Le 2022 Verizon Data Breach Investigations Report contient un véritable trésor de données analysant plus de 23 896 incidents de sécurité et 5 212 brèches pour la période comprise entre le 1er novembre 2020 et le 31 octobre 2021. Cependant, certaines tendances inquiétantes dans les données devraient alerter les équipes de gestion de la sécurité, des risques et des fournisseurs afin de mieux se préparer aux futurs incidents. Voici les principaux enseignements du rapport en matière de gestion des risques liés aux tiers.
Toute organisation s'appuie sur des tiers dans une certaine mesure - qu'il s'agisse de vendeurs qui fournissent des biens ou des services pour soutenir l'entreprise ou des fournisseurs qui produisent des intrants pour les produits finis. Les données de Verizon montrent que les partenaires (par exemple, les tiers, les vendeurs ou les fournisseurs) ont été à l'origine de 62 % des incidents d'intrusion dans les systèmes au cours de l'année dernière (voir la figure 36 du rapport). Si l'on considère que les partenaires n'étaient impliqués que dans 39 % des violations de données en 2008, on comprend vite l'étonnante croissance au fil du temps des tiers impliqués dans les incidents de sécurité. Pour chaque tierce partie avec laquelle vous faites des affaires, votre surface d'attaque s'étend de façon exponentielle.
Les attaques de la chaîne d'approvisionnement des logiciels (via les mises à jour logicielles) sont à l'origine d'une grande partie de la croissance des intrusions menées par des partenaires, ces types d'incidents représentant 9 % du total des incidents en 2021. Un seul fournisseur de logiciels compromis qui envoie des mises à jour à des milliers de ses clients (qui, à leur tour, peuvent travailler avec des milliers de vendeurs, de fournisseurs et d'autres tiers - c'est-à-dire des victimes secondaires) peut faire des ravages incalculables (lire : SolarWinds).
Bien que l'ensemble des données montre que les violations par des tiers ne représentent que 1 % des données de violation, Verizon note que dans cette méthode, les informations d'identification volées et les rançongiciels étaient deux des cinq principales variétés d'action. Cela signifie que les praticiens du risque tiers devraient s'assurer activement que leurs vendeurs et fournisseurs tiers ont mis en place des politiques de mot de passe et des architectures de segmentation du réseau solides - et être en mesure de valider ces pratiques de manière indépendante.
(Source : Verizon Data Breach Investigations Report, mai 2022)
D'un point de vue industriel, les partenaires représentent 1 % des acteurs de la menace dans le secteur manufacturier. Si 1 % ne semble pas être un chiffre élevé, il faut considérer les dommages causés par une seule intrusion dans un système, comme l'attaque par ransomware contre Kojima industries, un fournisseur de Toyota. Bien qu'en dehors de la fenêtre de cet ensemble de données, une telle violation devrait servir à rappeler qu'un incident peut avoir des impacts étendus et durables. En fait, les données de Verizon montrent que l'industrie manufacturière dans son ensemble est une cible de plus en plus importante, les intrusions dans les systèmes connaissant une croissance exponentielle. Voir la figure 92 du rapport.
(Source : Verizon Data Breach Investigations Report, mai 2022)
Pour poursuivre sur le thème des ransomwares, les violations par ransomware ont augmenté de 13 % en 2020, ce qui, selon Verizon, représente une augmentation d'une année sur l'autre supérieure à celle des cinq dernières années combinées. Voir la figure 38 du rapport ci-dessous.
L'augmentation du nombre d'incidents et de violations ne devrait pas être une surprise ; il suffit de lire les gros titres pour connaître la dernière victime. L'année dernière a été marquée par d'importantes violations de ransomware de tiers, notamment PracticeMax, Kaseya et Colonial Pipeline, dont beaucoup sont des variantes du ransomware Ryuk.
(Source : Verizon Data Breach Investigations Report, mai 2022)
Avec l'augmentation du nombre de brèches et d'attaques par ransomware, les organisations qui utilisent des méthodes manuelles pour gérer les risques liés aux fournisseurs et aux vendeurs tiers devraient envisager de mettre en œuvre les meilleures pratiques suivantes pour accélérer l'identification, le triage et l'atténuation.
Alors que les violations de données des fournisseurs et les perturbations de la chaîne d'approvisionnement continuent de faire les gros titres, il est facile de se sentir dépassé par les exigences de l'évaluation des risques pour des centaines (voire des milliers) de tiers.
Pour aider votre équipe à être plus proactive dans l'identification et l'atténuation des incidents de sécurité de tiers, Prevalent a développé une liste de contrôle de réponse aux incidents basée sur le guide de traitement des incidents de sécurité informatique du NIST, SP 800-61. La liste de contrôle prescrit quatre phases fondamentales que les équipes de sécurité devraient prendre en compte pour leurs programmes de réponse aux incidents. Utilisez cette liste de contrôle, ainsi que le guide complet du NIST, pour comparer vos processus existants de réponse aux incidents impliquant des tiers aux meilleures pratiques.
Ensuite, demandez une démonstration à l'adresse Prevalent pour une discussion stratégique personnalisée sur la manière d'automatiser votre programme TPRM, de la sélection des fournisseurs à l'exclusion.
Lire une analyse des tendances du marché de la gestion des risques fournisseurs et des principaux critères d'évaluation des solutions.
11/18/2024
Lisez les conclusions de notre étude annuelle sur le TPRM et mettez en œuvre ces bonnes pratiques pour...
05/08/2024
Prevalent estime qu'il se différencie en offrant une couverture complète de plusieurs types de risques et en fournissant...
12/12/2023