Demandez une démo

Interdiction de Kaspersky : Implications pour la gestion des risques liés aux tiers

Suivez ces sept étapes pour découvrir, trier et atténuer le risque de logiciels interdits dans votre écosystème d'éditeurs et de fournisseurs tiers.
Par :
Scott Lang
,
VP, Marketing produit
22 août 2024
Partager :
Blog kaspersky 0824

En juin 2024, le gouvernement américain a interdit la vente et les mises à jour des logiciels développés par l'entreprise de cybersécurité Kaspersky aux États-Unis. Cette annonce fait suite à une loi de 2017 qui interdisait l'utilisation des logiciels Kaspersky dans les agences gouvernementales. Les États-Unis ne sont pas le seul pays à avoir pris cette décision. Les gouvernements du Royaume-Uni, de l'Allemagne, de l'Italie, des Pays-Bas et d'autres pays ont également interdit ou limité de manière significative l'utilisation des logiciels Kaspersky.

Bien qu'il n'y ait pas de preuve directe d'une activité illégale, l'interdiction découle de la crainte que le gouvernement russe puisse avoir accès au réseau Kaspersky et aux données de ses clients. Ces gouvernements craignent que l'accès utilisé par Kaspersky pour protéger les systèmes informatiques ne soit exploité pour voler des informations sensibles ou installer des logiciels malveillants. L'invasion de l'Ukraine par la Russie a renforcé les craintes que des cyberattaques russes utilisent l'accès aux systèmes de Kaspersky pour mener des opérations offensives contre les pays qui soutiennent l'Ukraine.

Les vendeurs et fournisseurs tiers de ces pays devraient déjà avoir coupé les liens avec les logiciels Kaspersky à la lumière de ces interdictions. Il est donc essentiel que les organisations enquêtent sur leurs vendeurs et leurs chaînes d'approvisionnement pour identifier les cas de Kaspersky afin d'éviter les dommages potentiels cyber, juridiques ou de réputation.

À la lumière de cette nouvelle interdiction, ce billet examine les mesures que les organisations peuvent prendre pour découvrir et surveiller les cas de Kaspersky chez leurs fournisseurs tiers et dans leurs chaînes d'approvisionnement, et pour réduire les risques.

Sept étapes pour atténuer le risque de technologies interdites chez vos fournisseurs tiers ou dans votre chaîne d'approvisionnement

Considérez ces sept étapes pour découvrir, trier et surveiller l'utilisation de Kaspersky dans votre écosystème de fournisseurs. Ces étapes s'appliquent également à toute autre technologie interdite, mais nous nous concentrons ici sur Kaspersky.

1. Établir un inventaire centralisé de tous les tiers

Un inventaire centralisé de tous les vendeurs et fournisseurs tiers ajoute de la gouvernance et des processus à la gestion des fournisseurs, et réduit la probabilité que des relations avec des fournisseurs non surveillés introduisent des risques dans vos opérations informatiques. L'inventaire de vos fournisseurs doit être réalisé sur une plateforme centralisée - et non sur des feuilles de calcul - de manière à ce que plusieurs équipes internes puissent participer à la gestion des fournisseurs et que le processus puisse être automatisé dans l'intérêt de tous.

Vous pouvez créer un inventaire central des fournisseurs en les important dans votre plateforme de gestion des risques par le biais d'un modèle de feuille de calcul ou d'une connexion API à une solution d'approvisionnement ou de comptabilité fournisseurs existante. Les équipes de toute l'entreprise doivent être en mesure de renseigner les informations clés sur les fournisseurs à l'aide d'un formulaire centralisé et personnalisable et d'un flux de travail associé pour l'approbation. Cette capacité devrait être accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions.

Un inventaire central des vendeurs et fournisseurs tiers présente l'avantage supplémentaire de créer un profil unique du fournisseur qui comprend des attributs clés tels que des détails firmographiques, des données financières, des informations opérationnelles et d'autres informations importantes sur l'entreprise.

2. Établir une carte des tiers pour déterminer le risque de concentration technologique

Recueillez les technologies de quatrième partie déployées dans votre écosystème de fournisseurs au cours du processus d'inventaire afin d'aider à identifier les relations entre votre organisation et les tiers sur la base de l'utilisation de certaines technologies. Cela vous aidera à visualiser les voies d'attaque dans votre entreprise et à prendre des mesures d'atténuation proactives. Pour ce faire, vous pouvez procéder à une évaluation ciblée ou à un balayage passif.

Dans le cas de Kaspersky, le fait de disposer d'une carte des fournisseurs qui utilisent l'outil désormais interdit vous aiderait à cibler les fournisseurs à évaluer en vue d'une exposition potentielle aux logiciels malveillants. Concentrez-vous d'abord sur les fournisseurs de premier plan ou critiques pour l'entreprise, car une perturbation de leurs opérations pourrait avoir un impact plus important sur votre organisation.

