La brèche dans les fournisseurs de quatrième partie frappe à nouveau

La sécurité ne peut être envisagée uniquement à l'intérieur du pare-feu ; elle doit être prise en compte dans l'ensemble du réseau d'entreprise d'une organisation.
Par :
Brad Keller
,
JD, CTPRP
02 juillet 2018
Partager :
Databreach

La violation de Ticketmaster de la semaine dernière est un exemple classique des défis auxquels les entreprises sont confrontées pour gérer efficacement le risque lié aux fournisseurs. Très peu d'entreprises gèrent leurs ventes de billets en ligne. Cette tâche est laissée à des sociétés comme Ticketmaster qui se spécialisent dans ce service. En fait, j'ai récemment renouvelé mes billets de saison pour le Blumenthal Performing Arts Center de Caroline du Nord en utilisant Ticketmaster. Maintenant, je lis que 5% de la base de données entière de Ticketmaster a été compromise.

Je dis qu'il s'agit d'un exemple classique de la façon dont le risque lié aux tiers peut se propager, car ce n'est pas Ticketmaster qui a été compromis, mais l'une des nombreuses sociétés auxquelles elle fait appel, Inbenta. Inbenta fournit des widgets de chat en direct à Ticketmaster, qui les déploie sur ses sites dans le monde entier. Les entreprises qui sous-traitent à Ticketmaster se retrouvent donc dans la situation d'essayer de déterminer dans quelle mesure les informations de leurs clients ont été compromises par une violation chez l'un des fournisseurs de Ticketmaster.

Comment les organisations doivent aborder le risque lié aux tiers

Les entreprises adoptant une approche mature du risque lié aux tiers auraient inclus dans leur évaluation de Ticketmaster des questions concernant l'utilisation par Ticketmaster de fournisseurs de services tiers, et les efforts déployés par Ticketmaster pour protéger l'accès à ses systèmes et aux données de ses clients. Les meilleures pratiques suggèrent également que Ticketmaster aurait dû être tenu d'identifier tous les tiers sur lesquels il compte pour fournir ses services aux clients et de démontrer qu'il a mis en place des processus pour s'assurer que ces fournisseurs maintiennent des contrôles de sécurité informatique et de données appropriés.

Ticketmaster a-t-il géré correctement les risques liés à l'externalisation ? Des entreprises (comme Blumenthal Performing Arts) ont-elles évalué Ticketmaster pour s'assurer qu'elle gérait bien ses services externalisés ? La réponse à ces questions sera certainement révélée avec le temps. En attendant, cette affaire illustre parfaitement pourquoi le programme de gestion des risques liés aux tiers de chacun doit inclure des processus permettant d'identifier et de gérer le risque lié à l'externalisation des fournisseurs.

Maintenant, si vous voulez bien m'excuser, je dois vérifier si la carte de crédit que j'ai utilisée pour renouveler mes tickets de saison a été compromise... encore une fois.

Brad Keller développe et dirige des programmes de gestion des risques depuis plus de 25 ans. Il est actuellement directeur principal de la stratégie pour les tiers à Prevalent, Inc. où il se concentre sur la fourniture de solutions de gestion et d'évaluation des risques pour les tiers à Prevalent.

Tags :
Partager :
Brad Keller
JD, CTPRP
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo