Réponse à la violation d'une tierce partie : 6 mesures immédiates à prendre

Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
Par :
Dave Shackleford
,
Propriétaire et consultant principal, Voodoo Security
17 septembre 2024
Partager :
2024 Blog Réponse à une brèche par un tiers

À une époque où les violations de données sont souvent une question non pas de si,mais de quand, il est plus que jamais crucial de comprendre comment répondre efficacement à un incident de sécurité d'un tiers. il est plus que jamais essentiel de comprendre comment réagir efficacement à un incident de sécurité d'un tiers. Comment votre entreprise réagirait-elle si l'un de vos fournisseurs essentiels était victime d'une violation ? Les premières 24 heures suivant la découverte d'un incident impliquant un tiers sont essentielles pour donner le ton à vos efforts de réponse.

Ce billet aborde les défis liés à la réponse à une violation par un tiers et présente six mesures à prendre immédiatement après une cyberattaque réussie.

Défis liés à la réponse à une brèche par un tiers

Se préparer à des scénarios de type "what-if" et aux incidents les plus graves peut être une tâche complexe pour toute entreprise qui travaille avec de nombreuses tierces parties. La gestion de centaines ou de milliers de relations avec les fournisseurs ajoute des difficultés, ce qui rend difficile le maintien d'un processus rigoureux de réponse aux incidents. Les principaux défis à relever sont les suivants :

  • Manque de visibilité sur l'écosystème des fournisseurs : Les différents services qui gèrent les fournisseurs à l'aide d'outils disparates ne disposent souvent pas d'une base de données centralisée sur les fournisseurs. Il est donc difficile d'évaluer et de gérer efficacement les risques liés aux fournisseurs.
  • Des processus manuels qui prennent du temps : S'appuyer sur des méthodes manuelles, telles que des feuilles de calcul et des enquêtes, pour suivre les contrôles de sécurité dans les écosystèmes tiers est inefficace, source d'erreurs et difficile à mettre à l'échelle.
  • Des questionnaires d'évaluation des risques inadéquats : De nombreux questionnaires ne prennent pas en compte les risques spécifiques des fournisseurs et négligent d'évaluer leur capacité à réagir rapidement en cas d'incident. Cela limite la capacité de l'organisation à évaluer avec précision sa position en matière de cybersécurité.
  • Difficulté à suivre, à évaluer et à gérer les risques : En l'absence d'un processus structuré de réévaluation des risques, les organisations ont souvent du mal à comprendre les implications des risques identifiés et à déterminer comment les hiérarchiser et les traiter.
  • Absence d'orientations prescriptives en matière de remédiation : En l'absence de conseils clairs et réalisables, les vulnérabilités identifiées risquent de ne pas être corrigées, laissant l'organisation exposée à des menaces potentielles.
  • Des rapports inadéquats sur les progrès et les mesures d'atténuation : L'insuffisance des rapports sur les efforts d'atténuation des risques nuit à la responsabilité et à la transparence, ce qui rend difficile la communication des progrès aux cadres supérieurs ou aux membres du conseil d'administration, en particulier dans les cas très médiatisés.

Ces défis augmentent le temps et le coût de la détection et de l'atténuation des violations. En moyenne, les violations impliquant des tiers coûtent 11,8 % plus cher et prennent 12,8 % plus de temps à résoudre, le cycle de vie d'une violation s'étendant à 307 jours. Des temps de détection et de réponse plus rapides sont essentiels pour réduire les dommages, car les délais plus longs donnent aux attaquants plus de temps pour exploiter les systèmes. Par conséquent, les programmes de gestion des risques des tiers, tout comme les programmes de sécurité internes, doivent être optimisés pour répondre rapidement aux menaces émergentes.

Cybersécurité des tiers : Tendances émergentes et mesures à prendre en 2024

Dans ce webinaire, Dave Shackleford, PDG de Voodoo Security et instructeur principal de la SANS, partage son point de vue sur les étapes les plus importantes pour préparer votre programme de cybersécurité pour les tiers en 2024.

Six mesures à prendre dans les 24 heures qui suivent une faille de sécurité

Les étapes suivantes constituent une liste rapide des mesures à prendre au cas où votre organisation serait touchée par une atteinte à la vie privée d'un tiers. Le type ou l'ampleur de la violation aura une incidence sur les mesures spécifiques que vous prendrez à chaque étape.

Remarque : ces étapes ne doivent pas être considérées comme des conseils exhaustifs en matière de gestion des incidents. Veillez à collaborer avec l'équipe de votre centre d'opérations de sécurité (SOC), les auditeurs et d'autres parties internes.

1. Communiquer

Dès qu'un incident est détecté, établissez immédiatement une communication avec le tiers concerné. Il est essentiel de disposer d'un plan de communication préétabli dans le cadre de votre programme global de réponse aux incidents. Commencez par comprendre la portée et l'impact de l'attaque, en particulier si elle concerne des données personnelles ou sensibles régies par des normes réglementaires. Discutez des accords de niveau de service (SLA) ou des obligations contractuelles, et efforcez-vous de maintenir un dialogue calme et constructif.

Considération clé : Incorporez un arbre de décision de communication dans votre plan d'intervention en cas d'incident, décrivant les informations à communiquer en fonction de vos connaissances actuelles et du moment de vos découvertes, y compris des délais spécifiques pour les produits livrables.

2. Recueillir des informations

Une fois que le contact est établi et que l'étendue de la violation est comprise, recueillez des informations détaillées sur l'incident. Traitez cette étape comme une mini-évaluation post-fraude. Posez des questions pour savoir ce qui s'est passé, quelles données ont été consultées, quelles sont les expositions potentielles et quels sont les plans de reprise. Il est essentiel de comprendre le délai de rétablissement, surtout si la violation a entraîné une interruption de service.

En cas de violation par un tiers, le fait de poser les bonnes questions vous aidera à comprendre et à atténuer efficacement l'impact sur votre organisation.

Questions recommandées (à adapter en fonction des spécificités de l'incident) :

  • Le fournisseur a-t-il été touché par une violation ou a-t-il utilisé un produit/service touché par une violation (oui/non) ?
  • Quelle est la nature de l'impact sur le fournisseur ? (impact élevé/moyen/faible sur les systèmes, les applications et/ou les données)
  • L'incident affecte-t-il les services essentiels fournis à votre organisation ? (Oui/Non)
  • Le fournisseur a-t-il pris les mesures correctives suivantes ? (Énumérer les mesures recommandées, telles que l'application de correctifs ou la mise à jour des systèmes concernés)
  • Le fournisseur a-t-il modifié les contrôles existants ou mis en œuvre de nouveaux contrôles pour résoudre et atténuer l'impact de la violation (identifié et déjà mis en œuvre ; identifié et en cours de mise en œuvre ; non identifié et/ou ne pouvant pas être mis en œuvre) ?
  • Si les contrôles ne peuvent être mis en œuvre, quels sont les contrôles compensatoires ou les méthodes de contournement mis en œuvre ?
  • Qui est le point de contact pour les demandes de renseignements complémentaires ?

3. Isoler

Les stratégies de confinement varieront en fonction du type de violation et du niveau d'accès du fournisseur. Par exemple, si le fournisseur a accès à vos données mais pas à votre infrastructure, vous pouvez cesser d'utiliser le service ou la plateforme jusqu'à ce que vous en sachiez plus. En revanche, si le fournisseur a accès à votre environnement informatique, quel qu'en soit le niveau, mettez-le en quarantaine et isolez l'accès immédiatement.

Dans la mesure du possible, isoler les systèmes et les points d'accès concernés afin d'empêcher tout nouvel accès non autorisé. Mettez en œuvre des restrictions d'hôtes locaux, des contrôles d'accès au réseau, des restrictions de privilèges et des suppressions ou verrouillages de comptes si nécessaire. Un manuel d'isolation préétabli pour les fournisseurs, les prestataires de services et les logiciels simplifiera ce processus. En l'absence d'un plan complet de réponse aux incidents, votre équipe pourrait avoir du mal à réagir rapidement, ce qui augmenterait le risque d'aggravation des dommages.

4. Remédier à la situation

Les efforts de remédiation doivent être rapides et efficaces. L'approche variera en fonction de l'endroit où la violation s'est produite. Si les systèmes internes sont compromis, vous devez corriger ou atténuer les vulnérabilités afin de contrôler le "rayon d'action" le plus rapidement possible. Si la violation est limitée à un tiers, il faut se concentrer sur la compréhension des données affectées, initier les notifications de violation et assurer la conformité avec les réglementations en vigueur.

5. Contrôler le comportement

La surveillance est essentielle pour détecter et comprendre l'impact de la violation et pour empêcher d'autres accès non autorisés. Gardez un œil sur les comportements internes des plateformes ou des logiciels affectés. Les activités inhabituelles, telles que les connexions réseau inattendues, doivent donner l'alerte. Surveillez les activités d'accès à distance entre votre organisation et le tiers afin de détecter les anomalies. Essayez de vous tenir informé des menaces potentielles ou des vulnérabilités affectant des organisations ou des technologies similaires.

6. Vérifier les renseignements sur les menaces

Tirer parti de la veille sur les menaces pour mieux comprendre et atténuer l'impact de la violation. Les organisations qui utilisent les renseignements sur les menaces peuvent détecter les brèches environ 28 jours plus rapidement que celles qui ne le font pas. Identifier les indicateurs internes de compromission (IOC) et les tactiques, techniques et procédures (TTP). Évaluez le type de données potentiellement exposées afin de formuler une réponse ciblée et d'informer les parties concernées de manière appropriée. En outre, surveillez l'impact sur la réputation et suivez les informations publiques concernant la tierce partie impliquée afin de mieux comprendre les implications plus larges de la violation.

Un incident impliquant un tiers peut avoir de graves répercussions sur votre organisation. Des actions immédiates, informées et décisives sont essentielles pour atténuer ces impacts. Ces six étapes permettent d'atténuer les dommages et de jeter les bases d'un processus de rétablissement complet.

9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

Prochaines étapes pour se préparer aux violations de données par des tiers

Il est clair que les violations et les incidents impliquant des tiers peuvent avoir d'importantes répercussions en aval sur les opérations de votre organisation. Préparez-vous en tenant compte des risques liés aux tiers dans votre manuel de réponse aux incidents. Sachez qui vous contacterez, quels sont les accords de niveau de service concernés, quelles questions vous poserez et comment vous procéderez en fonction des réponses. Les programmes de réponse aux incidents étant par nature réactifs, la mise en œuvre de mesures proactives dans le cadre de votre programme global de gestion des risques liés aux tiers peut contribuer à écarter les menaces avant qu'elles n'aient un impact sur votre organisation.

Pour plus d'informations, regardez mon webinaire à la demande sur les incidents de cybersécurité des tiers et contactez Prevalent pour une démonstration de ses capacités de réponse aux incidents des tiers dès aujourd'hui.

Tags :
Partager :
Dave Shackleford
Dave Shackleford
Propriétaire et consultant principal, Voodoo Security

Dave Shackleford est propriétaire et consultant principal de Voodoo Security et membre du corps enseignant de l'IANS Research. Il a conseillé des centaines d'organisations dans les domaines de la sécurité, de la conformité réglementaire, de l'architecture et de l'ingénierie des réseaux. Il est un vExpert VMware et possède une grande expérience de la conception et de la configuration d'infrastructures virtualisées sécurisées. Dave est un analyste SANS, siège au conseil d'administration du SANS Technology Institute et participe à la direction du chapitre d'Atlanta de la Cloud Security Alliance.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo