À une époque où les violations de données sont souvent une question non pas de si,mais de quand, il est plus que jamais crucial de comprendre comment répondre efficacement à un incident de sécurité d'un tiers. il est plus que jamais essentiel de comprendre comment réagir efficacement à un incident de sécurité d'un tiers. Comment votre entreprise réagirait-elle si l'un de vos fournisseurs essentiels était victime d'une violation ? Les premières 24 heures suivant la découverte d'un incident impliquant un tiers sont essentielles pour donner le ton à vos efforts de réponse.
Ce billet aborde les défis liés à la réponse à une violation par un tiers et présente six mesures à prendre immédiatement après une cyberattaque réussie.
Se préparer à des scénarios de type "what-if" et aux incidents les plus graves peut être une tâche complexe pour toute entreprise qui travaille avec de nombreuses tierces parties. La gestion de centaines ou de milliers de relations avec les fournisseurs ajoute des difficultés, ce qui rend difficile le maintien d'un processus rigoureux de réponse aux incidents. Les principaux défis à relever sont les suivants :
Ces défis augmentent le temps et le coût de la détection et de l'atténuation des violations. En moyenne, les violations impliquant des tiers coûtent 11,8 % plus cher et prennent 12,8 % plus de temps à résoudre, le cycle de vie d'une violation s'étendant à 307 jours. Des temps de détection et de réponse plus rapides sont essentiels pour réduire les dommages, car les délais plus longs donnent aux attaquants plus de temps pour exploiter les systèmes. Par conséquent, les programmes de gestion des risques des tiers, tout comme les programmes de sécurité internes, doivent être optimisés pour répondre rapidement aux menaces émergentes.
Cybersécurité des tiers : Tendances émergentes et mesures à prendre en 2024
Dans ce webinaire, Dave Shackleford, PDG de Voodoo Security et instructeur principal de la SANS, partage son point de vue sur les étapes les plus importantes pour préparer votre programme de cybersécurité pour les tiers en 2024.
Les étapes suivantes constituent une liste rapide des mesures à prendre au cas où votre organisation serait touchée par une atteinte à la vie privée d'un tiers. Le type ou l'ampleur de la violation aura une incidence sur les mesures spécifiques que vous prendrez à chaque étape.
Remarque : ces étapes ne doivent pas être considérées comme des conseils exhaustifs en matière de gestion des incidents. Veillez à collaborer avec l'équipe de votre centre d'opérations de sécurité (SOC), les auditeurs et d'autres parties internes.
Dès qu'un incident est détecté, établissez immédiatement une communication avec le tiers concerné. Il est essentiel de disposer d'un plan de communication préétabli dans le cadre de votre programme global de réponse aux incidents. Commencez par comprendre la portée et l'impact de l'attaque, en particulier si elle concerne des données personnelles ou sensibles régies par des normes réglementaires. Discutez des accords de niveau de service (SLA) ou des obligations contractuelles, et efforcez-vous de maintenir un dialogue calme et constructif.
Considération clé : Incorporez un arbre de décision de communication dans votre plan d'intervention en cas d'incident, décrivant les informations à communiquer en fonction de vos connaissances actuelles et du moment de vos découvertes, y compris des délais spécifiques pour les produits livrables.
Une fois que le contact est établi et que l'étendue de la violation est comprise, recueillez des informations détaillées sur l'incident. Traitez cette étape comme une mini-évaluation post-fraude. Posez des questions pour savoir ce qui s'est passé, quelles données ont été consultées, quelles sont les expositions potentielles et quels sont les plans de reprise. Il est essentiel de comprendre le délai de rétablissement, surtout si la violation a entraîné une interruption de service.
En cas de violation par un tiers, le fait de poser les bonnes questions vous aidera à comprendre et à atténuer efficacement l'impact sur votre organisation.
Questions recommandées (à adapter en fonction des spécificités de l'incident) :
Les stratégies de confinement varieront en fonction du type de violation et du niveau d'accès du fournisseur. Par exemple, si le fournisseur a accès à vos données mais pas à votre infrastructure, vous pouvez cesser d'utiliser le service ou la plateforme jusqu'à ce que vous en sachiez plus. En revanche, si le fournisseur a accès à votre environnement informatique, quel qu'en soit le niveau, mettez-le en quarantaine et isolez l'accès immédiatement.
Dans la mesure du possible, isoler les systèmes et les points d'accès concernés afin d'empêcher tout nouvel accès non autorisé. Mettez en œuvre des restrictions d'hôtes locaux, des contrôles d'accès au réseau, des restrictions de privilèges et des suppressions ou verrouillages de comptes si nécessaire. Un manuel d'isolation préétabli pour les fournisseurs, les prestataires de services et les logiciels simplifiera ce processus. En l'absence d'un plan complet de réponse aux incidents, votre équipe pourrait avoir du mal à réagir rapidement, ce qui augmenterait le risque d'aggravation des dommages.
Les efforts de remédiation doivent être rapides et efficaces. L'approche variera en fonction de l'endroit où la violation s'est produite. Si les systèmes internes sont compromis, vous devez corriger ou atténuer les vulnérabilités afin de contrôler le "rayon d'action" le plus rapidement possible. Si la violation est limitée à un tiers, il faut se concentrer sur la compréhension des données affectées, initier les notifications de violation et assurer la conformité avec les réglementations en vigueur.
La surveillance est essentielle pour détecter et comprendre l'impact de la violation et pour empêcher d'autres accès non autorisés. Gardez un œil sur les comportements internes des plateformes ou des logiciels affectés. Les activités inhabituelles, telles que les connexions réseau inattendues, doivent donner l'alerte. Surveillez les activités d'accès à distance entre votre organisation et le tiers afin de détecter les anomalies. Essayez de vous tenir informé des menaces potentielles ou des vulnérabilités affectant des organisations ou des technologies similaires.
Tirer parti de la veille sur les menaces pour mieux comprendre et atténuer l'impact de la violation. Les organisations qui utilisent les renseignements sur les menaces peuvent détecter les brèches environ 28 jours plus rapidement que celles qui ne le font pas. Identifier les indicateurs internes de compromission (IOC) et les tactiques, techniques et procédures (TTP). Évaluez le type de données potentiellement exposées afin de formuler une réponse ciblée et d'informer les parties concernées de manière appropriée. En outre, surveillez l'impact sur la réputation et suivez les informations publiques concernant la tierce partie impliquée afin de mieux comprendre les implications plus larges de la violation.
Un incident impliquant un tiers peut avoir de graves répercussions sur votre organisation. Des actions immédiates, informées et décisives sont essentielles pour atténuer ces impacts. Ces six étapes permettent d'atténuer les dommages et de jeter les bases d'un processus de rétablissement complet.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Il est clair que les violations et les incidents impliquant des tiers peuvent avoir d'importantes répercussions en aval sur les opérations de votre organisation. Préparez-vous en tenant compte des risques liés aux tiers dans votre manuel de réponse aux incidents. Sachez qui vous contacterez, quels sont les accords de niveau de service concernés, quelles questions vous poserez et comment vous procéderez en fonction des réponses. Les programmes de réponse aux incidents étant par nature réactifs, la mise en œuvre de mesures proactives dans le cadre de votre programme global de gestion des risques liés aux tiers peut contribuer à écarter les menaces avant qu'elles n'aient un impact sur votre organisation.
Pour plus d'informations, regardez mon webinaire à la demande sur les incidents de cybersécurité des tiers et contactez Prevalent pour une démonstration de ses capacités de réponse aux incidents des tiers dès aujourd'hui.
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024