Le risque de cybersécurité des tiers est devenu un défi sérieux pour les organisations ces dernières années. Parmi les violations de données à grande échelle impliquant des tiers, citons SolarWinds, Kaseya, Mercedes et Okta. Comme les organisations ont de plus en plus adopté une infrastructure informatique en nuage et hors site, la difficulté de gérer avec succès le risque lié aux tiers ( cyber ) a augmenté de façon exponentielle. Pour chaque tiers avec lequel une entreprise partage des données ou donne accès à un système, il existe un réseau de quatrième et de nième parties interdépendantes qui peuvent également avoir accès à ces données.
Le risque lié aux tiers ( cyber ) touche toutes les organisations, qu'il s'agisse d'un petit fournisseur de services informatiques qui a involontairement diffusé un ransomware à ses clients ou d'une entreprise qui subit une violation massive de données imputable à un fournisseur de systèmes CVC. Ce post explique comment les organisations peuvent gérer avec succès le risque lié aux tiers cyber tout au long du cycle de vie du risque lié aux fournisseurs.
Le risque lié aux tiers cyber est défini comme une exposition potentielle à la confidentialité, à l'intégrité ou à la disponibilité de l'infrastructure et des données informatiques qu'une organisation assume en raison de sa collaboration avec un vendeur, un fournisseur ou un autre partenaire commercial. Le risque lié aux tiers cyber peut prendre de nombreuses formes selon le rôle du tiers. Parmi les formes courantes de risque lié aux tiers cyber , on peut citer :
Violations de données par des tiers : Les violations de données par des tiers sont devenues incroyablement courantes. Avec l'augmentation des services en nuage, de l'utilisation des applications SaaS et du recours à des tiers pour la sécurité et les services informatiques, les risques associés aux violations de données se sont accrus. Des organisations comme Marriott, Volkswagen et Capital One ont toutes été victimes de violations de données au cours des dernières années en raison de l'utilisation d'entrepreneurs, d'applications ou d'infrastructures informatiques tiers.
Questions de conformité : De nombreuses exigences de conformité traitent du risque lié à un tiers cyber . Des réglementations telles que HIPAA, CMMC, GDPR, CCPAet d'autres créent des contrôles directs sur la façon dont les organisations peuvent partager des données ou fournir un accès aux données à des tiers. L'incapacité à comprendre et à respecter les exigences de conformité peut entraîner d'énormes problèmes juridiques, réglementaires et de relations publiques pour les organisations.
Ransomware et attaques par déni de service : Les rançongiciels ne sont pas traditionnellement considérés comme un risque provenant de tiers. Mais ces dernières années, les acteurs malveillants ont de plus en plus ciblé les applications logicielles utilisées par des centaines, voire des milliers, d'entreprises dans le but de diffuser des ransomwares. Selon le 2022 Verizon Data Breach Investigations Report, les ransomwares étaient l'une des principales méthodes utilisées par les attaquants dans les violations de données de tiers couvertes par le rapport. Le risque de cyber tiers émanant des fournisseurs de logiciels qui nécessitent un accès privilégié à l'infrastructure informatique ne doit pas être écarté.
Commençons par un bref rappel d'un concept essentiel pour comprendre et gérer le risque lié aux tiers cyber . Le risque lié aux tiers cyber peut être classé en trois catégories distinctes en fonction des caractéristiques d'un vendeur ou d'un fournisseur, des services qu'il fournit à votre organisation et du stade de votre relation avec lui.
Risque profilé : Le risque profilé provient d'une combinaison d'informations sur l'entreprise, de l'emplacement géographique, du secteur d'activité et des exigences réglementaires. Par exemple, les tiers situés dans des pays politiquement instables, ceux qui sont généralement ciblés par des attaquants cyber ou ceux qui sont fortement réglementés présenteront un risque profilé plus élevé. De même, le statut financier, la santé et la réputation d'un tiers peuvent être inclus dans le risque profilé, car de mauvaises notes dans ces domaines peuvent signaler une incapacité à tenir les promesses contractuelles.
Risque inhérent : Lerisque inhérent est plus spécifique au service fourni et est classé comme le risque que le tiers pose à votre organisation avant l'application de contrôles. Le risque inhérent est calculé en comprenant la criticité du tiers pour les performances et les opérations de l'entreprise ; son ou ses emplacements et les considérations juridiques ou réglementaires qui s'y rapportent ; le niveau de dépendance à l'égard de la quatrième ou de la neuvième partie ; l'exposition aux processus opérationnels ou en contact avec les clients ; et l'interaction avec les données protégées ou les systèmes internes. Les organisations ayant un niveau élevé d'accès aux données et infrastructures sensibles présentent un risque inhérent plus élevé que celles qui n'en ont pas.
Risque résiduel : Le risque résiduel représente le risque restant posé à une organisation par un tiers après la mise en œuvre des contrôles obligatoires. Les équipes de gestion des risques doivent soigneusement examiner et définir les niveaux acceptables et inacceptables de risque résiduel ou de contrôles compensatoires.
Webinaire à la demande : Les 5 risques les plus importants pour les tiers Cyber
Rejoignez Dave Shackleford, fondateur de Voodoo Security, pour un webinaire au cours duquel il présentera un processus que vous pouvez utiliser pour hiérarchiser les risques liés aux tiers cyber .
Un certain degré de risque lié au site cyber sera présent chez presque tous les fournisseurs avec lesquels vous faites affaire, même ceux qui ont un accès extrêmement minime à l'infrastructure informatique ou aux données sensibles. Cependant, l'identification des fournisseurs qui exposent votre organisation à des niveaux de risque inutilement élevés ( cyber ) est essentielle pour réduire les risques de violation de données ou d'incident de sécurité. Voici quelques questions à poser aux fournisseurs potentiels, en particulier à ceux dont le profil de risque est élevé.
Identifier les fournisseurs qui présentent un degré de risque acceptable n'est qu'un début. L'accueil et l'intégration sont une phase cruciale pour permettre à la fois l'identification des risques et les opportunités de réduction tout au long du cycle de vie du contrat.
Incluez des exigences spécifiques en matière de stockage des données et de cybersécurité dans votre contrat avec le fournisseur, en fonction des besoins de conformité et du profil de risque. Des clauses standardisées devraient couvrir quand et comment le fournisseur peut partager des données avec ses tiers (c'est-à-dire vos quatrièmes parties). En outre, envisagez d'ajouter des exigences à l'accord de niveau de service concernant les normes de cryptage, la gestion des identités et des accès, et la conservation des données.
La notation du risque inhérent est essentielle pour gérer de manière adéquate le risque lié aux tiers cyber . Comme mentionné ci-dessus, le risque inhérent d'une organisation est le risque qu'elle pose avant la mise en œuvre des contrôles spécifiques requis par votre organisation. Vous trouverez ci-dessous quelques conseils que vous pouvez utiliser pour améliorer votre approche de notation du risque inhérent :
Ne pas adopter une approche unique : La notation du risque inhérent doit être basée sur le profil de risque de l'organisation. Les fournisseurs doivent être classés par niveau en fonction des données et de l'infrastructure auxquelles ils ont accès. Si l'on ne parvient pas à classer les fournisseurs de manière appropriée, on gaspille les efforts en concentrant la diligence raisonnable sur les mauvais fournisseurs, tandis que ceux qui peuvent présenter un risque organisationnel important ne reçoivent pas suffisamment d'attention.
Tenir compte de l'emplacement du fournisseur lors de l'évaluation du risque inhérent Cyber : Les fournisseurs basés dans des endroits spécifiques peuvent être partiellement détenus ou soumis à des exigences spécifiques de partage de données par les gouvernements, ce qui peut supplanter les obligations contractuelles des fournisseurs envers votre organisation. Tenez soigneusement compte de l'emplacement du fournisseur et de la politique régionale lorsque vous déterminez le niveau de risque inhérent d'un fournisseur.
Conseil bonus : L'utilisation d'une solution tierce dédiée à la gestion des risques peut vous permettre de classer les fournisseurs en fonction de critères personnalisés.
Si le fournisseur que vous êtes en train d'intégrer présente un degré élevé de risque inhérent en raison de ses données et de son accès informatique, il peut être utile d'examiner sa chaîne d'approvisionnement étendue. Accordez une attention particulière aux organisations qui travaillent sur leur infrastructure informatique ou qui ont accès aux données qu'ils stockent. Comprendre l'utilisation de la quatrième et de la neuvième partie permet d'informer votre programme global de gestion des risques liés aux fournisseurs, ainsi que d'orienter votre approche de surveillance des tiers tout au long du cycle de vie du contrat.
L'évaluation et la correction des risques de cybersécurité émanant de tiers sont essentielles pour votre programme TPRM. Voici quelques conseils que vous pouvez utiliser lorsque vous évaluez et demandez des mesures correctives aux fournisseurs :
Si vous avez des obligations en vertu de l'HIPAA, du GDPR, du NYDFS ou d'autres réglementations, vous devez vous assurer que le fournisseur satisfait aux contrôles nécessaires en fonction du type de données qu'il manipule. L'utilisation d'un logiciel de gestion des risques tiers comme Prevalent peut accélérer considérablement cette étape en mettant automatiquement en correspondance les cadres de cybersécurité utilisés par le fournisseur avec les exigences de conformité de votre organisation.
Si l'organisation n'a pas fait certifier par un organisme extérieur qu'elle est conforme à une norme de cybersécurité bien connue, n'ayez pas peur de demander qu'elle se soumette à un audit basé sur un cadre (ou une exigence de conformité dont votre organisation relève). Il vaut mieux perdre un contrat potentiel que de découvrir plus tard que l'auto-certification de conformité HIPAA était exagérée et que votre organisation est responsable d'une violation.
Vous devriez avoir une idée générale des organisations externes auxquelles votre fournisseur fait appel en fonction de ses réponses lors de la phase d'accueil et d'intégration. Lorsque votre organisation effectue son évaluation formelle des risques liés aux fournisseurs, demandez-lui de vous indiquer les politiques et procédures spécifiques qu'il applique pour le partage des données ou l'accès à des tiers. S'il n'a pas de politiques et de procédures formalisées, demandez-lui d'en créer.
Le risque n'est pas statique. Le risque que représente un fournisseur pour votre organisation ( cyber ) est susceptible de changer de manière significative tout au long du cycle de vie du contrat. L'élargissement du champ d'application peut amener les fournisseurs à accepter des tâches supplémentaires à mesure qu'ils gagnent la confiance de l'entreprise, ce qui peut également leur permettre d'accéder à des ressources supplémentaires qui n'avaient pas été prises en compte dans l'évaluation initiale des risques. Au fur et à mesure que le contrat avec l'organisation évolue, réévaluez régulièrement le risque lié au fournisseur pour vous assurer que le risque résiduel reste dans des paramètres acceptables.
Pour faire face aux contraintes de ressources, de nombreuses organisations - en particulier celles qui disposent d'un solide plan d'échelonnement des fournisseurs - choisissent d'exploiter le contenu déjà soumis et partagé dans le cadre d'un échange sectoriel. Ces échanges de fournisseurs sont des prophéties qui se réalisent d'elles-mêmes : plus il y a de fournisseurs qui participent, plus le chevauchement avec d'autres entreprises est important. Cela permet d'accélérer les processus d'identification et d'atténuation des risques et de minimiser le temps nécessaire à la collecte des données.
Liste de contrôle de la conformité des tiers du NIST
La liste de contrôle de conformité des tiers du NIST est un guide de 30 pages qui révèle que les pratiques TPRM correspondent aux recommandations décrites dans les normes NIST SP 800-53, NIST SP 800-161 et NIST CSF.
