Les cycles d'information étant actuellement consacrés à la couverture du COVID-19, vous n'avez peut-être pas vu que GE, la multinationale américaine, a récemment révélé qu'elle avait subi une violation de données provenant de l'un de ses fournisseurs de services tiers, Canon Business Process Services. Ce faisant, GE rejoint une foule de marques mondiales et de noms connus tels que Marriott, Quest Diagnostics, LabCorp, Sprint et Target, qui ont subi des violations de ce type. En effet, cette violation est un excellent exemple de la nécessité d'assurer un meilleur contrôle des tiers.
Voici un bref compte rendu de ce que nous savons de la violation et de la manière dont les solutions de gestion des risques par des tiers, telles que Prevalent, peuvent vous aider.
Selon GE, entre le 3 et le 14 février 2020, une partie non autorisée a eu accès à un compte de messagerie Canon qui contenait des informations sensibles sur les employés actuels et anciens de GE et leurs bénéficiaires. GE a établi un partenariat avec Canon pour le traitement des documents. Les documents gérés par le propriétaire du compte de messagerie divulgué comprenaient des informations personnelles telles que des formulaires de dépôt direct, des permis de conduire, des passeports, des certificats de naissance, etc. - et probablement aussi des noms, des adresses, des numéros de sécurité sociale, des numéros de permis de conduire, des numéros de compte bancaire, des numéros de passeport et/ou des dates de naissance.
Bien que nous ne connaissions pas avec certitude le vecteur de l'attaque - par exemple, elle aurait pu se produire par le biais d'une attaque de spear phishing ou d'ingénierie sociale - nous savons que l'évaluation et la surveillance continues des contrôles des tiers contribuent à réduire la probabilité et l'impact de violations telles que celle-ci.
En cette période d'incertitude, les pirates vont chercher à tirer profit des équipes distraites et des ressources épuisées. À une époque où la sécurité de la chaîne d'approvisionnement est plus critique que jamais, nous ne pouvons plus nous permettre de la traiter comme une case à cocher de conformité.
Un programme mature de gestion des risques liés aux tiers est agile et préparé aux incidents de violation des données :
GE a déclaré qu'elle prenait les mesures appropriées pour assurer la sécurité, que l'incident n'avait pas d'impact direct sur les systèmes de GE et qu'elle travaillait avec Canon pour déterminer comment l'incident s'était produit. Toutefois, cela ne constitue qu'une maigre consolation pour les milliers d'employés de GE potentiellement touchés par cette violation. Deux ans de surveillance gratuite du crédit via Experian ne sont qu'un pansement.
Vous êtes préoccupé par vos propres pratiques en matière de risques liés aux tiers ? Faites l'évaluation des risques en ligne sur Prevalentet obtenez un score rapide et des recommandations sur les points à traiter immédiatement.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024