La faille de Nordstrom expose les informations des employés

C'est reparti. Un autre détaillant, une autre cyber-attaque liée à un fournisseur tiers. Mais cette fois, il ne s'agit pas de voler des informations sur les clients, mais sur les employés. La chaîne de magasins de luxe Nordstrom a annoncé que les informations de ses employés pourraient avoir été compromises dans le cadre d'une violation de données. Il pourrait s'agir des numéros de sécurité sociale, des dates de naissance, des numéros de compte chèque, des numéros d'acheminement et d'autres informations personnelles identifiables (PII) des employés. Les acteurs malveillants savent que s'introduire chez un petit fournisseur, sans budget de sécurité adéquat, ouvre la voie au vol de données précieuses dans les grandes entreprises.

Dans une déclaration officielle, Nordstrom a identifié la source de la violation comme étant un travailleur contractuel qui a manipulé de manière inappropriée les données des employés. Bien que l'on ne sache toujours pas si les informations ont été partagées ou utilisées de manière malveillante, la société a précisé que le contractuel "n'a plus accès à nos systèmes et que nous mettons en place des mesures supplémentaires pour éviter que cela ne se reproduise." Nordstrom n'a pas encore divulgué le nombre d'employés touchés par la brèche.

Bien que la violation de Nordstrom soit quelque peu unique en ce sens qu'il s'agissait d'informations sur les employés plutôt que sur les clients, elle s'inscrit dans une série croissante de violations de données causées par des fournisseurs tiers. Ces violations ont touché des entreprises telles que Target et Expedia et ont suscité des discussions sur les différentes approches de la gestion des risques liés aux tiers.

Bien qu'il existe un certain désaccord dans le domaine de la gestion des risques liés aux tiers quant à l'efficacité par rapport à la charge des différentes méthodes d'atténuation des risques telles que les enquêtes d'évaluation, la surveillance continue et les inspections sur site, la réalité est que chacune d'entre elles est un outil unique à la disposition des équipes de gestion des risques, et que chacune sert un objectif spécifique dans le contexte de la relation entre le vendeur et le client.

Dans le cas de la violation de Nordstrom, l'implication d'un entrepreneur tiers souligne la nécessité d'un programme de risque tiers à multiples facettes. Des enquêtes d'évaluation et un processus d'intégration approfondi peuvent aider les entreprises à atténuer le risque lié aux menaces humaines, tandis qu'une surveillance continue peut prévenir et atténuer les menaces cyber .

Prevalent apporte à ses partenaires une boîte à outils complète pour prévenir et gérer les risques liés aux tiers. Forrester a récemment désigné Prevalent comme un leader dans The Forrester New Wave™ : Cybersecurity Risk Rating Solutions et a noté que "Prevalent est la meilleure solution pour les entreprises qui veulent un outil TPRM avec des évaluations de risques intégrées cyber. Compte tenu de ses solides renseignements sur les risques et de ses fonctions complètes de gestion des risques, Prevalent est une option valable pour les professionnels de la sécurité et des risques qui recherchent un seul outil pour toutes les activités TPRM cyber ."

En tant que seule plate-forme unifiée spécialement conçue pour le secteur, qui intègre une combinaison puissante d'évaluations automatisées, de surveillance continue et de partage de preuves pour la collaboration entre les entreprises et les fournisseurs, Prevalent offre la meilleure solution pour un programme de risque tiers efficace et hautement fonctionnel.

Daryan Ver Ploeg est analyste des renseignements sur les sources ouvertes au sein de l'équipe Vendor Threat Monitor de Prevalent, basée à Washington, DC. Il est diplômé de l'Université du Maryland, College Park, avec un Bachelor of Arts en gouvernement et politique.