La violation de données tierces d'Accellion, qui a déjà fait des victimes parmi les cabinets d'avocats, les détaillants, les télécoms, les banques et les gouvernements du monde entier, a maintenant touché l'une des plus grandes entreprises du monde : Royal Dutch Shell.
Pour résumer, FTA, le logiciel de transfert de fichiers d'Accellion, vieux de 20 ans, a été compromis en décembre 2020. Bien qu'il ait été corrigé depuis, cet outil presque en fin de vie compte encore plus de 3 000 clients, ce qui signifie que des milliers d'entreprises - et leurs clients - auraient pu être en danger.
Comme la violation de la chaîne d'approvisionnement de SolarWinds avant elle, cette violation de données de tiers de plus en plus préjudiciable continue de fournir un exemple de la façon dont une seule compromission peut avoir un impact négatif sur les systèmes des clients, et pourquoi une approche plus proactive de la gestion des risques des tiers est nécessaire.
Lagestion des risques liés aux tiers (TPRM ) (parfois appelée gestion des risques liés aux fournisseurs ou VRM) fait partie d'une stratégie globale de gestion des risques destinée à identifier, évaluer et atténuer les risques présentés tout au long du cycle de vie des relations avec les tiers - y compris les vendeurs, les partenaires, les fournisseurs ou autres Nth parties.
TPRM joue un rôle essentiel dans la gestion des fournisseurs. Si vous craignez qu'une brèche du type de celle d'Accellion n'ait un impact sur votre organisation, considérez ces 4 stratégies TPRM pour comprendre le risque lié à vos fournisseurs et ce qu'il faut faire à ce sujet.
Afin de bien comprendre le risque que les fournisseurs représentent pour une organisation, les équipes de gestion des risques doivent être en mesure de calculer le risque inhérent, ou le niveau de risque actuel compte tenu de ce qui est considéré comme l'ensemble des contrôles existants (ou l'absence de contrôles) pour ce fournisseur. Le calcul du risque inhérent est important lors de l'intégration de nouveaux fournisseurs, et pour éclairer les décisions de profilage, de hiérarchisation et de catégorisation.
Lorsque vous réfléchissez à la manière de classer un fournisseur, il est important de bien comprendre l'impact qu'il pourrait avoir sur votre entreprise en cas de défaillance. Par conséquent, vous devez utiliser un système de notation qui détermine le groupe de niveau du fournisseur. Ce système pourrait inclure les critères suivants :
Dans le contexte de cette violation de données, Accellion aurait pu être placée dans un niveau élevé parce qu'elle traitait les données personnelles de ses clients. Le fait d'être dans un niveau supérieur aurait automatiquement augmenté le niveau d'examen de leurs processus, ce qui aurait pu révéler une vulnérabilité avant qu'elle ne soit exploitée.
L'évaluation de la cybersécurité de vos fournisseurs et vendeurs fournit une base de référence pour mesurer la conformité ou l'adhésion aux protocoles de sécurité. Cependant, ne forcez pas chaque fournisseur de chaque niveau à répondre à un questionnaire unique et rigide. S'il est important d'utiliser une série de questions similaires pour évaluer tous les fournisseurs, assurez-vous d'avoir la flexibilité nécessaire pour les évaluer en fonction d'exigences uniques.
Quel que soit le questionnaire, les vendeurs devraient être invités à se rendre sur un portail central pour fournir des réponses et soumettre des preuves à l'appui. Leurs réponses seraient automatiquement signalées comme des risques si elles n'atteignent pas certains seuils, et des mesures automatiques pourraient alors être prises pour résoudre le problème.
En prenant l'exemple d'Accellion, ses clients auraient pu évaluer l'entreprise sur son adhésion au cycle de vie du développement logiciel (SDLC) - en particulier les processus de maintenance, les correctifs et les mises à jour. Si Accellion n'était pas en mesure de démontrer qu'elle avait mis en place les processus de correction et de mise à jour pour empêcher l'exploitation des vulnérabilités, un risque aurait été soulevé.
Naviguer dans le cycle de vie du risque fournisseur : les clés du succès
Ce guide gratuit détaille les meilleures pratiques pour gérer avec succès les risques tout au long du cycle de vie des fournisseurs. Découvrez ce que nous avons appris au cours de nos 15 années d'expérience à travailler avec des centaines de clients.
L'évaluation des risques liés aux fournisseurs doit également comporter un élément de surveillance continue. Après tout, la plupart des évaluations ont lieu sur une base annuelle, mais les risques ne sont jamais statiques. En utilisant la brèche d'Accellion comme exemple, ses clients pourraient d'abord surveiller les forums criminels du dark web, les discussions de pirates ou d'autres sites connexes pour trouver des mentions d'Accellion, puis trianguler cette information avec les vulnérabilités publiées pour anticiper les attaques potentielles. Le problème de cette approche est qu'elle implique au moins une demi-douzaine d'outils disparates qui ne partagent pas leurs données, ce qui rend ce type d'analyse complexe et long. Heureusement, il existe des outils qui normalisent les données de surveillance de la cybersécurité provenant de centaines de sources et les mettent en corrélation avec les résultats de l'évaluation des risques afin de faire remonter les risques potentiels et d'identifier les mesures correctives recommandées.
Il ne suffit pas de savoir qui sont vos fournisseurs, quel est le risque qu'ils représentent pour votre entreprise et d'avoir mis en place un solide plan de redressement. Désormais, vous devez regarder au-delà de vos vendeurs et de vos fournisseurs, vers *leurs* vendeurs et fournisseurs. Une violation de données ou une autre défaillance de la chaîne d'approvisionnement en amont peut avoir un impact sur la capacité de votre tiers à livrer, et donc sur votre capacité à livrer. C'est pourquoi il est essentiel de pouvoir organiser les relations entre votre organisation, vos tiers et leurs tiers pour découvrir les dépendances et visualiser les chemins de l'information. Imaginez que vous appreniez l'existence de la violation d'Accellion et que vous puissiez savoir lequel de vos fournisseurs a utilisé l'outil FTA et si ce fournisseur a eu accès à vos systèmes critiques. C'est le type de visibilité dont vous avez besoin.
Aucune violation des données d'un tiers n'est totalement évitable, mais il est possible d'en atténuer l'impact si les bonnes mesures sont prises à l'avance. Envisagez des entrées multiples dans votre processus de hiérarchisation des fournisseurs. Évaluez les fournisseurs selon différents critères en fonction de leur niveau et de leur criticité. Surveillez régulièrement l'activité. Et n'oubliez pas les quatrième et neuvième parties de votre écosystème. Ainsi, vous disposerez d'un plan de réponse solide.
Vous avez besoin de rester en tête des brèches comme celle qui affecte les clients d'Accellion ? Un bon point de départ est de consulter notre guide des meilleures pratiques, Navigating the Vendor Risk Lifecycle : Les clés du succès à chaque étape.
Prevalent propose également des solutions et des services qui peuvent activer chacune des stratégies abordées dans ce billet. Demandez une démonstration de nos solutions de gestion des risques liés aux tiers pour voir comment nous pouvons vous aider à relever vos défis spécifiques en matière de gestion des risques liés aux tiers.
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024