En juin 2024, le gouvernement américain a interdit la vente et les mises à jour des logiciels développés par l'entreprise de cybersécurité Kaspersky aux États-Unis. Cette annonce fait suite à une loi de 2017 qui interdisait l'utilisation des logiciels Kaspersky dans les agences gouvernementales. Les États-Unis ne sont pas le seul pays à avoir pris cette décision. Les gouvernements du Royaume-Uni, de l'Allemagne, de l'Italie, des Pays-Bas et d'autres pays ont également interdit ou limité de manière significative l'utilisation des logiciels Kaspersky.
Bien qu'il n'y ait pas de preuve directe d'une activité illégale, l'interdiction découle de la crainte que le gouvernement russe puisse avoir accès au réseau Kaspersky et aux données de ses clients. Ces gouvernements craignent que l'accès utilisé par Kaspersky pour protéger les systèmes informatiques ne soit exploité pour voler des informations sensibles ou installer des logiciels malveillants. L'invasion de l'Ukraine par la Russie a renforcé les craintes que des cyberattaques russes utilisent l'accès aux systèmes de Kaspersky pour mener des opérations offensives contre les pays qui soutiennent l'Ukraine.
Les vendeurs et fournisseurs tiers de ces pays devraient déjà avoir coupé les liens avec les logiciels Kaspersky à la lumière de ces interdictions. Il est donc essentiel que les organisations enquêtent sur leurs vendeurs et leurs chaînes d'approvisionnement pour identifier les cas de Kaspersky afin d'éviter les dommages potentiels cyber, juridiques ou de réputation.
À la lumière de cette nouvelle interdiction, ce billet examine les mesures que les organisations peuvent prendre pour découvrir et surveiller les cas de Kaspersky chez leurs fournisseurs tiers et dans leurs chaînes d'approvisionnement, et pour réduire les risques.
Considérez ces sept étapes pour découvrir, trier et surveiller l'utilisation de Kaspersky dans votre écosystème de fournisseurs. Ces étapes s'appliquent également à toute autre technologie interdite, mais nous nous concentrons ici sur Kaspersky.
Un inventaire centralisé de tous les vendeurs et fournisseurs tiers ajoute de la gouvernance et des processus à la gestion des fournisseurs, et réduit la probabilité que des relations avec des fournisseurs non surveillés introduisent des risques dans vos opérations informatiques. L'inventaire de vos fournisseurs doit être réalisé sur une plateforme centralisée - et non sur des feuilles de calcul - de manière à ce que plusieurs équipes internes puissent participer à la gestion des fournisseurs et que le processus puisse être automatisé dans l'intérêt de tous.
Vous pouvez créer un inventaire central des fournisseurs en les important dans votre plateforme de gestion des risques par le biais d'un modèle de feuille de calcul ou d'une connexion API à une solution d'approvisionnement ou de comptabilité fournisseurs existante. Les équipes de toute l'entreprise doivent être en mesure de renseigner les informations clés sur les fournisseurs à l'aide d'un formulaire centralisé et personnalisable et d'un flux de travail associé pour l'approbation. Cette capacité devrait être accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions.
Un inventaire central des vendeurs et fournisseurs tiers présente l'avantage supplémentaire de créer un profil unique du fournisseur qui comprend des attributs clés tels que des détails firmographiques, des données financières, des informations opérationnelles et d'autres informations importantes sur l'entreprise.
Recueillez les technologies de quatrième partie déployées dans votre écosystème de fournisseurs au cours du processus d'inventaire afin d'aider à identifier les relations entre votre organisation et les tiers sur la base de l'utilisation de certaines technologies. Cela vous aidera à visualiser les voies d'attaque dans votre entreprise et à prendre des mesures d'atténuation proactives. Pour ce faire, vous pouvez procéder à une évaluation ciblée ou à un balayage passif.
Dans le cas de Kaspersky, le fait de disposer d'une carte des fournisseurs qui utilisent l'outil désormais interdit vous aiderait à cibler les fournisseurs à évaluer en vue d'une exposition potentielle aux logiciels malveillants. Concentrez-vous d'abord sur les fournisseurs de premier plan ou critiques pour l'entreprise, car une perturbation de leurs opérations pourrait avoir un impact plus important sur votre organisation.
Une fois que vous avez centralisé les fournisseurs et évalué la présence des technologies concernées, procédez à des évaluations des risques inhérents pour vous aider à déterminer comment évaluer vos tiers de manière continue en fonction des risques qu'ils représentent. Les attributs utilisés pour calculer un score de risque inhérent devraient au moins inclure l'accès aux informations ou systèmes sensibles, les exigences réglementaires et légales, et la localisation géographique.
Évaluation des risques liés aux fournisseurs : Le Guide Définitif
Téléchargez ce guide de 18 pages pour obtenir des conseils complets sur la manière de mener et de mettre en œuvre des évaluations des risques liés aux fournisseurs au sein de votre organisation.
Engagez de manière proactive les fournisseurs à risque avec des évaluations simples et ciblées qui s'alignent sur les normes connues de l'industrie. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les lacunes potentielles en matière de sécurité. Les bonnes solutions prévoient l'automatisation du flux de travail, l'examen et l'analyse, la gestion des preuves et des recommandations intégrées pour accélérer les mesures correctives et combler rapidement ces lacunes.
La vigilance permanente à l'égard de la prochaine attaque signifie qu'il faut rechercher les signes d'un incident de sécurité imminent. Il est essentiel de surveiller les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les référentiels de code et les bases de données de vulnérabilités et de piratages.
Vous pouvez surveiller ces sources individuellement ou rechercher des solutions qui unifient toutes les informations en une source unique, de sorte que tous les risques soient centralisés et visibles pour l'entreprise. Corrélez toutes les données de surveillance aux résultats de l'évaluation et centralisez-les dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports et les initiatives de réponse.
L'automatisation de la réponse aux incidents est essentielle pour réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) aux incidents de tiers, ce qui peut réduire l'impact de l'incident sur vos opérations. En améliorant continuellement vos plans de réponse aux incidents :
En centralisant la réponse aux incidents de tiers dans un processus unique de gestion des incidents d'entreprise, vos équipes informatiques, de sécurité, juridiques, de protection de la vie privée et de conformité peuvent collaborer efficacement pour atténuer les risques.
Veillez à inclure des dispositions exécutoires dans les contrats des fournisseurs qui interdisent l'utilisation de technologies interdites et exigent des tiers qu'ils attestent de leur non-utilisation. Pour simplifier le processus et l'intégrer au programme d'évaluation des risques des tiers, tirez parti des capacités de flux de travail des contrats pour automatiser le cycle de vie, de l'inscription à la sortie, et recherchez des capacités d'IA qui extraient automatiquement les détails contractuels clés pour un suivi et une mise en œuvre centralisés.
Adopter une approche manuelle et réactive de la gestion des risques liés aux tiers ne fera qu'augmenter la probabilité d'une interruption de l'activité, d'une sanction juridique ou d'une mise en conformité. Au lieu de cela, suivez les sept étapes décrites dans cet article pour être mieux préparé aux futures interdictions de logiciels.
La plateforme de gestion des risques pour les tiersPrevalent peut vous aider :
Pour en savoir plus sur la façon dont Prevalent peut vous aider à découvrir, trier et atténuer les risques des logiciels interdits dans votre écosystème de fournisseurs, demandez une démonstration dès aujourd'hui .
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024