Demandez une démo

Réponse à la violation d'une tierce partie : 5 mesures immédiates à prendre

Utilisez ces conseils pour améliorer vos procédures de planification et d'intervention en cas d'atteinte à la vie privée d'un tiers.
Par :
Dave Shackleford
,
Propriétaire et consultant principal, Voodoo Security
02 novembre 2023
Partager :
Webinar 1101 réponse aux incidents

Les atteintes à la sécurité des tiers sont de plus en plus fréquentes. Un exemple récent est la violation de sécurité chez le fournisseur de services d'identité Okta, où un acteur malveillant a utilisé des informations d'identification volées pour accéder au système de gestion de l'assistance de l'entreprise. Okta joue le rôle de courtier et d'intermédiaire pour un grand nombre de sessions d'authentification et d'autorisation pour des applications utilisées par des milliers de clients. Le nombre d'entreprises susceptibles d'être touchées - directement ou indirectement - est donc important.

Comment votre entreprise réagirait-elle si l'un de vos fournisseurs essentiels était victime d'une violation ?

Ce billet propose des suggestions pour préparer votre programme de réponse aux incidents impliquant des tiers et présente cinq mesures à prendre lorsque l'un de vos fournisseurs est victime d'une violation.

Conseils pour préparer votre programme de réponse aux incidents impliquant des tiers

Sensibilisation aux risques liés aux fournisseurs

Tout d'abord, il est essentiel de surveiller en permanence les tiers critiques pour détecter les menaces nouvelles et émergentes sur cyber (ainsi que les risques opérationnels, financiers et de réputation potentiels). Bien que cela puisse sembler évident, la tâche peut s'avérer monumentale pour les organisations disposant d'un vaste écosystème de fournisseurs. Au lieu d'essayer de suivre manuellement l'actualité de la sécurité et les publications de la communauté, recherchez des fournisseurs de renseignements sur les menaces qui peuvent automatiser et mettre à l'échelle le processus de surveillance pour vous.

Examiner les contrôles de sécurité de base

Certains de vos fournisseurs tiers ont-ils accès à votre infrastructure, à vos utilisateurs et/ou à vos données ? Dans l'affirmative, veillez à mettre en œuvre des outils d'analyse comportementale pour détecter toute activité anormale. Par ailleurs, il convient de surveiller les logiciels utilisés et de s'assurer qu'ils sont à jour et qu'ils comportent les correctifs nécessaires pour remédier aux éventuelles vulnérabilités. La microsegmentation et les outils de gestion des utilisateurs privilégiés peuvent également être utiles à cet égard.

Disposer d'un plan de communication

Les communications à la suite d'une violation par un tiers ou d'un incident présumé sont différentes des communications internes de gestion des incidents. Veillez à ce que les coordonnées des fournisseurs soient facilement accessibles et mettez en place des protocoles de collecte d'informations et des voies d'escalade en cas d'incident. Si le tiers est un fournisseur de logiciels ou de services (voir la violation de SolarWinds en 2020), il peut y avoir un effet de "cascade" qui nécessite des communications avec les clients et les autres parties prenantes.

Envisager des stratégies de confinement

Quel est le degré d'accès du fournisseur ? Il s'agit d'une question essentielle lorsqu'on envisage des stratégies de confinement. Par exemple, si le fournisseur a accès à vos données mais pas à votre infrastructure, vous pouvez simplement cesser d'utiliser le service ou la plateforme jusqu'à ce que vous en sachiez plus. En revanche, si le fournisseur a accès à votre environnement informatique, quel qu'en soit le niveau, vous devez disposer d'un plan pour mettre immédiatement cet accès en quarantaine et l'isoler.

Poser les bonnes questions

En cas d'atteinte à la vie privée d'un tiers, le fait de poser les bonnes questions vous aidera à comprendre et à atténuer efficacement l'impact sur votre organisation. Voici quelques recommandations assorties de lignes directrices concernant les réponses possibles (à adapter en fonction des spécificités de l'incident) :

  • Le fournisseur a-t-il été touché par une violation ou utilise-t-il un produit/service touché par une violation (oui/non) ?
  • Quelle est la nature de l'impact sur le fournisseur ? (impact élevé/moyen/faible sur les systèmes, les applications et/ou les données)
  • L'incident affecte-t-il les services essentiels fournis à votre organisation ? (Oui/Non)
  • Le fournisseur a-t-il pris les mesures correctives suivantes ? (Énumérer les mesures recommandées, telles que l'application de correctifs ou la mise à jour des systèmes concernés)
  • Le fournisseur a-t-il modifié les contrôles existants ou mis en œuvre de nouveaux contrôles pour résoudre et atténuer l'impact de la violation (identifié et déjà mis en œuvre ; identifié et en cours de mise en œuvre ; non identifié et/ou ne pouvant pas être mis en œuvre) ?
  • Si les contrôles ne peuvent être mis en œuvre, quels sont les contrôles compensatoires ou les méthodes de contournement mis en œuvre ?
  • Qui est le point de contact pour les demandes de renseignements complémentaires ?

Webinar : 5 actions immédiates après une violation par un tiers

Dave Shackleford, PDG de Voodoo Security et instructeur principal de la SANS, partage les étapes les plus importantes à suivre dans les premières 24 heures d'un incident de sécurité d'un tiers, ainsi que ses stratégies pour préparer votre plan de réponse à l'incident dès maintenant.

Cinq mesures immédiates à prendre après une violation par un tiers

Sur la base des conseils ci-dessus, voici une liste rapide de ce qu'il faut faire si vous pensez que votre organisation a été touchée par une infraction commise par un tiers.

Remarque : cette liste ne doit pas être considérée comme un guide complet de gestion des incidents. Veillez à consulter l'équipe de votre centre d'opérations de sécurité (SOC), les auditeurs et d'autres parties internes.

  1. Enquêter : Contactez les contacts internes pour recueillir des informations. Évaluez les données qui ont été consultées (le cas échéant), le niveau d'exposition potentiel de votre organisation, les plans de correction et de récupération du fournisseur, ainsi que les accords de niveau de service ou les obligations contractuelles qui doivent être pris en compte. Pour en savoir plus, voir "Poser les bonnes questions" ci-dessus.
  2. Isoler : Dans la mesure du possible, isoler tous les accès et les systèmes concernés. Pour ce faire, utilisez les restrictions d'accès aux hôtes locaux, les contrôles d'accès au réseau, les restrictions de privilèges et les suppressions/verrouillages de comptes.
  3. Remédier : Pour réduire le "rayon d'action" de l'incident, appliquer en interne des correctifs et/ou atténuer les problèmes dans la mesure du possible. Collaborer avec le tiers concerné sur les activités de remédiation telles que la documentation des données affectées, l'exécution d'un plan de communication et l'évaluation de toutes les implications en matière de conformité ou de réglementation.
  4. Contrôler : Les activités de réponse à la violation par des tiers devraient inclure la surveillance du comportement interne sur les logiciels/plateformes concernés, le traçage de l'accès à distance entre les fournisseurs concernés et toute quatrième partie suspecte, et l'utilisation de services de veille permanente sur les menaces pour surveiller les incidents ultérieurs ou connexes.
  5. Suivi : Un effort ciblé de renseignement sur les menaces devrait inclure le suivi des indicateurs internes de compromission (IOC) ou des tactiques, techniques et procédures (TTP) ; les types de données et les ensembles potentiellement exposés ; les changements de réputation ou les informations publiques relatives aux tiers ; et le suivi et la surveillance continus de tout nouvel élément de la campagne.

Prochaines étapes pour se préparer aux violations de données par des tiers

Il est clair que les violations et les incidents impliquant des tiers peuvent avoir d'importantes répercussions en aval sur les opérations de votre organisation. Préparez-vous en tenant compte des risques liés aux tiers dans votre manuel de réponse aux incidents. Sachez qui vous contacterez, quels sont les accords de niveau de service concernés, quelles questions vous poserez et comment vous procéderez en fonction des réponses obtenues. En outre, les programmes de réponse aux incidents étant par nature réactifs, veillez à mettre en œuvre un programme proactif de gestion des risques liés aux tiers afin d'écarter les menaces avant qu'elles n'aient un impact sur votre organisation !

Pour plus d'informations, regardez mon webinaire à la demande (également intégré ci-dessus) et contactez Prevalent pour une démonstration de ses capacités de réponse aux incidents par des tiers dès aujourd'hui.

Tags :
Partager :
Dave Shackleford
Dave Shackleford
Propriétaire et consultant principal, Voodoo Security

Dave Shackleford est propriétaire et consultant principal de Voodoo Security et membre du corps enseignant de l'IANS Research. Il a conseillé des centaines d'organisations dans les domaines de la sécurité, de la conformité réglementaire, de l'architecture et de l'ingénierie des réseaux. Il est un vExpert VMware et possède une grande expérience de la conception et de la configuration d'infrastructures virtualisées sécurisées. Dave est un analyste SANS, siège au conseil d'administration du SANS Technology Institute et participe à la direction du chapitre d'Atlanta de la Cloud Security Alliance.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo