Violation de LastPass : 3 meilleures pratiques pour la réponse à un incident par un tiers

Suivez ces trois étapes et utilisez notre questionnaire pour accélérer la découverte et l'atténuation du dernier incident de sécurité d'un fournisseur.
Par :
Scott Lang
,
VP, Marketing produit
27 décembre 2022
Partager :
Blog passwordstate breach 0421

Le 22 décembre 2022, la société de gestion de mots de passe LastPass a annoncé qu'un acteur inconnu de la menace a exploité les informations obtenues lors d'un incident de sécurité survenu en août 2022 pour accéder à un service de stockage tiers basé sur le cloud que LastPass utilise pour stocker des sauvegardes archivées. Bien que LastPass affirme que la menace est minime en raison de ses méthodes de cryptage des données, les attaquants pourraient avoir accès à :

  • Les informations sur les comptes des clients et les métadonnées associées, y compris les noms des sociétés, les noms des utilisateurs finaux, les adresses de facturation, les adresses électroniques, les numéros de téléphone et les adresses IP à partir desquelles les clients accédaient au service LastPass ; et
  • Des données non cryptées, telles que les URL des sites web, ainsi que des champs sensibles entièrement cryptés, tels que les noms d'utilisateur et les mots de passe des sites web, les notes sécurisées et les données remplies dans des formulaires.

À la suite de cette violation, LastPass recommande à ses clients de faire preuve d'une prudence accrue et de modifier leurs mots de passe principaux afin d'éviter tout risque potentiel en aval, par exemple une attaque de type "credential stuffing".

Cet incident est un autre exemple de la façon dont les organisations peuvent être affectées par une violation d'un fournisseur tiers et par des événements dans leur écosystème de quatrième partie. Cet article passe en revue trois pratiques permettant d'améliorer la découverte et l'atténuation des incidents de sécurité des fournisseurs, et propose quelques questions de base pour interroger les fournisseurs sur leur exposition à la dernière violation de données de LastPass.

3 meilleures pratiques pour l'atténuation de la violation des données par des fournisseurs tiers

Bien qu'il ne soit pas possible d'éliminer tous les risques de chaque relation avec les fournisseurs, votre programme de gestion des risques liés aux tiers peut néanmoins fournir la visibilité et l'automatisation nécessaires pour trouver et atténuer efficacement les risques avant que des dommages ou des perturbations supplémentaires ne surviennent dans votre entreprise. Commencez par ces trois étapes :

1. Identifier les fournisseurs qui pourraient utiliser la technologie touchée.

Pour savoir quels vendeurs utilisent une technologie impactée, il faut d'abord savoir qui sont vos vendeurs, ce qui implique la création d'un inventaire centralisé des vendeurs. Vous ne pouvez pas y parvenir en utilisant des feuilles de calcul ou en déléguant la gestion des fournisseurs aux équipes opérationnelles. Elle doit être centralisée dans un système auquel tous les membres de l'organisation concernés par la gestion des fournisseurs peuvent accéder. Vous devez pouvoir importer des fournisseurs à partir de ces feuilles de calcul ou utiliser une connexion API à une solution d'approvisionnement existante dans un système d'enregistrement central.

Une fois que vous avez centralisé tous vos fournisseurs, utilisez des questionnaires destinés aux fournisseurs, soutenus par des capacités d'analyse passive, pour vous aider à identifier les relations technologiques avec des tiers. Dans le cas de cette brèche particulière, cet exercice révélerait quels fournisseurs utilisent LastPass (et par procuration, le fournisseur tiers de sauvegarde en nuage qui a fait l'objet de la brèche). La collecte d'informations sur les technologies de quatrième partie déployées dans votre écosystème de fournisseurs permet de cibler les organisations qui utilisent la technologie touchée et de classer les fournisseurs par ordre de priorité pour une évaluation plus approfondie.

2. Émettre des évaluations des risques spécifiques à un événement

Une fois que vous avez identifié les fournisseurs ayant déployé la technologie concernée dans leurs environnements, engagez-les dans des évaluations simples et ciblées qui s'alignent sur les normes de sécurité connues et les meilleures pratiques telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les éventuelles lacunes de sécurité. Les bonnes solutions fourniront des recommandations intégrées pour accélérer le processus de remédiation et combler plus rapidement ces lacunes.

Commencez votre évaluation spécifique aux événements par les huit questions suivantes, en pondérant les réponses en fonction de la tolérance au risque de votre organisation :

Questions Choix de réponses

1) Votre organisation utilise-t-elle LastPass ?

Veuillez choisir l'une des options suivantes :

a) Oui

b) Non

2) Si l'organisation utilise LastPass, les mots de passe principaux ou les mots de passe stockés des utilisateurs ont-ils été compromis dans le cadre de cette violation ?

Veuillez choisir l'une des options suivantes :

a) Oui

b) Nous n'avons pas déterminé si les mots de passe maîtres et stockés ont été violés.

c) Non

3) L'organisation a-t-elle demandé aux utilisateurs de changer leurs mots de passe principaux et les mots de passe des applications stockées ?

Veuillez choisir l'une des options suivantes :

a) Oui

b) Non

4) Quelle est la nature de l'impact de cette cyberattaque sur l'organisation ?

Texte d'aide : Il convient de tenir compte de l'endroit où l'impact s'est produit, ainsi que du niveau de l'impact.

Impact significatif : La vulnérabilité a provoqué une perte de confidentialité ou d'intégrité des données.

Impact élevé : La disponibilité du système a été périodiquement perdue, ainsi que certaines pertes de confidentialité ou d'intégrité des données.

Faible impact : Aucune perte de confidentialité ou d'intégrité des données ; perturbation minimale ou nulle de la disponibilité du système.

Veuillez choisir l'une des options suivantes :

a) Il y a eu un impact significatif sur nos systèmes ou applications critiques.

b) Il existe un niveau élevé d'impact sur nos systèmes ou applications critiques.

c) L'impact sur nos systèmes ou applications critiques a été faible.

d) L'attaque de cyber n'a pas eu d'impact sur nos systèmes ou applications critiques.

5) Des contrôles des meilleures pratiques ont-ils été mis en œuvre pour atténuer les dommages causés par cette violation ?

Texte d'aide : LastPass recommande les étapes suivantes :

1. Déconnectez-vous immédiatement de toutes les sessions actives de LastPass.
2. Changez votre mot de passe principal.
3. Mettez à jour les adresses électroniques de vos comptes LastPass.
4. Consultez l'historique de votre compte.
5. Restreignez votre compte aux seuls appareils de confiance.
6. Restreindre votre compte aux seuls emplacements de confiance.

Veuillez sélectionner tous les éléments qui s'appliquent :

a) Nous avons imposé des changements aux mots de passe principaux.

b) Nous avons mis à jour les adresses électroniques de nos comptes LastPass.

c) Nous avons examiné l'historique de notre compte pour détecter toute activité de connexion suspecte.

d) Nous avons restreint notre compte aux seuls appareils de confiance.

e) Nous avons restreint notre compte aux seuls endroits de confiance.

6) La compromission affecte-t-elle les services essentiels fournis au client ?

Veuillez choisir l'une des options suivantes :

a) Oui

b) Non

7) L'organisation a-t-elle mis en place un plan d'enquête et de réponse aux incidents ?

Veuillez choisir l'une des options suivantes :

a) Oui, un plan documenté d'enquête et de réponse aux incidents est en place.

b) Non, il n'existe pas de plan documenté d'enquête et de réponse aux incidents.

8) Qui est désigné comme point de contact pouvant répondre à des questions supplémentaires ?

Veuillez indiquer le contact clé pour la gestion des informations et des incidents de cybersécurité.

Nom :

Titre :

Courriel :

Téléphone :

Remarque : Il s'agit de questions de base destinées à exposer certaines informations initiales et à offrir des options de réponse qui peuvent aider à évaluer le risque pour votre organisation. Votre organisation peut choisir de poser des questions différentes ou supplémentaires. Les clients de Prevalent ont également accès à cette évaluation dans leur bibliothèque de questionnaires.

3. Surveiller en permanence les fournisseurs touchés

Vous devez être continuellement vigilant, non seulement pour les risques découlant de cette attaque particulière, mais aussi pour la prochaine attaque. C'est pourquoi vous devez rechercher les informations d'identification à vendre et les signaux d'un incident de sécurité imminent en surveillant l'Internet et le dark web à l'aide de la surveillance continue cyber .

Il est essentiel de surveiller les forums criminels, les pages oignons, les forums d'accès spéciaux du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les dépôts de code et les bases de données de vulnérabilités et de piratages. Vous pouvez surveiller ces sources individuellement ou rechercher des solutions qui regroupent toutes les informations en une seule solution, de sorte que tous les risques soient centralisés et visibles pour l'entreprise. Cette dernière approche vous permet de corréler les résultats de la surveillance continue avec les réponses à l'évaluation des risques afin de valider la mise en place de contrôles par les fournisseurs.

9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

Prochaines étapes : Activez votre programme de réponse aux incidents impliquant des tiers.

Si un incident de cybersécurité se produisait dans votre écosystème de fournisseurs, votre organisation serait-elle en mesure de comprendre rapidement ses implications pour votre entreprise et d'activer son propre plan de réponse aux incidents ? Le temps étant un facteur essentiel dans la réponse aux incidents, le fait d'être plus proactif avec un plan de réponse aux incidents bien défini réduira le temps nécessaire pour découvrir et atténuer les problèmes potentiels des fournisseurs. Un plan de réponse aux incidents d'un tiers plus programmatique pourrait inclure les éléments suivants :

  • Une base de données centralisée des fournisseurs et des technologies sur lesquelles ils s'appuient.
  • Des évaluations préétablies de la résilience, de la continuité et de la sécurité de l'entreprise pour évaluer la probabilité et l'impact d'un incident.
  • Notation et pondération pour aider à se concentrer sur les risques les plus importants.
  • Des recommandations intégrées pour remédier aux vulnérabilités potentielles
  • Rapports spécifiques aux parties prenantes pour répondre aux inévitables demandes du conseil d'administration.

Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à accélérer la découverte et la réduction des risques liés aux tiers, contactez-nous ou planifiez une démonstration dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo