Les atteintes à la sécurité des tiers sont de plus en plus fréquentes. Un exemple récent est la violation de sécurité chez le fournisseur de services d'identité Okta, où un acteur malveillant a utilisé des informations d'identification volées pour accéder au système de gestion de l'assistance de l'entreprise. Okta joue le rôle de courtier et d'intermédiaire pour un grand nombre de sessions d'authentification et d'autorisation pour des applications utilisées par des milliers de clients. Le nombre d'entreprises susceptibles d'être touchées - directement ou indirectement - est donc important.
Comment votre entreprise réagirait-elle si l'un de vos fournisseurs essentiels était victime d'une violation ?
Ce billet propose des suggestions pour préparer votre programme de réponse aux incidents impliquant des tiers et présente cinq mesures à prendre lorsque l'un de vos fournisseurs est victime d'une violation.
Tout d'abord, il est essentiel de surveiller en permanence les tiers critiques pour détecter les menaces nouvelles et émergentes sur cyber (ainsi que les risques opérationnels, financiers et de réputation potentiels). Bien que cela puisse sembler évident, la tâche peut s'avérer monumentale pour les organisations disposant d'un vaste écosystème de fournisseurs. Au lieu d'essayer de suivre manuellement l'actualité de la sécurité et les publications de la communauté, recherchez des fournisseurs de renseignements sur les menaces qui peuvent automatiser et mettre à l'échelle le processus de surveillance pour vous.
Certains de vos fournisseurs tiers ont-ils accès à votre infrastructure, à vos utilisateurs et/ou à vos données ? Dans l'affirmative, veillez à mettre en œuvre des outils d'analyse comportementale pour détecter toute activité anormale. Par ailleurs, il convient de surveiller les logiciels utilisés et de s'assurer qu'ils sont à jour et qu'ils comportent les correctifs nécessaires pour remédier aux éventuelles vulnérabilités. La microsegmentation et les outils de gestion des utilisateurs privilégiés peuvent également être utiles à cet égard.
Les communications à la suite d'une violation par un tiers ou d'un incident présumé sont différentes des communications internes de gestion des incidents. Veillez à ce que les coordonnées des fournisseurs soient facilement accessibles et mettez en place des protocoles de collecte d'informations et des voies d'escalade en cas d'incident. Si le tiers est un fournisseur de logiciels ou de services (voir la violation de SolarWinds en 2020), il peut y avoir un effet de "cascade" qui nécessite des communications avec les clients et les autres parties prenantes.
Quel est le degré d'accès du fournisseur ? Il s'agit d'une question essentielle lorsqu'on envisage des stratégies de confinement. Par exemple, si le fournisseur a accès à vos données mais pas à votre infrastructure, vous pouvez simplement cesser d'utiliser le service ou la plateforme jusqu'à ce que vous en sachiez plus. En revanche, si le fournisseur a accès à votre environnement informatique, quel qu'en soit le niveau, vous devez disposer d'un plan pour mettre immédiatement cet accès en quarantaine et l'isoler.
En cas d'atteinte à la vie privée d'un tiers, le fait de poser les bonnes questions vous aidera à comprendre et à atténuer efficacement l'impact sur votre organisation. Voici quelques recommandations assorties de lignes directrices concernant les réponses possibles (à adapter en fonction des spécificités de l'incident) :
Webinar : 5 actions immédiates après une violation par un tiers
Dave Shackleford, PDG de Voodoo Security et instructeur principal de la SANS, partage les étapes les plus importantes à suivre dans les premières 24 heures d'un incident de sécurité d'un tiers, ainsi que ses stratégies pour préparer votre plan de réponse à l'incident dès maintenant.
Sur la base des conseils ci-dessus, voici une liste rapide de ce qu'il faut faire si vous pensez que votre organisation a été touchée par une infraction commise par un tiers.
Remarque : cette liste ne doit pas être considérée comme un guide complet de gestion des incidents. Veillez à consulter l'équipe de votre centre d'opérations de sécurité (SOC), les auditeurs et d'autres parties internes.
Il est clair que les violations et les incidents impliquant des tiers peuvent avoir d'importantes répercussions en aval sur les opérations de votre organisation. Préparez-vous en tenant compte des risques liés aux tiers dans votre manuel de réponse aux incidents. Sachez qui vous contacterez, quels sont les accords de niveau de service concernés, quelles questions vous poserez et comment vous procéderez en fonction des réponses obtenues. En outre, les programmes de réponse aux incidents étant par nature réactifs, veillez à mettre en œuvre un programme proactif de gestion des risques liés aux tiers afin d'écarter les menaces avant qu'elles n'aient un impact sur votre organisation !
Pour plus d'informations, regardez mon webinaire à la demande (également intégré ci-dessus) et contactez Prevalent pour une démonstration de ses capacités de réponse aux incidents par des tiers dès aujourd'hui.
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024
Suivez ces sept étapes pour découvrir, trier et atténuer le risque de logiciels interdits dans votre...
08/22/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
07/31/2024