Le rythme des violations de données et des intrusions dans les systèmes informatiques s'accélère à un rythme alarmant. Nous assistons à des progrès sans précédent dans la sophistication des attaquants. Dans le même temps, les dernières et plus grandes avancées technologiques ont permis aux organisations et à leurs chaînes d'approvisionnement de gagner en efficacité et en efficience.
Cependant, les fournisseurs de la chaîne d'approvisionnement sont tout aussi vulnérables aux attaques avancées. Le niveau croissant d'accès et d'intégration dans les environnements des organisations hôtes peut présenter des risques et de nouvelles voies potentielles de compromission. Par conséquent, pour gérer ces risques, les organisations hôtes doivent adapter leurs procédures de sécurité pour inclure les fournisseurs, les partenaires et même les clients. En outre, pour sécuriser au maximum la chaîne d'approvisionnement ils doivent évaluer de près leur propre personnel, leurs processus et leur technologie.
Une violation de la chaîne d'approvisionnement peut se produire de plusieurs façons. Un fabricant de logiciels peut être victime d'une violation par un logiciel malveillant qui modifie le code source, lequel est ensuite distribué aux entreprises qui utilisent le logiciel. Ce scénario exact s'est déroulé avec SolarWinds en 2020-2021.
Un autre vecteur de compromission courant pourrait être le vol des informations d'identification d'un fournisseur qui accorde un accès à distance à une entreprise avec laquelle il est partenaire ou dont il assure le support, ce qui conduit ensuite à l'infiltration du réseau de l'entreprise à partir d'une source déjà fiable (le réseau du fournisseur). À maintes reprises, nous avons vu des accès de confiance se retourner contre nous, qu'ils proviennent de fournisseurs, de partenaires ou d'autres tiers avec lesquels les organisations travaillent régulièrement.
Il est temps de mieux sécuriser nos réseaux et nos actifs face à des organisations qui, bien que dignes de confiance dans une certaine mesure, peuvent encore représenter un risque important pour nos organisations du simple fait qu'elles sont connectées ou qu'elles nous fournissent des logiciels ou des services. Mais comment ?
Premièrement, nous avons besoin d'une gestion des risques plus efficace pour les fournisseurs et les prestataires de services que nous employons dans nos environnements ou que nous utilisons pour fournir des services professionnels (comme les fournisseurs de cloud computing, par exemple). La définition des fournisseurs et prestataires de services critiques (ainsi que des partenaires) est un point de départ, et nous devons ensuite évaluer soigneusement les types d'actifs et de données avec lesquels les organisations et solutions tierces interagiront.
Deuxièmement, nous devons mieux segmenter les réseaux et les points de connectivité pour tous les tiers associés afin de mieux prévenir l'intrusion d'attaquants et les mouvements latéraux. Certains scénarios d'accès à distance pour des associés "de confiance" permettent un accès presque total aux systèmes une fois que les connexions ont été correctement authentifiées. Tous les tiers ne devraient avoir accès qu'aux ressources dont ils ont besoin, selon la philosophie classique du "besoin de savoir". Les segments de réseau (VLAN ou sous-réseaux) doivent être configurés en fonction des types de données et des modèles d'accès, avec des contrôles appropriés tels que des pare-feu et des détecteurs d'intrusion pour contrôler tout le trafic entrant et sortant de l'environnement.
Webinaire à la demande : Prendre le TPRM au sérieux
Rejoignez Dave Shackleford, propriétaire et consultant principal de Voodoo Security et membre de la faculté de l'IANS Research, pour un webinaire qui vous aidera à évaluer et à comparer votre programme TPRM aux dernières meilleures pratiques.
Alors que de plus en plus d'organisations se concentrent sur la chaîne d'approvisionnement, il est temps d'examiner de près les produits et services tiers dont nous disposons, les fournisseurs tiers auxquels nous avons accès et les types de comportements que les vendeurs et les fournisseurs de services adoptent dans le cadre de leurs activités quotidiennes. La chaîne d'approvisionnement étant aujourd'hui dans le collimateur des adversaires, il n'y a pas de meilleur moment que maintenant pour se concentrer sur le risque lié aux tiers et sur la sécurité de la chaîne d'approvisionnement.
Pour en savoir plus sur mes recommandations pour sécuriser les relations avec les tiers, regardez le webinaire à la demande, What Getting Serious About Third-Party Risk Really Means.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024