Les brèches dans la chaîne d'approvisionnement de Rapid7 et de Postes Canada réitèrent la nécessité de tenir compte des tierces parties

Des incidents de sécurité récents et très médiatisés soulignent la nécessité pour toutes les organisations d'évaluer les risques liés à la chaîne d'approvisionnement.
Par :
Alastair Parr
,
Vice-président principal, Produits et services mondiaux
28 mai 2021
Partager :
Blog sur les violations de la chaîne d'approvisionnement 0521

Rapid7 a récemment révélé que certains de ses clients ont pu être affectés par une cyberattaque contre Codecov, un fournisseur tiers de solutions de couverture de code. La violation de Codecov s'est produite le ou autour du 31 janvier 2021 et a été rendue publique le 15 avril 2021.

Bien que Rapid7 ne soit qu'un des centaines de clients de Codecov potentiellement touchés par la faille de sécurité, il se distingue en tant que fournisseur de technologies de sécurité très en vue. En tant que tel, il est une cible de choix pour les acteurs malveillants qui tentent de compromettre les actifs des clients. Bien que Rapid7 puisse avoir des contrôles et des processus de réponse robustes en interne, cette brèche souligne comment même les organisations les plus rigoureuses peuvent être sujettes à l'exploitation dans leurs chaînes d'approvisionnement.

La plateforme de gestion des risques des tiersPrevalent comprend une évaluation de l'impact que nos clients peuvent exploiter pour identifier les vendeurs et les fournisseurs qui utilisent les solutions Rapid7 et qui peuvent avoir été affectés par cet incident.

Dans le même ordre d'idées, Postes Canada a également annoncé qu'une tierce partie s'était introduite dans son système la semaine dernière. L'incident, qui a exposé les données de 950 000 clients, a été attribué à une attaque de logiciel malveillant sur le fournisseur d'échange de données électroniques, Commport.

Trop souvent, nous supposons que les grandes organisations respectées contrôlent entièrement leurs opérations et leurs services. En réalité, presque toutes les entreprises font appel à des tiers pour produire et fournir leurs produits et services. À leur tour, les tiers sous-traitent généralement à des quatrièmes parties - et de nombreuses relations commerciales s'étendent à des niveaux apparemment innombrables de Nièmes parties. Par conséquent, les violations de données et autres incidents de sécurité au niveau de la chaîne d'approvisionnement peuvent avoir un effet d'entraînement qui se répercute finalement sur le consommateur final.

Bien qu'une assurance absolue ne soit pas possible en matière de sécurité de la chaîne d'approvisionnement, ces cas démontrent l'importance d'effectuer régulièrement des évaluations des risques liés aux fournisseurs, de cartographier les relations entre les fournisseurs et les autres parties, et de procéder à une surveillance continue des tiers. Ces activités permettent aux organisations d'identifier rapidement les incidents de la chaîne d'approvisionnement, de comprendre leur exposition potentielle, d'obtenir les informations dont elles ont besoin pour remédier au risque et de communiquer efficacement avec leurs clients et autres parties prenantes.

Prevalent offre des solutions et des services qui peuvent vous aider à avoir une meilleure visibilité sur les risques de votre organisation, qu'ils soient de troisième, quatrième ou neuvième partie. Contactez nous pour voir si Prevalent est une solution pour vous.

Tags :
Partager :
Leadership alastair parr
Alastair Parr
Vice-président principal, Produits et services mondiaux

Alastair Parr est chargé de veiller à ce que les exigences du marché soient prises en compte et appliquées de manière innovante au sein du portefeuille Prevalent . Il a rejoint Prevalent après avoir été l'un des fondateurs de 3GRC, où il était responsable de la définition des produits et des services et y a joué un rôle déterminant. Il est issu du monde de la gouvernance, du risque et de la conformité, et a développé et mis en œuvre des solutions dans le domaine toujours plus complexe de la gestion des risques. Il apporte plus de 15 ans d'expérience dans la gestion de produits, le conseil et les livrables opérationnels.

Plus tôt dans sa carrière, il a occupé le poste de directeur des opérations pour un fournisseur mondial de services gérés, InteliSecure, où il était chargé de superviser des programmes efficaces de protection des données et de gestion des risques pour les clients. Alastair est titulaire d'un diplôme universitaire en politique et relations internationales, ainsi que de plusieurs certifications en sécurité de l'information.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo