Violation de données chez Accellion : Quatre stratégies de réponse aux risques liés aux tiers

Le géant mondial de l'énergie Shell est la dernière victime de la violation d'Accellion. Alors que le nombre d'organisations touchées augmente, comment les équipes de gestion des risques des tiers doivent-elles réagir ?
Par :
Brenda Ferraro
,
Vice-président des risques liés aux tiers
22 mars 2021
Partager :
Blog accellion risk management 0321

La violation de données tierces d'Accellion, qui a déjà fait des victimes parmi les cabinets d'avocats, les détaillants, les télécoms, les banques et les gouvernements du monde entier, a maintenant touché l'une des plus grandes entreprises du monde : Royal Dutch Shell.

Pour résumer, FTA, le logiciel de transfert de fichiers d'Accellion, vieux de 20 ans, a été compromis en décembre 2020. Bien qu'il ait été corrigé depuis, cet outil presque en fin de vie compte encore plus de 3 000 clients, ce qui signifie que des milliers d'entreprises - et leurs clients - auraient pu être en danger.

Comme la violation de la chaîne d'approvisionnement de SolarWinds avant elle, cette violation de données de tiers de plus en plus préjudiciable continue de fournir un exemple de la façon dont une seule compromission peut avoir un impact négatif sur les systèmes des clients, et pourquoi une approche plus proactive de la gestion des risques des tiers est nécessaire.

4 stratégies de gestion des risques pour faire face à la brèche d'Accellion

Lagestion des risques liés aux tiers (TPRM ) (parfois appelée gestion des risques liés aux fournisseurs ou VRM) fait partie d'une stratégie globale de gestion des risques destinée à identifier, évaluer et atténuer les risques présentés tout au long du cycle de vie des relations avec les tiers - y compris les vendeurs, les partenaires, les fournisseurs ou autres Nth parties.

TPRM joue un rôle essentiel dans la gestion des fournisseurs. Si vous craignez qu'une brèche du type de celle d'Accellion n'ait un impact sur votre organisation, considérez ces 4 stratégies TPRM pour comprendre le risque lié à vos fournisseurs et ce qu'il faut faire à ce sujet.

1. Utilisez le risque inhérent pour classer et profiler vos fournisseurs avec précision.

Afin de bien comprendre le risque que les fournisseurs représentent pour une organisation, les équipes de gestion des risques doivent être en mesure de calculer le risque inhérent, ou le niveau de risque actuel compte tenu de ce qui est considéré comme l'ensemble des contrôles existants (ou l'absence de contrôles) pour ce fournisseur. Le calcul du risque inhérent est important lors de l'intégration de nouveaux fournisseurs, et pour éclairer les décisions de profilage, de hiérarchisation et de catégorisation.

Lorsque vous réfléchissez à la manière de classer un fournisseur, il est important de bien comprendre l'impact qu'il pourrait avoir sur votre entreprise en cas de défaillance. Par conséquent, vous devez utiliser un système de notation qui détermine le groupe de niveau du fournisseur. Ce système pourrait inclure les critères suivants :

  • Processus opérationnels ou en contact avec le client
  • Interaction avec les données personnelles
  • Situation et implications financières
  • Obligations légales et réglementaires
  • Réputation

Dans le contexte de cette violation de données, Accellion aurait pu être placée dans un niveau élevé parce qu'elle traitait les données personnelles de ses clients. Le fait d'être dans un niveau supérieur aurait automatiquement augmenté le niveau d'examen de leurs processus, ce qui aurait pu révéler une vulnérabilité avant qu'elle ne soit exploitée.

2. Évaluez vos tiers de manière flexible en fonction des besoins de l'entreprise

L'évaluation de la cybersécurité de vos fournisseurs et vendeurs fournit une base de référence pour mesurer la conformité ou l'adhésion aux protocoles de sécurité. Cependant, ne forcez pas chaque fournisseur de chaque niveau à répondre à un questionnaire unique et rigide. S'il est important d'utiliser une série de questions similaires pour évaluer tous les fournisseurs, assurez-vous d'avoir la flexibilité nécessaire pour les évaluer en fonction d'exigences uniques.

Quel que soit le questionnaire, les vendeurs devraient être invités à se rendre sur un portail central pour fournir des réponses et soumettre des preuves à l'appui. Leurs réponses seraient automatiquement signalées comme des risques si elles n'atteignent pas certains seuils, et des mesures automatiques pourraient alors être prises pour résoudre le problème.

En prenant l'exemple d'Accellion, ses clients auraient pu évaluer l'entreprise sur son adhésion au cycle de vie du développement logiciel (SDLC) - en particulier les processus de maintenance, les correctifs et les mises à jour. Si Accellion n'était pas en mesure de démontrer qu'elle avait mis en place les processus de correction et de mise à jour pour empêcher l'exploitation des vulnérabilités, un risque aurait été soulevé.

