3CX Software Supply Chain Attack : Meilleures pratiques pour réduire les risques liés aux tiers

2. Établir une carte des tiers pour déterminer le risque de concentration technologique

La collecte des technologies de quatrième partie déployées dans votre écosystème de fournisseurs au cours du processus d'inventaire permet d'identifier les relations entre votre organisation et les tiers sur la base de l'utilisation de certaines technologies et vous aidera à visualiser les voies d'attaque dans votre entreprise et à prendre des mesures d'atténuation proactives. Vous pouvez y parvenir par une évaluation ciblée ou par un balayage passif.

Dans le cas de l'attaque de la chaîne d'approvisionnement du logiciel 3CX, le fait de disposer d'une carte des fournisseurs qui utilisent la solution Electron pour la VoIP vous aiderait à cibler les fournisseurs à évaluer en vue d'une exposition potentielle aux logiciels malveillants. Concentrez-vous d'abord sur les fournisseurs de premier plan ou critiques pour l'entreprise, car une perturbation de leurs opérations pourrait avoir un impact plus important sur votre organisation.

3. Évaluer les plans de résilience et de continuité des activités des tiers.

Engagez de manière proactive les fournisseurs concernés avec des évaluations simples et ciblées qui s'alignent sur les normes industrielles connues pour la sécurité de la chaîne d'approvisionnement, telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les lacunes potentielles en matière de sécurité.

Les bonnes solutions prévoient l'automatisation du flux de travail, l'examen et l'analyse, la gestion des preuves et des recommandations intégrées pour accélérer la remédiation et combler rapidement ces lacunes.

Dans le cadre du processus d'évaluation, exiger des fournisseurs de logiciels qu'ils produisent une nomenclature des logiciels (SBOM). Les nomenclatures peuvent non seulement détailler les composants d'un logiciel, mais aussi expliquer les processus d'assurance qualité (AQ) et d'évaluation de la sécurité utilisés au cours du processus de développement du logiciel.

4. Surveiller en permanence les vendeurs et fournisseurs concernés pour détecter les attaques de cyber.

La vigilance permanente à l'égard de la prochaine attaque signifie qu'il faut rechercher les signes d'un incident de sécurité imminent. Il est essentiel de surveiller les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les référentiels de code et les bases de données de vulnérabilités et de piratages.

Vous pouvez surveiller ces sources individuellement, ou vous pouvez rechercher des solutions qui unifient toutes les informations dans une solution unique, de sorte que tous les risques soient centralisés et visibles pour l'entreprise. Corrélez toutes les données de surveillance aux résultats de l'évaluation et centralisez-les dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports et les initiatives de réponse.

5. Testez votre plan d'intervention en cas d'incident d'un tiers

L'automatisation de la réponse aux incidents est essentielle pour réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) aux incidents de tiers, ce qui peut réduire l'impact de l'incident sur vos opérations.

En améliorant continuellement vos plans d'intervention en cas d'incident :

• Exploiter un questionnaire centralisé de gestion des événements et des incidents pour réduire les temps de réponse et simplifier et normaliser les évaluations.
• Suivre en temps réel l'évolution de la réalisation du questionnaire afin de réduire les risques d'impact.
• Permettre aux vendeurs de signaler les incidents de manière proactive afin d'ajouter du contexte et d'accélérer les temps de réponse.
• Utiliser des règles de flux de travail pour déclencher des processus automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Donner des conseils au fournisseur pour qu'il revienne à un niveau de risque acceptable pour l'organisation.

En centralisant la réponse aux incidents de tiers dans un processus unique de gestion des incidents d'entreprise, vos équipes informatiques, de sécurité, juridiques, de protection de la vie privée et de conformité peuvent collaborer efficacement pour atténuer les risques.

Prochaines étapes pour une meilleure sécurité de la chaîne d'approvisionnement en logiciels

L'adoption d'une approche manuelle et réactive de la détection des vulnérabilités des logiciels tiers et de la réponse aux incidents ne fera qu'augmenter la probabilité d'une interruption des activités. Au lieu de cela, mettez en œuvre les cinq meilleures pratiques décrites dans cet article afin d'être mieux préparé pour votre prochain défi en matière de sécurité de la chaîne d'approvisionnement.

Pour en savoir plus sur la façon dont Prevalent peut aider à réduire les risques de la chaîne d'approvisionnement à chaque étape du cycle de vie des fournisseurs, lisez notre livre blanc intitulé The Third-Party Incident Response Checklist, ou demandez une démonstration pour une session de stratégie dès aujourd'hui.