ransomware, les organisations qui utilisent des méthodes manuelles pour gérer les risques liés aux fournisseurs et aux vendeurs tiers devraient envisager de mettre en œuvre les meilleures pratiques suivantes pour accélérer l'identification, le triage et l'atténuation.

1. Commencez à gérer le risque lié aux tiers avant la signature du contrat en analysant les récentes violations de données et actions réglementaires, et en découvrant les relations potentiellement risquées avec des tiers - des données qui peuvent éclairer davantage vos décisions de sélection des fournisseurs.
2. Intégrez les délais de réponse aux incidents et aux violations dans les contrats des fournisseurs, et automatisez la création de rapports par rapport à des accords de niveau de service exécutoires pour déclencher des alertes lorsque les attentes ne sont pas satisfaites. En outre, assurez-vous que vos fournisseurs disposent de mécanismes simples et intuitifs pour signaler et informer les incidents et les violations.
3. Mesurer le risque inhérent des fournisseurs tiers et classer les fournisseurs en fonction de leur score de risque inhérent afin de procéder à des évaluations de diligence raisonnable après l'intégration.
4. Réaliser des évaluations détaillées des risques liés aux fournisseurs, basées sur les contrôles internes, par rapport aux cadres de sécurité des meilleures pratiques, tels que le NIST ou l'ISO, et mettre en place des flux de travail et des rapports pour signaler les exceptions aux contrôles et suggérer des mesures correctives. Ces activités doivent tenir compte des domaines de risque spécifiques, notamment les facteurs humains, la gestion des données et les mécanismes d'authentification.
5. Validez l'efficacité continue des contrôles d'un fournisseur en corrélant les mesures de cybersécurité observables de l'extérieur avec les résultats des évaluations des contrôles internes. Par exemple, si l'on découvre que les identifiants et les mots de passe d'un fournisseur sont en vente sur un forum du Dark Web, vous pouvez établir un lien entre cette découverte et la réponse à l'évaluation portant sur la solidité de sa politique en matière de mots de passe et déterminer si des changements doivent être apportés.
6. Identifier les relations entre l'organisation et les tiers afin de découvrir les dépendances et de visualiser les chemins d'information qui pourraient être ouverts à une attaque par un tiers.
7. Exploitez les flux de travail pour établir des rapports sur l'accès aux systèmes, la destruction des données et la gestion des accès afin de fermer les voies d'accès potentielles à votre organisation une fois qu'un fournisseur a quitté l'entreprise.
   

Comment gérer les incidents de sécurité des fournisseurs et des vendeurs tiers ?

Alors que les violations de données des fournisseurs et les perturbations de la chaîne d'approvisionnement continuent de faire les gros titres, il est facile de se sentir dépassé par les exigences de l'évaluation des risques pour des centaines (voire des milliers) de tiers.

Pour aider votre équipe à être plus proactive dans l'identification et l'atténuation des incidents de sécurité de tiers, Prevalent a développé une liste de contrôle de réponse aux incidents basée sur le guide de traitement des incidents de sécurité informatique du NIST, SP 800-61. La liste de contrôle prescrit quatre phases fondamentales que les équipes de sécurité devraient prendre en compte pour leurs programmes de réponse aux incidents. Utilisez cette liste de contrôle, ainsi que le guide complet du NIST, pour comparer vos processus existants de réponse aux incidents impliquant des tiers aux meilleures pratiques.

Ensuite, demandez une démonstration à l'adresse Prevalent pour une discussion stratégique personnalisée sur la manière d'automatiser votre programme TPRM, de la sélection des fournisseurs à l'exclusion.