Naviguer dans le cycle de vie du risque fournisseur : les clés du succès

Ce guide gratuit détaille les meilleures pratiques pour gérer avec succès les risques tout au long du cycle de vie des fournisseurs. Découvrez ce que nous avons appris au cours de nos 15 années d'expérience à travailler avec des centaines de clients.

Télécharger le guide
Fonctionnalité de navigation dans le cycle de vie du risque fournisseur

3. Surveiller l'activité des fournisseurs pour détecter les menaces cachées

L'évaluation des risques liés aux fournisseurs doit également comporter un élément de surveillance continue. Après tout, la plupart des évaluations ont lieu sur une base annuelle, mais les risques ne sont jamais statiques. En utilisant la brèche d'Accellion comme exemple, ses clients pourraient d'abord surveiller les forums criminels du dark web, les discussions de pirates ou d'autres sites connexes pour trouver des mentions d'Accellion, puis trianguler cette information avec les vulnérabilités publiées pour anticiper les attaques potentielles. Le problème de cette approche est qu'elle implique au moins une demi-douzaine d'outils disparates qui ne partagent pas leurs données, ce qui rend ce type d'analyse complexe et long. Heureusement, il existe des outils qui normalisent les données de surveillance de la cybersécurité provenant de centaines de sources et les mettent en corrélation avec les résultats de l'évaluation des risques afin de faire remonter les risques potentiels et d'identifier les mesures correctives recommandées.

4. Connaissez vos4ème et Nème parties

Il ne suffit pas de savoir qui sont vos fournisseurs, quel est le risque qu'ils représentent pour votre entreprise et d'avoir mis en place un solide plan de redressement. Désormais, vous devez regarder au-delà de vos vendeurs et de vos fournisseurs, vers *leurs* vendeurs et fournisseurs. Une violation de données ou une autre défaillance de la chaîne d'approvisionnement en amont peut avoir un impact sur la capacité de votre tiers à livrer, et donc sur votre capacité à livrer. C'est pourquoi il est essentiel de pouvoir organiser les relations entre votre organisation, vos tiers et leurs tiers pour découvrir les dépendances et visualiser les chemins de l'information. Imaginez que vous appreniez l'existence de la violation d'Accellion et que vous puissiez savoir lequel de vos fournisseurs a utilisé l'outil FTA et si ce fournisseur a eu accès à vos systèmes critiques. C'est le type de visibilité dont vous avez besoin.

Aucune violation des données d'un tiers n'est totalement évitable, mais il est possible d'en atténuer l'impact si les bonnes mesures sont prises à l'avance. Envisagez des entrées multiples dans votre processus de hiérarchisation des fournisseurs. Évaluez les fournisseurs selon différents critères en fonction de leur niveau et de leur criticité. Surveillez régulièrement l'activité. Et n'oubliez pas les quatrième et neuvième parties de votre écosystème. Ainsi, vous disposerez d'un plan de réponse solide.

Prochaines étapes

Vous avez besoin de rester en tête des brèches comme celle qui affecte les clients d'Accellion ? Un bon point de départ est de consulter notre guide des meilleures pratiques, Navigating the Vendor Risk Lifecycle : Les clés du succès à chaque étape.

Prevalent propose également des solutions et des services qui peuvent activer chacune des stratégies abordées dans ce billet. Demandez une démonstration de nos solutions de gestion des risques liés aux tiers pour voir comment nous pouvons vous aider à relever vos défis spécifiques en matière de gestion des risques liés aux tiers.

Tags :
Partager :
Leadership brenda ferraro 2
Brenda Ferraro
Vice-président des risques liés aux tiers

Brenda Ferraro possède plusieurs années d'expérience de première main dans la gestion des risques liés aux fournisseurs, aux services et aux entreprises de traitement des données. Dans sa quête pour réduire les risques liés aux tiers, elle a organisé une myriade de parties prenantes et conçu une approche pour gérer les risques, qui a été reconnue par les régulateurs et une multitude de centres d'analyse et de sécurité de l'information (ISAC). Dans son rôle avec Prevalent, Brenda travaille avec les entreprises pour construire des écosystèmes de solutions uniques qui éliminent les complexités de la gestion des risques des tiers par le biais d'une plate-forme, d'un cadre et d'une méthodologie de gouvernance communs, simples et abordables. Avant de rejoindre Prevalent, Brenda a dirigé des organisations dans le cadre de la normalisation des contrôles, de la réponse aux incidents, de l'amélioration des processus, de l'établissement de rapports basés sur des données et de la gouvernance dans des entreprises telles que Aetna, Coventry, Arrowhead Healthcare Centers, PayPal/eBay, Charles Schwab et Edwards Air Force Base. Elle est titulaire des certifications vBSIMM, CTPRP, ITIL et CPM.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo