Dans la foulée de l'annonce de Quest Diagnostics selon laquelle 12 millions de patients ont été touchés par une violation de données, LabCorp a fait de même en annonçant sa propre violation touchant environ 7,7 millions de consommateurs. Comme dans le cas de Quest, la société de recouvrement American Medical Collection Agency (AMCA) semble être le maillon faible de la chaîne.
Selon la déclaration de LabCorp à la SEC, les données exposées peuvent inclure des noms, des adresses, des dates de naissance et des informations sur le solde des cartes de crédit ou des comptes bancaires fournis par le consommateur à l'AMCA. Bien que l'enquête soit en cours, AMCA a retiré sa page de paiement en ligne après qu'une société de sécurité l'ait alertée d'une possible compromission.
Deux brèches similaires annoncées en deux jours consécutifs ... de la même source !
Que peuvent faire des entreprises comme LabCorp et Quest Diagnostics pour améliorer la résilience de leur site cyber et améliorer la visibilité des risques potentiels liés aux fournisseurs comme ceux-ci ? Voici trois mesures immédiates que vous pouvez prendre :
1. Augmenter la visibilité de l'activité de votre fournisseur cyber et des risques commerciaux
La surveillance continue des réseaux de fournisseurs donne un aperçu immédiat des risques liés aux fournisseurs, qui peut servir de base à des évaluations plus approfondies. Une chose qui peut être particulièrement utile ici est d'examiner non seulement les risques liés à cyber/données des fournisseurs, mais aussi leurs risques commerciaux et opérationnels. Par exemple, des facteurs tels que les annonces de revenus, les licenciements et les notifications antérieures de violation de données peuvent compléter les analyses de sécurité de cyber avec des mesures qualitatives importantes tout en fournissant un indicateur des risques futurs possibles.
2. Effectuer des évaluations approfondies et standardisées sur la base des contrôles internes.
Assurez-vous d'examiner ce qui entre dans les "scores" et les "notes de sécurité" utilisés dans votre surveillance. En l'absence d'assurance du fournisseur, les scores et les notes donnent une vision limitée du risque du fournisseur ; il n'y a pas de véritable évaluation. En effectuant régulièrement des évaluations standardisées basées sur les contrôles, vous obtenez une vue approfondie des pratiques de sécurité des données de chaque fournisseur. Cette approche exige des fournisseurs qu'ils prouvent qu'ils ont mis en place les pratiques et les politiques nécessaires pour atténuer les risques de violation des données. Trop de violations de données sont liées à des lacunes dans les contrôles. Vous devez donc plonger plus profondément dans ce score de sécurité et voir s'il vous indique comment un fournisseur traiterait vos données.
3. Unifier les évaluations et la surveillance continues pour obtenir un score de sécurité unique, "inside-out/outside-in".
Les coûts - et le temps - nécessaires pour effectuer des évaluations approfondies des fournisseurs augmentent, tandis que les ressources pour effectuer les évaluations restent limitées (c'est le moins que l'on puisse dire). La combinaison d'évaluations ponctuelles des fournisseurs et d'une surveillance continue dans une plateforme unique et intégrée offre une visibilité maximale, simplifie la gestion et réduit le coût total de possession. Les avantages sont clairs :
Livrée dans la simplicité d'un cloud sécurisé, la plateformePrevalent unifie les évaluations automatisées des fournisseurs, la surveillance continue des menaces et le partage des preuves - le tout soutenu par des services de conseil et d'expertise pour optimiser votre programme de gestion des risques. Si vous cherchez à évaluer la maturité de votre organisation en matière de gestion des risques liés aux tiers, ou si vous souhaitez obtenir de l'aide pour concevoir un programme visant à améliorer la sécurité des fournisseurs, veuillez nous contacter dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024