GE annonce une violation de données provenant d'un fournisseur de services tiers

Les cycles d'information étant actuellement consacrés à la couverture du COVID-19, vous n'avez peut-être pas vu que GE, la multinationale américaine, a récemment révélé qu'elle avait subi une violation de données provenant de l'un de ses fournisseurs de services tiers, Canon Business Process Services. Ce faisant, GE rejoint une foule de marques mondiales et de noms connus tels que Marriott, Quest Diagnostics, LabCorp, Sprint et Target, qui ont subi des violations de ce type. En effet, cette violation est un excellent exemple de la nécessité d'assurer un meilleur contrôle des tiers.

Voici un bref compte rendu de ce que nous savons de la violation et de la manière dont les solutions de gestion des risques par des tiers, telles que Prevalent, peuvent vous aider.

Aperçu de la brèche GE

Selon GE, entre le 3 et le 14 février 2020, une partie non autorisée a eu accès à un compte de messagerie Canon qui contenait des informations sensibles sur les employés actuels et anciens de GE et leurs bénéficiaires. GE a établi un partenariat avec Canon pour le traitement des documents. Les documents gérés par le propriétaire du compte de messagerie divulgué comprenaient des informations personnelles telles que des formulaires de dépôt direct, des permis de conduire, des passeports, des certificats de naissance, etc. - et probablement aussi des noms, des adresses, des numéros de sécurité sociale, des numéros de permis de conduire, des numéros de compte bancaire, des numéros de passeport et/ou des dates de naissance.

Bien que nous ne connaissions pas avec certitude le vecteur de l'attaque - par exemple, elle aurait pu se produire par le biais d'une attaque de spear phishing ou d'ingénierie sociale - nous savons que l'évaluation et la surveillance continues des contrôles des tiers contribuent à réduire la probabilité et l'impact de violations telles que celle-ci.

Comment la gestion des risques par des tiers peut aider

En cette période d'incertitude, les pirates vont chercher à tirer profit des équipes distraites et des ressources épuisées. À une époque où la sécurité de la chaîne d'approvisionnement est plus critique que jamais, nous ne pouvons plus nous permettre de la traiter comme une case à cocher de conformité.

Un programme mature de gestion des risques liés aux tiers est agile et préparé aux incidents de violation des données :

• L'évaluation des fournisseurs par rapport à une multitude de cadres de meilleures pratiques de sécurité, avec une notation claire des faiblesses à corriger.
• Surveiller les forums de discussion des pirates du dark web pour y trouver des mentions de l'entreprise ou des informations d'identification volées.
• Utilisation des notifications de violation en temps réel et des renseignements provenant de sources multiples pour informer les évaluations hors bande concernant les pratiques de sécurité essentielles de cyber (par exemple, l'authentification à deux facteurs, les politiques de rotation des mots de passe et les programmes de formation et de sensibilisation des employés).
• Exploiter les évaluations déjà réalisées pour savoir si les fournisseurs ont déjà été confrontés à des vulnérabilités de ce type dans le passé, et quels ont été leurs plans de remédiation.
• Employer des processus programmatiques pour la détection des brèches, la notification et l'escalade vers le tiers en question.

GE a déclaré qu'elle prenait les mesures appropriées pour assurer la sécurité, que l'incident n'avait pas d'impact direct sur les systèmes de GE et qu'elle travaillait avec Canon pour déterminer comment l'incident s'était produit. Toutefois, cela ne constitue qu'une maigre consolation pour les milliers d'employés de GE potentiellement touchés par cette violation. Deux ans de surveillance gratuite du crédit via Experian ne sont qu'un pansement.

Vous êtes préoccupé par vos propres pratiques en matière de risques liés aux tiers ? Faites l'évaluation des risques en ligne sur Prevalentet obtenez un score rapide et des recommandations sur les points à traiter immédiatement.