3. Procéder à une évaluation des risques inhérents

Une fois que vous avez centralisé les fournisseurs et évalué la présence des technologies concernées, procédez à des évaluations des risques inhérents pour vous aider à déterminer comment évaluer vos tiers de manière continue en fonction des risques qu'ils représentent. Les attributs utilisés pour calculer un score de risque inhérent devraient au moins inclure l'accès aux informations ou systèmes sensibles, les exigences réglementaires et légales, et la localisation géographique.

Évaluation des risques liés aux fournisseurs : Le Guide Définitif

Téléchargez ce guide de 18 pages pour obtenir des conseils complets sur la manière de mener et de mettre en œuvre des évaluations des risques liés aux fournisseurs au sein de votre organisation.

Lire la suite
Questionnaire d'évaluation des risques liés aux fournisseurs de blogs 0920

4. Évaluer les plans de résilience et de continuité des activités des tiers

Engagez de manière proactive les fournisseurs à risque avec des évaluations simples et ciblées qui s'alignent sur les normes connues de l'industrie. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les lacunes potentielles en matière de sécurité. Les bonnes solutions prévoient l'automatisation du flux de travail, l'examen et l'analyse, la gestion des preuves et des recommandations intégrées pour accélérer les mesures correctives et combler rapidement ces lacunes.

5. Surveiller en permanence les vendeurs et les fournisseurs à risque pour détecter les attaques cyber.

La vigilance permanente à l'égard de la prochaine attaque signifie qu'il faut rechercher les signes d'un incident de sécurité imminent. Il est essentiel de surveiller les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les référentiels de code et les bases de données de vulnérabilités et de piratages.

Vous pouvez surveiller ces sources individuellement ou rechercher des solutions qui unifient toutes les informations en une source unique, de sorte que tous les risques soient centralisés et visibles pour l'entreprise. Corrélez toutes les données de surveillance aux résultats de l'évaluation et centralisez-les dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, les rapports et les initiatives de réponse.

6. Testez votre plan d'intervention en cas d'incident d'un tiers

L'automatisation de la réponse aux incidents est essentielle pour réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) aux incidents de tiers, ce qui peut réduire l'impact de l'incident sur vos opérations. En améliorant continuellement vos plans de réponse aux incidents :

  • Exploiter un questionnaire centralisé de gestion des événements et des incidents pour réduire les temps de réponse et simplifier et normaliser les évaluations.
  • Suivre en temps réel l'évolution de la réalisation du questionnaire afin de réduire les risques d'impact.
  • Permettre aux vendeurs de signaler les incidents de manière proactive afin d'ajouter du contexte et d'accélérer les temps de réponse.
  • Utiliser des règles de flux de travail pour déclencher des processus automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Donner des conseils au fournisseur pour qu'il revienne à un niveau de risque acceptable pour l'organisation.

En centralisant la réponse aux incidents de tiers dans un processus unique de gestion des incidents d'entreprise, vos équipes informatiques, de sécurité, juridiques, de protection de la vie privée et de conformité peuvent collaborer efficacement pour atténuer les risques.

7. Faire respecter les dispositions des contrats de vente

Veillez à inclure des dispositions exécutoires dans les contrats des fournisseurs qui interdisent l'utilisation de technologies interdites et exigent des tiers qu'ils attestent de leur non-utilisation. Pour simplifier le processus et l'intégrer au programme d'évaluation des risques des tiers, tirez parti des capacités de flux de travail des contrats pour automatiser le cycle de vie, de l'inscription à la sortie, et recherchez des capacités d'IA qui extraient automatiquement les détails contractuels clés pour un suivi et une mise en œuvre centralisés.

Prochaines étapes pour le TPRM dans l'interdiction de Kaspersky

Adopter une approche manuelle et réactive de la gestion des risques liés aux tiers ne fera qu'augmenter la probabilité d'une interruption de l'activité, d'une sanction juridique ou d'une mise en conformité. Au lieu de cela, suivez les sept étapes décrites dans cet article pour être mieux préparé aux futures interdictions de logiciels.

La plateforme de gestion des risques pour les tiersPrevalent peut vous aider :

  • Centralisation des contrats avec les fournisseurs, automatisation de la gestion des dispositions clés et intégration native dans le processus d'évaluation des risques.
  • Automatisation de la gestion des fournisseurs et établissement d'une carte de toutes les tierces parties, quatrième partie et Nième partie.
  • Fournir un profil unique et complet pour chaque fournisseur, accessible à toutes les parties prenantes.
  • Profilage et hiérarchisation des fournisseurs afin de les classer avec précision et de leur prescrire la diligence appropriée.
  • L'évaluation des fournisseurs par rapport à des dizaines de cadres sectoriels à l'aide de plus de 750 modèles d'évaluation des risques avec des recommandations de remédiation intégrées.
  • Contrôler en permanence cyber, les risques commerciaux, financiers et de réputation afin de valider les réponses à l'évaluation.
  • Gestion du processus de réponse aux incidents par des tiers.

Pour en savoir plus sur la façon dont Prevalent peut vous aider à découvrir, trier et atténuer les risques des logiciels interdits dans votre écosystème de fournisseurs, demandez une démonstration dès aujourd'hui .

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo