La violation de Ticketmaster de la semaine dernière est un exemple classique des défis auxquels les entreprises sont confrontées pour gérer efficacement le risque lié aux fournisseurs. Très peu d'entreprises gèrent leurs ventes de billets en ligne. Cette tâche est laissée à des sociétés comme Ticketmaster qui se spécialisent dans ce service. En fait, j'ai récemment renouvelé mes billets de saison pour le Blumenthal Performing Arts Center de Caroline du Nord en utilisant Ticketmaster. Maintenant, je lis que 5% de la base de données entière de Ticketmaster a été compromise.
Je dis qu'il s'agit d'un exemple classique de la façon dont le risque lié aux tiers peut se propager, car ce n'est pas Ticketmaster qui a été compromis, mais l'une des nombreuses sociétés auxquelles elle fait appel, Inbenta. Inbenta fournit des widgets de chat en direct à Ticketmaster, qui les déploie sur ses sites dans le monde entier. Les entreprises qui sous-traitent à Ticketmaster se retrouvent donc dans la situation d'essayer de déterminer dans quelle mesure les informations de leurs clients ont été compromises par une violation chez l'un des fournisseurs de Ticketmaster.
Comment les organisations doivent aborder le risque lié aux tiers
Les entreprises adoptant une approche mature du risque lié aux tiers auraient inclus dans leur évaluation de Ticketmaster des questions concernant l'utilisation par Ticketmaster de fournisseurs de services tiers, et les efforts déployés par Ticketmaster pour protéger l'accès à ses systèmes et aux données de ses clients. Les meilleures pratiques suggèrent également que Ticketmaster aurait dû être tenu d'identifier tous les tiers sur lesquels il compte pour fournir ses services aux clients et de démontrer qu'il a mis en place des processus pour s'assurer que ces fournisseurs maintiennent des contrôles de sécurité informatique et de données appropriés.
Ticketmaster a-t-il géré correctement les risques liés à l'externalisation ? Des entreprises (comme Blumenthal Performing Arts) ont-elles évalué Ticketmaster pour s'assurer qu'elle gérait bien ses services externalisés ? La réponse à ces questions sera certainement révélée avec le temps. En attendant, cette affaire illustre parfaitement pourquoi le programme de gestion des risques liés aux tiers de chacun doit inclure des processus permettant d'identifier et de gérer le risque lié à l'externalisation des fournisseurs.
Maintenant, si vous voulez bien m'excuser, je dois vérifier si la carte de crédit que j'ai utilisée pour renouveler mes tickets de saison a été compromise... encore une fois.
Brad Keller développe et dirige des programmes de gestion des risques depuis plus de 25 ans. Il est actuellement directeur principal de la stratégie pour les tiers à Prevalent, Inc. où il se concentre sur la fourniture de solutions de gestion et d'évaluation des risques pour les tiers à Prevalent.
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024