Les principales priorités en matière de risques de cybersécurité pour les tiers en 2024 - et ce qu'il faut faire pour y remédier

2023 a montré que les violations de données par des tiers ont eu un impact sur les organisations dans tous les secteurs d'activité. PrevalentL'étude annuelle de l'industrie du TPRM de la Commission européenne a révélé que 41 % des entreprises ont signalé une atteinte à la sécurité de tiers et que 71 % d'entre elles considèrent les atteintes à la sécurité de tiers comme une préoccupation majeure. Les organisations de tous types et de toutes tailles examinent de plus en plus sérieusement la manière dont elles peuvent maîtriser le nombre croissant de risques liés à des tiers ( cyber ). Le défi ne fera que croître jusqu'en 2024.

En tant que professionnels de la sécurité et du risque, nous avons beaucoup à faire pour améliorer l'état de la gestion des risques liés aux tiers. La confusion persiste sur la nature du risque lié aux tiers, les contrôles à mettre en œuvre, la manière d'évaluer les fournisseurs, la manière de les gérer, l'impact de la conformité réglementaire, et bien d'autres choses encore. Il n'est donc pas surprenant que les parties prenantes de la plupart des organisations soient confuses (et néanmoins préoccupées) par l'état des associations de tiers. Les équipes chargées de la cybersécurité et des risques doivent élaborer et mettre en œuvre des plans cohérents et éclairés qui aident tout le monde à être sur la même longueur d'onde face aux menaces nouvelles et croissantes.

Dans ce billet, j'examine les principaux risques liés aux tiers cyber à surveiller en 2024 et je propose une liste de 7 priorités pour faire face à ces risques.

Principaux risques de cybersécurité pour les tiers à surveiller en 2024

D'après les tendances des incidents survenus sur le site cyber au cours de l'année écoulée, les types de risques suivants seront plus fréquents en 2024 :

• Défaillances de logiciels et de services et ruptures de la chaîne d'approvisionnement
• Attaques basées sur les privilèges et les comptes
• Infections/répandues de logiciels malveillants
• Utilisation/accès non autorisé
• Déni de service
• Violations et incidents chez les partenaires de troisième et quatrième niveau et chez les fournisseurs

J'aimerais toutefois me concentrer plus particulièrement sur les risques liés à la chaîne d'approvisionnement en logiciels, car la tendance est à la hausse dans ce domaine.

La chaîne d'approvisionnement en logiciels crée et fournit des logiciels depuis leur conception jusqu'à l'utilisateur final. Elle englobe toutes les étapes de la création et de la livraison d'un logiciel, de l'idée initiale au produit final. La chaîne d'approvisionnement peut être divisée en trois sections principales :

• Développement : Les étapes de la création d'un logiciel, y compris la conception, le codage, les tests et les corrections de bogues.
• Distribution : Le processus d'acheminement du logiciel vers ses utilisateurs finaux, y compris l'emballage, le marketing et la livraison.
• Consommation : Installation et utilisation du logiciel une fois qu'il a été livré.

MOVEit est un exemple classique de violation de la chaîne d'approvisionnement en logiciels. En mai 2023, un gang de ransomwares appelé Cl0p a commencé à exploiter une faille de type "zero-day" dans la solution de transfert de fichiers d'entreprise MOVEit Transfer de Progress Software. Depuis, plus de 2 000 organisations ont déclaré avoir été attaquées et Progress Software a publié de nombreux correctifs.

Les 7 principales priorités en matière de gestion des risques liés aux tiers Cyber en 2024

En 2024, les équipes de sécurité doivent donner la priorité à la gestion des risques liés aux tiers cyber pour anticiper les attaques potentielles de la chaîne d'approvisionnement en logiciels. Voici sept points de départ :

1. Procéder à un examen approfondi des processus de l'équipe chargée des achats afin d'améliorer la gouvernance des tiers. Chercher à répondre à des questions telles que
   • Comment la procédure d'évaluation des fournisseurs est-elle engagée ?
   • Comment les conditions contractuelles sont-elles définies et révisées ?
   • Quels sont vos recours si le produit d'un fournisseur est à l'origine d'une violation ou d'une vulnérabilité ?
   • À quelle fréquence les évaluations des fournisseurs sont-elles effectuées après la signature du contrat ?
   • Comment les examens par des tiers sont-ils documentés ?
2. Établir des priorités dans les examens des risques. L'examen des risques pour les tiers doit commencer par la définition des contrôles dont le tiers doit démontrer la conformité. Ensuite, il faut déterminer la fréquence des examens de sécurité. Enfin, définir un processus de remédiation et d'arbitrage pour gérer les risques liés aux tiers.
3. Exploiter les classements de risques. Utilisez des solutions de gestion des risques de tiers qui proposent des évaluations ou des classements des risques des fournisseurs par rapport à d'autres organisations du secteur. Le suivi de l'évaluation globale des risques par des tiers fournit des informations sur la façon dont le secteur perçoit le niveau de sécurité.
4. Améliorer la communication avec les tiers en cas de violation. Contactez le fournisseur concerné et déterminez votre exposition potentielle et tout accord contractuel de niveau de service (SLA).
5. Isoler l'accès et les systèmes en cas de violation. Exploiter les restrictions des hôtes locaux, les contrôles d'accès au réseau, les restrictions de privilèges et les suppressions/verrouillages de comptes.
6. Remédier aux risques. Tout en contrôlant le "rayon d'action" d'une infraction commise par un tiers, vous devez identifier et classer les données concernées et étudier les conséquences en termes de conformité.
7. Surveillez en permanence les infractions commises par des tiers. Surveillez les comportements internes des logiciels/plateformes concernés, l'accès aux fournisseurs et à d'autres parties, ainsi que la réputation et les services de renseignements sur les menaces afin de déterminer l'impact sur votre organisation.