Le 22 décembre 2022, la société de gestion de mots de passe LastPass a annoncé qu'un acteur inconnu de la menace a exploité les informations obtenues lors d'un incident de sécurité survenu en août 2022 pour accéder à un service de stockage tiers basé sur le cloud que LastPass utilise pour stocker des sauvegardes archivées. Bien que LastPass affirme que la menace est minime en raison de ses méthodes de cryptage des données, les attaquants pourraient avoir accès à :
À la suite de cette violation, LastPass recommande à ses clients de faire preuve d'une prudence accrue et de modifier leurs mots de passe principaux afin d'éviter tout risque potentiel en aval, par exemple une attaque de type "credential stuffing".
Cet incident est un autre exemple de la façon dont les organisations peuvent être affectées par une violation d'un fournisseur tiers et par des événements dans leur écosystème de quatrième partie. Cet article passe en revue trois pratiques permettant d'améliorer la découverte et l'atténuation des incidents de sécurité des fournisseurs, et propose quelques questions de base pour interroger les fournisseurs sur leur exposition à la dernière violation de données de LastPass.
Bien qu'il ne soit pas possible d'éliminer tous les risques de chaque relation avec les fournisseurs, votre programme de gestion des risques liés aux tiers peut néanmoins fournir la visibilité et l'automatisation nécessaires pour trouver et atténuer efficacement les risques avant que des dommages ou des perturbations supplémentaires ne surviennent dans votre entreprise. Commencez par ces trois étapes :
Pour savoir quels vendeurs utilisent une technologie impactée, il faut d'abord savoir qui sont vos vendeurs, ce qui implique la création d'un inventaire centralisé des vendeurs. Vous ne pouvez pas y parvenir en utilisant des feuilles de calcul ou en déléguant la gestion des fournisseurs aux équipes opérationnelles. Elle doit être centralisée dans un système auquel tous les membres de l'organisation concernés par la gestion des fournisseurs peuvent accéder. Vous devez pouvoir importer des fournisseurs à partir de ces feuilles de calcul ou utiliser une connexion API à une solution d'approvisionnement existante dans un système d'enregistrement central.
Une fois que vous avez centralisé tous vos fournisseurs, utilisez des questionnaires destinés aux fournisseurs, soutenus par des capacités d'analyse passive, pour vous aider à identifier les relations technologiques avec des tiers. Dans le cas de cette brèche particulière, cet exercice révélerait quels fournisseurs utilisent LastPass (et par procuration, le fournisseur tiers de sauvegarde en nuage qui a fait l'objet de la brèche). La collecte d'informations sur les technologies de quatrième partie déployées dans votre écosystème de fournisseurs permet de cibler les organisations qui utilisent la technologie touchée et de classer les fournisseurs par ordre de priorité pour une évaluation plus approfondie.
Une fois que vous avez identifié les fournisseurs ayant déployé la technologie concernée dans leurs environnements, engagez-les dans des évaluations simples et ciblées qui s'alignent sur les normes de sécurité connues et les meilleures pratiques telles que NIST 800-161 et ISO 27036. Les résultats de ces évaluations vous aideront à cibler les mesures correctives nécessaires pour combler les éventuelles lacunes de sécurité. Les bonnes solutions fourniront des recommandations intégrées pour accélérer le processus de remédiation et combler plus rapidement ces lacunes.
Commencez votre évaluation spécifique aux événements par les huit questions suivantes, en pondérant les réponses en fonction de la tolérance au risque de votre organisation :
Questions | Choix de réponses |
---|---|
1) Votre organisation utilise-t-elle LastPass ? |
Veuillez choisir l'une des options suivantes : a) Oui b) Non |
2) Si l'organisation utilise LastPass, les mots de passe principaux ou les mots de passe stockés des utilisateurs ont-ils été compromis dans le cadre de cette violation ? |
Veuillez choisir l'une des options suivantes : a) Oui b) Nous n'avons pas déterminé si les mots de passe maîtres et stockés ont été violés. c) Non |
3) L'organisation a-t-elle demandé aux utilisateurs de changer leurs mots de passe principaux et les mots de passe des applications stockées ? |
Veuillez choisir l'une des options suivantes : a) Oui b) Non |
4) Quelle est la nature de l'impact de cette cyberattaque sur l'organisation ? Texte d'aide : Il convient de tenir compte de l'endroit où l'impact s'est produit, ainsi que du niveau de l'impact. Impact significatif : La vulnérabilité a provoqué une perte de confidentialité ou d'intégrité des données. Impact élevé : La disponibilité du système a été périodiquement perdue, ainsi que certaines pertes de confidentialité ou d'intégrité des données. Faible impact : Aucune perte de confidentialité ou d'intégrité des données ; perturbation minimale ou nulle de la disponibilité du système. |
Veuillez choisir l'une des options suivantes : a) Il y a eu un impact significatif sur nos systèmes ou applications critiques. b) Il existe un niveau élevé d'impact sur nos systèmes ou applications critiques. c) L'impact sur nos systèmes ou applications critiques a été faible. d) L'attaque de cyber n'a pas eu d'impact sur nos systèmes ou applications critiques. |
5) Des contrôles des meilleures pratiques ont-ils été mis en œuvre pour atténuer les dommages causés par cette violation ? Texte d'aide : LastPass recommande les étapes suivantes : 1. Déconnectez-vous immédiatement de toutes les sessions actives de LastPass. |
Veuillez sélectionner tous les éléments qui s'appliquent : a) Nous avons imposé des changements aux mots de passe principaux. b) Nous avons mis à jour les adresses électroniques de nos comptes LastPass. c) Nous avons examiné l'historique de notre compte pour détecter toute activité de connexion suspecte. d) Nous avons restreint notre compte aux seuls appareils de confiance. e) Nous avons restreint notre compte aux seuls endroits de confiance. |
6) La compromission affecte-t-elle les services essentiels fournis au client ? |
Veuillez choisir l'une des options suivantes : a) Oui b) Non |
7) L'organisation a-t-elle mis en place un plan d'enquête et de réponse aux incidents ? |
Veuillez choisir l'une des options suivantes : a) Oui, un plan documenté d'enquête et de réponse aux incidents est en place. b) Non, il n'existe pas de plan documenté d'enquête et de réponse aux incidents. |
8) Qui est désigné comme point de contact pouvant répondre à des questions supplémentaires ? |
Veuillez indiquer le contact clé pour la gestion des informations et des incidents de cybersécurité. Nom : Titre : Courriel : Téléphone : |
Remarque : Il s'agit de questions de base destinées à exposer certaines informations initiales et à offrir des options de réponse qui peuvent aider à évaluer le risque pour votre organisation. Votre organisation peut choisir de poser des questions différentes ou supplémentaires. Les clients de Prevalent ont également accès à cette évaluation dans leur bibliothèque de questionnaires.
Vous devez être continuellement vigilant, non seulement pour les risques découlant de cette attaque particulière, mais aussi pour la prochaine attaque. C'est pourquoi vous devez rechercher les informations d'identification à vendre et les signaux d'un incident de sécurité imminent en surveillant l'Internet et le dark web à l'aide de la surveillance continue cyber .
Il est essentiel de surveiller les forums criminels, les pages oignons, les forums d'accès spéciaux du dark web, les flux de menaces, les sites de collage d'informations d'identification, les communautés de sécurité, les dépôts de code et les bases de données de vulnérabilités et de piratages. Vous pouvez surveiller ces sources individuellement ou rechercher des solutions qui regroupent toutes les informations en une seule solution, de sorte que tous les risques soient centralisés et visibles pour l'entreprise. Cette dernière approche vous permet de corréler les résultats de la surveillance continue avec les réponses à l'évaluation des risques afin de valider la mise en place de contrôles par les fournisseurs.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Si un incident de cybersécurité se produisait dans votre écosystème de fournisseurs, votre organisation serait-elle en mesure de comprendre rapidement ses implications pour votre entreprise et d'activer son propre plan de réponse aux incidents ? Le temps étant un facteur essentiel dans la réponse aux incidents, le fait d'être plus proactif avec un plan de réponse aux incidents bien défini réduira le temps nécessaire pour découvrir et atténuer les problèmes potentiels des fournisseurs. Un plan de réponse aux incidents d'un tiers plus programmatique pourrait inclure les éléments suivants :
Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à accélérer la découverte et la réduction des risques liés aux tiers, contactez-nous ou planifiez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024