La violation de Ticketmaster de la semaine dernière est un exemple classique des défis auxquels les entreprises sont confrontées pour gérer efficacement le risque lié aux fournisseurs. Très peu d'entreprises gèrent leurs ventes de billets en ligne. Cette tâche est laissée à des sociétés comme Ticketmaster qui se spécialisent dans ce service. En fait, j'ai récemment renouvelé mes billets de saison pour le Blumenthal Performing Arts Center de Caroline du Nord en utilisant Ticketmaster. Maintenant, je lis que 5% de la base de données entière de Ticketmaster a été compromise.
Je dis qu'il s'agit d'un exemple classique de la façon dont le risque lié aux tiers peut se propager, car ce n'est pas Ticketmaster qui a été compromis, mais l'une des nombreuses sociétés auxquelles elle fait appel, Inbenta. Inbenta fournit des widgets de chat en direct à Ticketmaster, qui les déploie sur ses sites dans le monde entier. Les entreprises qui sous-traitent à Ticketmaster se retrouvent donc dans la situation d'essayer de déterminer dans quelle mesure les informations de leurs clients ont été compromises par une violation chez l'un des fournisseurs de Ticketmaster.
Comment les organisations doivent aborder le risque lié aux tiers
Les entreprises adoptant une approche mature du risque lié aux tiers auraient inclus dans leur évaluation de Ticketmaster des questions concernant l'utilisation par Ticketmaster de fournisseurs de services tiers, et les efforts déployés par Ticketmaster pour protéger l'accès à ses systèmes et aux données de ses clients. Les meilleures pratiques suggèrent également que Ticketmaster aurait dû être tenu d'identifier tous les tiers sur lesquels il compte pour fournir ses services aux clients et de démontrer qu'il a mis en place des processus pour s'assurer que ces fournisseurs maintiennent des contrôles de sécurité informatique et de données appropriés.
Ticketmaster a-t-il géré correctement les risques liés à l'externalisation ? Des entreprises (comme Blumenthal Performing Arts) ont-elles évalué Ticketmaster pour s'assurer qu'elle gérait bien ses services externalisés ? La réponse à ces questions sera certainement révélée avec le temps. En attendant, cette affaire illustre parfaitement pourquoi le programme de gestion des risques liés aux tiers de chacun doit inclure des processus permettant d'identifier et de gérer le risque lié à l'externalisation des fournisseurs.
Maintenant, si vous voulez bien m'excuser, je dois vérifier si la carte de crédit que j'ai utilisée pour renouveler mes tickets de saison a été compromise... encore une fois.
Brad Keller développe et dirige des programmes de gestion des risques depuis plus de 25 ans. Il est actuellement directeur principal de la stratégie pour les tiers à Prevalent, Inc. où il se concentre sur la fourniture de solutions de gestion et d'évaluation des risques pour les tiers à Prevalent.
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024
Suivez ces sept étapes pour découvrir, trier et atténuer le risque de logiciels interdits dans votre...
08/22/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
07/31/2024