Même si vous effectuez régulièrement des évaluations des risques pour surveiller les risques liés aux tiers, des changements rapides du profil de risque d'un fournisseur peuvent vous échapper. Pour gérer efficacement le risque lié aux tiers ( cyber ), il est essentiel de surveiller en permanence les changements dans la posture de cybersécurité de votre fournisseur. Voici une brève liste de sources à surveiller tout au long du cycle de vie du fournisseur pour vous assurer de ne pas manquer un événement de sécurité important.
Lorsqu'ils ciblent de grandes organisations, les acteurs malveillants coordonnent et planifient souvent les attaques sur des forums uniquement accessibles aux utilisateurs autorisés utilisant le réseau TOR. En surveillant les forums du dark web à la recherche de mentions de vendeurs tiers et quadripartites, vous pouvez identifier rapidement les cyberattaques potentielles qui sont en cours ou qui ont été exécutées contre des tiers.
Les places de marché du Dark Web, comme Genesis Market, vendent des botnets contenant des empreintes de navigateur qui peuvent être utilisées par des acteurs malveillants pour contourner le 2FA et d'autres contrôles. La surveillance de ces places de marché peut permettre d'identifier rapidement si l'accès d'un tiers est à vendre, vous alertant ainsi sur une violation potentielle des données en cours. En outre, les acteurs malveillants vendent souvent des accès à des comptes et des informations d'identification volées sur les places de marché du dark web. Ceux-ci peuvent ensuite être utilisés par d'autres acteurs malveillants pour faciliter la prise de contrôle de comptes et les attaques de phishing. La surveillance de ces places de marché peut vous aider à mieux comprendre le risque lié au fournisseur cyber . Quelques questions à poser :
Les fuites de données et les comptes volés ne se trouvent pas tous sur le Dark Web. Dans de nombreux cas, les employés font accidentellement fuir des données de tiers qui apparaissent sur Pastebin et d'autres forums publics. Pour aggraver ces difficultés, des acteurs malveillants sont également connus pour déverser des fichiers contenant des milliers d'identifiants sur des forums d'accès public. La surveillance de Pastebin et d'autres forums publics à la recherche d'informations exclusives, d'informations d'identification de tiers volées et d'autres données sensibles est un élément clé de la surveillance continue des tiers.
Les bases de données de vulnérabilités, telles que la base de données CVE de MITRE, peuvent aider votre organisation à identifier les expositions dans les logiciels développés ou utilisés par vos fournisseurs tiers. L'utilisation d'un logiciel de gestion des risques pour les tiers peut vous permettre d'identifier automatiquement les fournisseurs de logiciels de troisième et quatrième parties présentant des vulnérabilités potentielles.
Une autre partie importante de la surveillance des risques liés aux tiers cyber consiste à rechercher les fournisseurs dans les bases de données des violations de données signalées, comme celles de Privacy Rights Clearinghouse et de l'État de Californie. Même une violation de données de portée limitée doit vous inciter à évaluer le risque pour toute donnée partagée avec le tiers. Elle peut également nécessiter un examen des exigences de conformité réglementaire applicables.
Un logiciel de surveillance des risques liés aux tiers peut aider à automatiser le processus d'identification et de quantification des risques liés aux fournisseurs cyber . Par exemple, notre solution de surveillance des risques vous permet de révéler les incidents liés à cyber pour 550 000 entreprises en surveillant plus de 1 500 forums criminels, des milliers de pages oignons, plus de 80 forums d'accès spéciaux sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage pour les informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
La gestion réussie des accords de niveau de service entre les départements et les fournisseurs est essentielle pour gérer efficacement le risque lié aux tiers cyber . Les fournisseurs doivent être évalués régulièrement pour s'assurer que les exigences de conformité sont respectées et que des charges de conformité supplémentaires n'ont pas été encourues en raison de l'augmentation de la portée. Voici quelques considérations clés pour la gestion du risque lié aux tiers cyber lors de la gestion des accords de niveau de service.
Le moins que l'on puisse dire, c'est qu'il est difficile d'examiner manuellement des centaines de contrats dans des dizaines de départements et potentiellement des milliers de fournisseurs. L'utilisation d'un logiciel de gestion des risques tiers peut vous permettre d'automatiser les éléments clés de la gestion des accords de niveau de service avec un flux de travail et des mesures correctives intégrés.
Assurez-vous que les bonnes pratiques du site cyber sont inscrites dans l'accord de niveau de service. Des considérations spécifiques concernant le traitement des données, les exigences de sécurité des contractants, la vérification des antécédents du personnel et d'autres dispositions peuvent contribuer à garantir que les tiers utilisent des techniques efficaces de réduction des risques tout en fournissant des services.
Toutes les violations de données ne se produisent pas pendant un contrat. L'exclusion et la résiliation représentent l'étape finale et critique de l'atténuation du risque cyber posé par des tiers. De nombreuses organisations qui manquent de maturité en matière d'exclusion finissent par laisser aux fournisseurs l'accès à des données, des comptes et des infrastructures informatiques essentiels. Vous trouverez ci-dessous quelques bonnes pratiques à utiliser lors de l'exclusion des vendeurs.
Pour réussir l'exclusion des fournisseurs, il est essentiel de garantir la conformité aux lois et réglementations en vigueur. Évaluez les exigences de conformité de votre organisation et veillez à ce que l'exclusion des fournisseurs, la suppression des données et la validation soient effectuées conformément aux lois et réglementations applicables.
Les plateformes tierces de gestion des risques disposent de rapports intégrés qui s'alignent sur ces obligations réglementaires, ce qui peut simplifier le processus de conformité. De nombreuses organisations supposent que la destruction des données a eu lieu à la fin du contrat. Prenez le temps de vérifier manuellement que toutes les données sensibles, exclusives et réglementées en possession du fournisseur ont été détruites.
Il peut être difficile de suivre l'accès des fournisseurs, en particulier ceux qui travaillent dans plusieurs services. Cependant, il est impératif que vous preniez le temps de vérifier manuellement chaque service et de vous assurer que le fournisseur a été entièrement et correctement exclu de l'organisation. Laisser un fournisseur accéder à l'infrastructure informatique, aux comptes ou à des informations sensibles peut vous rendre vulnérable à une violation des données ou à une violation de la conformité des mois, voire des années plus tard.
De nombreuses organisations s'attachent, à juste titre, à faire en sorte que les fournisseurs n'aient plus accès aux serveurs, bases de données et applications SaaS du cloud. Mais il est presque aussi impératif de ne pas perdre de vue la sécurité physique de l'infrastructure et des actifs informatiques. Le fait de ne pas révoquer les informations d'identification ou de ne pas informer les équipes de sécurité de l'exclusion d'un fournisseur peut entraîner des failles de sécurité et des violations potentielles si un employé d'un fournisseur tiers est de mauvaise foi.
Réussir à atténuer le risque de cybersécurité d'un tiers à un niveau acceptable tout au long du cycle de vie du risque fournisseur peut être décourageant. Les violations de données par des tiers continuent d'augmenter à mesure que de nouvelles vulnérabilités apparaissent et que les techniques d'attaque évoluent. Des événements récents tels que la guerre en Ukraine et l'instabilité géopolitique accrue ont aggravé ces risques.
L'utilisation d'une solution de gestion des risques liés aux tiers peut réduire considérablement l'effort nécessaire pour atténuer les risques découlant de l'accès de tiers à l'informatique. La plateforme de gestion des risques liés aux tiers Prevalent facilite considérablement la navigation dans le cycle de vie des fournisseurs. Pour en savoir plus sur notre approche, lisez notre guide des meilleures pratiques, Navigating the Vendor Risk Lifecycle : Keys to Success at Every Stage, ou demandez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024