Violation des données de LabCorp : Le temps d'un nouveau diagnostic des risques liés aux tiers est venu

Dans la foulée de l'annonce de la violation de Quest Diagnostics, LabCorp a fait de même en annonçant sa propre violation touchant environ 7,7 millions de consommateurs. Voici ce que vous pouvez faire pour endiguer la menace de violations par des tiers.
Par :
Scott Lang
,
VP, Marketing produit
05 juin 2019
Partager :
Blog Labcorp Breach June 2019

Dans la foulée de l'annonce de Quest Diagnostics selon laquelle 12 millions de patients ont été touchés par une violation de données, LabCorp a fait de même en annonçant sa propre violation touchant environ 7,7 millions de consommateurs. Comme dans le cas de Quest, la société de recouvrement American Medical Collection Agency (AMCA) semble être le maillon faible de la chaîne.

Selon la déclaration de LabCorp à la SEC, les données exposées peuvent inclure des noms, des adresses, des dates de naissance et des informations sur le solde des cartes de crédit ou des comptes bancaires fournis par le consommateur à l'AMCA. Bien que l'enquête soit en cours, AMCA a retiré sa page de paiement en ligne après qu'une société de sécurité l'ait alertée d'une possible compromission.

Deux brèches similaires annoncées en deux jours consécutifs ... de la même source !

Que peuvent faire des entreprises comme LabCorp et Quest Diagnostics pour améliorer la résilience de leur site cyber et améliorer la visibilité des risques potentiels liés aux fournisseurs comme ceux-ci ? Voici trois mesures immédiates que vous pouvez prendre :

1. Augmenter la visibilité de l'activité de votre fournisseur cyber et des risques commerciaux

La surveillance continue des réseaux de fournisseurs donne un aperçu immédiat des risques liés aux fournisseurs, qui peut servir de base à des évaluations plus approfondies. Une chose qui peut être particulièrement utile ici est d'examiner non seulement les risques liés à cyber/données des fournisseurs, mais aussi leurs risques commerciaux et opérationnels. Par exemple, des facteurs tels que les annonces de revenus, les licenciements et les notifications antérieures de violation de données peuvent compléter les analyses de sécurité de cyber avec des mesures qualitatives importantes tout en fournissant un indicateur des risques futurs possibles.

2. Effectuer des évaluations approfondies et standardisées sur la base des contrôles internes.

Assurez-vous d'examiner ce qui entre dans les "scores" et les "notes de sécurité" utilisés dans votre surveillance. En l'absence d'assurance du fournisseur, les scores et les notes donnent une vision limitée du risque du fournisseur ; il n'y a pas de véritable évaluation. En effectuant régulièrement des évaluations standardisées basées sur les contrôles, vous obtenez une vue approfondie des pratiques de sécurité des données de chaque fournisseur. Cette approche exige des fournisseurs qu'ils prouvent qu'ils ont mis en place les pratiques et les politiques nécessaires pour atténuer les risques de violation des données. Trop de violations de données sont liées à des lacunes dans les contrôles. Vous devez donc plonger plus profondément dans ce score de sécurité et voir s'il vous indique comment un fournisseur traiterait vos données.

3. Unifier les évaluations et la surveillance continues pour obtenir un score de sécurité unique, "inside-out/outside-in".

Les coûts - et le temps - nécessaires pour effectuer des évaluations approfondies des fournisseurs augmentent, tandis que les ressources pour effectuer les évaluations restent limitées (c'est le moins que l'on puisse dire). La combinaison d'évaluations ponctuelles des fournisseurs et d'une surveillance continue dans une plateforme unique et intégrée offre une visibilité maximale, simplifie la gestion et réduit le coût total de possession. Les avantages sont clairs :

  • Moins de fournisseurs de solutions de risque tiers à gérer
  • Moins de temps pour compléter, analyser et remédier aux problèmes de contrôle des fournisseurs
  • Réduction des coûts d'assistance

Livrée dans la simplicité d'un cloud sécurisé, la plateformePrevalent unifie les évaluations automatisées des fournisseurs, la surveillance continue des menaces et le partage des preuves - le tout soutenu par des services de conseil et d'expertise pour optimiser votre programme de gestion des risques. Si vous cherchez à évaluer la maturité de votre organisation en matière de gestion des risques liés aux tiers, ou si vous souhaitez obtenir de l'aide pour concevoir un programme visant à améliorer la sécurité des fournisseurs, veuillez nous contacter dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo