Violation de Bonobos : Comment s'assurer que votre CSP tiers sécurise vos données ?

La dernière violation par un tiers nous rappelle que l'on peut externaliser la gestion des données, mais pas le risque.
Par :
Brenda Ferraro
,
Vice-président des risques liés aux tiers
01 février 2021
Partager :
Blog bonobos breach csp security 0221

Lorsque le cloud a été inventé, beaucoup d'entre nous ont pensé qu'il pourrait être le centre de données sécurisé "tout et tout le temps". Cependant, comme la froide réalité des violations de données nous l'a appris, le transfert des actifs, de la puissance de traitement et du stockage de votre entreprise vers un environnement en nuage tiers ne vous dispense pas de votre responsabilité de comprendre où et comment vos données sont sécurisées.

Bonobos, une filiale de Walmart, en est le dernier exemple. L'entreprise a récemment signalé une violation de données chez un fournisseur de services en nuage (FSC) tiers, qui a entraîné l'exposition des IPI des clients. Cette violation est une autre illustration des pièges de la responsabilité partagée. La responsabilité incombe-t-elle au client, à la tierce partie ou au CSP ?

Comprendre la responsabilité des fournisseurs de services en nuage

Comprendre les différences entre les niveaux de services de cloud computing peut vous aider à déterminer les normes de contrôle à intégrer dans vos modèles de services de cloud computing. Il existe quatre niveaux de base pour les fournisseurs de services en nuage (FSC) :

  1. Informatique d'entreprise (on prem)
  2. Infrastructure en tant que service (IaaS)
  3. Plate-forme en tant que service (PaaS)
  4. Logiciel en tant que service (SaaS)

Chaque niveau de soutien reflète si la responsabilité du risque incombe au client ou au fournisseur. Dans le cadre de la structure Enterprise IT, le fournisseur a mis en place des contrôles pour les dix zones de responsabilité (voir le tableau ci-dessous). Cependant, si vous vous engagez dans une forme quelconque de "as a Service", la responsabilité peut varier entre le client, le fournisseur, ou les deux.

Lorsque vous évaluez la sécurité de la chaîne d'approvisionnement, méfiez-vous des réponses générales de vos fournisseurs indiquant qu'ils sont "protégés" dans le cloud. S'ils utilisent le cloud, déterminez alors le niveau de service dont ils disposent et les contrôles mis en place pour soutenir ce qui est couvert par leur contrat CSP.

Matrice de responsabilité partagée de Microsoft
Le modèle de responsabilité partagée de Microsoft*

Évaluer les risques liés à votre fournisseur de services en nuage tiers

Les brèches comme celle qui a touché Bonobos nous rappellent qu'il faut mettre en œuvre les meilleures pratiques, intégrer des normes de contrôle pour protéger vos données et évaluer en permanence les tiers qui stockent et gèrent vos données. Que vous utilisiez des services en nuage pour des données de sauvegarde ou des données actives, veillez à prendre en compte les meilleures pratiques suivantes :

  1. Se tenir au courant de l'évolution des pratiques de sécurité
  2. N'oubliez pas d'utiliser l'authentification, d'autoriser avec une gestion d'identité appropriée, et de maintenir la responsabilité avec la gestion des journaux.
  3. Stockez les informations d'identification privilégiées en toute sécurité et protégez les clés.
  4. Mettre en œuvre et utiliser les guides de durcissement
  5. Mettre l'accent sur la gestion du changement
  6. Utiliser la vérification automatique
  7. Évaluez régulièrement la posture de sécurité de vos fournisseurs et validez la présence de contrôles par une surveillance continue.

Prevalent peut faciliter les évaluations de sécurité des IaaS, PaaS, SaaS et autres CSP en utilisant le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire ) de la Cloud Security Alliance (CSA) intégré à la plateformePrevalent . Ce questionnaire est une norme de l'industrie pour documenter les contrôles de sécurité du cloud et les capacités de sécurité du CSP en utilisant une terminologie standardisée et de meilleures pratiques. Grâce à des rapports complets sur la norme, vous obtenez une image claire des contrôles de sécurité de votre CSP et pouvez prendre des décisions plus éclairées.

Pour compléter l'évaluation régulière des contrôles, Prevalent Vendor Threat Monitor peut fournir des informations continues sur la cybersécurité, la réputation et les finances de vos FSC. Cela inclut la surveillance des discussions de pirates sur les forums du dark web, qui offre une fenêtre sur les risques réels et potentiellement invisibles, tout en validant la présence de certains contrôles.

Le fait de confier le contrôle et la gestion de vos données à un CSP ne signifie pas nécessairement que vous êtes libéré de toute responsabilité en matière de gouvernance réglementaire et de reddition de comptes. Ainsi, lorsqu'un fournisseur ou un vendeur indique qu'il utilise des services en nuage, ne vous arrêtez pas là dans votre évaluation. Découvrez quel niveau de CSP votre tiers utilise et comment les contrôles sont régis, tant du côté du fournisseur que du côté du prestataire. Veillez également à prendre en compte les bases de données actives, sauvegardées et résiliées, le cas échéant. Cela pourrait vous éviter bien des maux de tête !

Prochaines étapes

Pour en savoir plus sur la façon dont Prevalent peut aider à traiter les aspects réglementaires et de gouvernance de la gestion des risques liés aux tiers pour les FSC, consultez notre livre blanc sur les meilleures pratiques, The Third-Party Risk Management Compliance Handbook. Ou contactez-nous dès aujourd'hui pour une séance de stratégie.

*Source : Lanfear, Terry. "Laresponsabilité partagée dans le cloud" Documentation Microsoft Azure, 16 octobre 2019.

Tags :
Partager :
Leadership brenda ferraro 2
Brenda Ferraro
Vice-président des risques liés aux tiers

Brenda Ferraro possède plusieurs années d'expérience de première main dans la gestion des risques liés aux fournisseurs, aux services et aux entreprises de traitement des données. Dans sa quête pour réduire les risques liés aux tiers, elle a organisé une myriade de parties prenantes et conçu une approche pour gérer les risques, qui a été reconnue par les régulateurs et une multitude de centres d'analyse et de sécurité de l'information (ISAC). Dans son rôle avec Prevalent, Brenda travaille avec les entreprises pour construire des écosystèmes de solutions uniques qui éliminent les complexités de la gestion des risques des tiers par le biais d'une plate-forme, d'un cadre et d'une méthodologie de gouvernance communs, simples et abordables. Avant de rejoindre Prevalent, Brenda a dirigé des organisations dans le cadre de la normalisation des contrôles, de la réponse aux incidents, de l'amélioration des processus, de l'établissement de rapports basés sur des données et de la gouvernance dans des entreprises telles que Aetna, Coventry, Arrowhead Healthcare Centers, PayPal/eBay, Charles Schwab et Edwards Air Force Base. Elle est titulaire des certifications vBSIMM, CTPRP, ITIL et CPM.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo