Violations de données par des tiers : Ce que vous devez savoir

Exemples d'incidents de sécurité importants impliquant des tiers

Third-party data breaches have become far more common in recent years. As the world economy becomes more integrated, data often flows throughout supply chains with little regard for its protection or how it is managed. This has resulted in a “wild west” approach to applying information security controls, as many organizations have little to no idea where their data is throughout the extended supply chain, much less what security measures are being taken to protect it.

2024 Violations de données par des tiers

Microsoft Minuit Attaque de Blizzard

In January 2024, Microsoft’s Security Team detected an attack on its e-mail systems, later identifying the attacker as Midnight Blizzard, the Russian state-sponsored actor known as NOBELIUM. This ongoing incident compromised email accounts and data for US government agencies and businesses. Hackers downloaded about 60,000 emails from the State Department alone.

You should monitor for any critical updates to this incident – even if your account(s) didn’t get compromised directly, there’s a good chance a third party in your ecosystem may have been. Microsoft is embedded into most organizations’ technology ecosystem to the point that many have no choice but to trust them.

Groupe United Health Hack

In February 2024, UnitedHealth Group, the largest health insurer in the United States, confirmed that a ransomware attack targeted its health-tech subsidiary Change Healthcare, continuing to disrupt hospitals and pharmacies nationwide. Change Healthcare processes nearly half of all medical claims in the U.S. for approximately 900,000 physicians, 33,000 pharmacies, 5,500 hospitals, and 600 laboratories.

La cyberattaque a interrompu les activités des pharmacies et provoqué des pannes généralisées, ainsi que des problèmes de traitement des factures d'assurance et des factures des patients. L'incident met en évidence la menace croissante que représentent les ransomwares pour les services essentiels, les experts appelant à une intervention urgente des pouvoirs publics.

Infosys McCamish Data Breach

En février 2024, Bank of America a annoncé que les données de ses clients avaient été compromises à la suite d'un incident de cybersécurité d'Infosys McCamish. Cet incident a permis à une partie non autorisée d'accéder aux informations sensibles de certains clients, notamment leur nom, leur adresse, leur adresse électronique professionnelle, leur date de naissance, leur numéro de sécurité sociale et d'autres informations relatives à leur compte. Récemment, Infosys McCamish a révélé dans une mise à jour aux investisseurs que les informations d'environ 6,5 millions de personnes étaient sujettes à un accès non autorisé et à l'exfiltration.

De nombreux rapports de veille sur les menaces indiquent qu'Infosys pourrait avoir eu une mauvaise hygiène de sécurité et une surface d'attaque externe très exposée avant l'attaque par ransomware. Cela souligne la nécessité de faire pression sur les principaux fournisseurs et vendeurs pour qu'ils adhèrent aux meilleures pratiques de sécurité bien connues.

Violation de données chez American Express

En mars 2024, American Express a révélé qu'une entreprise tierce de traitement des transactions (dont le nom n'a pas encore été dévoilé) avait été victime d'un incident de cybersécurité. Cet incident a entraîné la fuite de données sensibles sur les clients, y compris des numéros de compte de carte American Express actuels ou antérieurs, des noms et d'autres informations sur les cartes, comme leur date d'expiration.

The payment card ecosystem is massive, and many interconnected parties are involved that could potentially lead to breaches of sensitive financial data. Consumers and businesses should be vigilant and prepared to update payment card information quickly.

Violation des données relatives à l'équité en matière de santé

En juillet 2024, HealthEquity, un fournisseur de comptes d'épargne santé (HSA) basé dans l'Utah, a révélé une violation de données affectant 4,5 millions de clients dans tout le pays. Selon un porte-parole, la violation résulte du piratage d'un référentiel de données géré par un tiers.

The compromised personal information included various benefits enrollment details, including names, addresses, phone numbers, employee IDs, employers, Social Security numbers, and dependent information. The accessed repository, which a third-party cloud provider hosted, was outside HealthEquity's core systems.

2023 Violations de données par des tiers

AT&T Vendor Data Breach (en anglais)

En janvier 2023, l'un des anciens fournisseurs de services en nuage d'AT&T a été victime d'une violation de données qui a touché 8,9 millions de clients du secteur de la téléphonie mobile. La violation a révélé des informations sur les clients telles que le nombre de lignes sur les comptes, les soldes des factures et les détails des plans tarifaires. Bien que des données très sensibles n'aient pas été compromises, les données exposées auraient dû être supprimées six ans plus tôt. En conséquence, AT&T a accepté de payer 13 millions de dollars d'amendes à la FCC, d'améliorer sa gestion des données clients et d'appliquer des pratiques de traitement des données plus strictes avec ses fournisseurs afin d'éviter de nouvelles violations.

Cette violation s'est produite des années après la fin du contrat, ce qui souligne l'importance d'intégrer une gestion approfondie des risques liés aux tiers dans les procédures d'externalisation, y compris la surveillance continue des fournisseurs après la résiliation du contrat.

Progress Software MOVEit Breach

On May 31, 2023, Progress Software disclosed a vulnerability that enables unauthenticated actors to access its MOVEit^® Transfer database and execute SQL statements to alter or delete information. MOVEit Transfer is a managed file transfer software part of the Progress MOVEit cloud platform that consolidates all file transfer activities into one system.

Since the disclosure, cybercriminal gang Clop has exploited the vulnerability to target various organizations across multiple industries and geographies, including HR software provider Zellis, the BBC, the government of Nova Scotia, and many others.

Violation des données d'Okta par un tiers

In October 2023, Okta revealed that a healthcare vendor exposed information for 5,000 Okta employees. In the first incident, attackers stole credentials to access its support case management system and steal customer-uploaded session tokens. In early November, they informed their customers that the breach impacted all Okta customer support system users.
The source of the breach was likely a compromised personal Google account of an Okta employee who had saved their service account credentials in their account. This latest breach of the support unit in October is the second significant breach affecting the data of Okta customers within the last two years.

Police métropolitaine de Londres

In August 2023, the London Metropolitan Police experienced a breach from an apparent ransomware attack against an IT supplier, Digital ID. The sensitive information of nearly 47,000 law enforcement officers and staff, including undercover and counterterrorism cops, was exposed. The compromised information included sensitive data, such as officer's and staff's names, photos, ranks, vetting levels, and identification numbers.

2022 Violations de données par des tiers

Okta LASPSUS$ Attaque

In March 2022, the U.S.-based identity and access management platform Okta acknowledged that an attack against a third-party vendor they used resulted in a data breach impacting approximately 2.5% of their customer base. According to Okta, the damage was limited to third-party support engineers' permissions on their platform. The ransomware group responsible for the attack, LAPSUS$, had the potential to access:

• Billets JIRA

• Listes d'utilisateurs

• Réinitialiser les mots de passe

• Réinitialiser l'authentification multifactorielle

Attacks against critical players in the supply chain ecosystem have escalated in recent years as malicious actors have increasingly pursued leveraging one successful attack to damage companies throughout the software supply chain. Cybersecurity companies can be particularly at risk due to their privileged access to other organizations’ IT environments.

Violation des données de LastPass

Le 22 décembre 2022, la société de gestion de mots de passe LastPass a annoncé qu'un acteur inconnu avait exploité des informations obtenues lors d'un incident de sécurité survenu en août 2022 pour accéder à un service de stockage tiers basé sur le cloud que LastPass utilise pour stocker des sauvegardes archivées.

Attaque de la chaîne d'approvisionnement de Toyota

On February 28, 2022, Toyota announced that the company was suspending operations on all 28 production lines at 14 manufacturing plants in Japan for a day due to a system failure at a supplier, Kojima Industries. Other Toyota partners, including Hino Motors and Daihatsu Motor, were also affected by the shutdown. The cause of the system failure at Kojima appeared to be a cyberattack that prevented communications with Toyota and production monitoring systems.

2021 Violations de données par des tiers

Attaque de ransomware contre les leaders de l'ophtalmologie

At least eight healthcare providers had to notify millions of patients that their medical records had been compromised in a ransomware attack on a third-party electronic medical records (EMR) platform.The attack on Eye Care Leaders’ EMR in December 2021, the largest healthcare security incident of the year, exposed the data of 3.7 million people to threat actors who, after getting into the platform, deleted databases and system configuration files, making it impossible to discern whether the attackers saw or took the data before deleting it.

Vulnérabilité de Log4J

In December 2021, security researchers discovered CVE-2021-44228, an Apache Log4j Java-based logging library vulnerability. The Log4j vulnerability allows unauthenticated remote code execution and server access—a complete takeover of vulnerable systems. Log4J opened up a massive risk throughout the third-party software ecosystem.

Kaseya Ransomware Attaque de la chaîne d'approvisionnement

Les attaques de logiciels de surveillance et de gestion à distance sont devenues une préoccupation majeure pour de nombreuses équipes informatiques et services manages Providers. Le 2 juillet 2021, Kaseya a annoncé que des attaquants avaient profité d'une vulnérabilité dans le logiciel VSA de la société pour organiser une attaque par ransomware contre les clients de Kaseya. Des dizaines de fournisseurs de services informatiques et des centaines de clients en aval ont été touchés, ce qui a entraîné des millions de dollars de dommages.

À l'instar de la brèche dans le système Orion de SolarWinds et d'autres incidents de sécurité récents impliquant des tiers ( cyber ), il s'agit d'un autre exemple de l'impact exponentiel potentiel des attaques sur la chaîne d'approvisionnement étendue.

Mercedes-Benz

Mercedes-Benz a annoncé en juin 2021 qu'environ 1,6 million d'enregistrements uniques avaient fait l'objet d'une fuite par le biais de la plateforme de stockage en nuage d'un fournisseur tiers. Un éternel chercheur en cybersécurité aurait trouvé la faille et informé Mercedes-Benz de l'incident. Selon Mercedes-Benz, moins de 1 000 clients ont vu leurs informations sensibles, telles que leur numéro de sécurité sociale ou leur permis de conduire, divulguées.

The car manufacturer disclosed the breach on Thursday, June 24th. Potential buyer and customer information was leaked from filling out information on Mercedes-Benz websites between January 1, 2014, and June 19, 2017. Individuals seeking to access these files must implement “special software programs and tools” to find the information leaked. The company announced that the security flaw has been remediated and plugged.

Volkswagen

Over 3.3 million customers were impacted in a data breach of car manufacturer Volkswagen announced in June 2021. Current and prospective customers' information was left exposed online between August 2019 and May 2021. According to Volkswagen, they were alerted that an unauthorized third party may have accessed the customer information on March 10, 2020.

Attaque par ransomware de PracticeMax

Le fournisseur de solutions informatiques et de facturation pour le secteur de la santé PracticeMax a annoncé avoir été victime d'une attaque par ransomware survenue entre le 17 avril et le 5 mai 2021. PracticeMax est un partenaire commercial des organismes de santé Humana et Anthem. Au cours de la violation, un acteur non autorisé a accédé et volé plus de 4 000 dossiers de patients de Humana contenant des informations de santé protégées (PHI).

Violations de données par des tiers dans le passé

SolarWinds

The SolarWinds supply chain breach, first reported in December 2020, impacted over 18,000 users of its Orion network management product. The SolarWinds supply chain breach continues to wreak havoc on Orion customers worldwide as they continue to identify and mitigate its risks. The list of impacted companies includes major US government agencies and firms:

• Département de l'énergie

• Département du Trésor

• Département du commerce

• Etats et collectivités locales

• Département d'État

• Département de la sécurité intérieure

• Instituts nationaux de la santé

• Le département de la défense

Private companies affected by the breach include Microsoft and FireEye. This security incident dealt a major blow to US national security, revealing major cybersecurity defense flaws. Recognizing the potentially damaging impact on companies’ operations, Prevalent released a free event and incident management assessment to its customers soon after the breach was first reported.

Capital One

In 2019, Capital One reported a data breach affecting over 100 million customers and involving data going back a decade. The Office of the Comptroller of the Currency cited the failure “to establish effective risk assessment processes” before moving IT infrastructure and data to the public cloud as one of the principal causes of the breach. Capital One was fined over $80,000,000 for the breach.

GE

The 2020 GE breach shows that a security incident can harm not only customer relationships but also employee relationships and trust in the company. General Electric’s human resources document management provider, Canon Business Process Service, suffered a breach at the beginning of 2020. Over 200,000 current and former employees' sensitive information, including benefits and personal health information (PHI), and more were exposed in the incident. Death certificates, medical child support orders, tax withholding forms, beneficiary designation forms, and applications for benefits such as retirement, severance, and death benefits with related forms and documents were also exposed.

Adobe

In 2019, over 7 million Adobe Creative Cloud user records were exposed because an internal Elasticsearch database was left exposed online without password protection. The information included usernames and customer account information but not financial data or user passwords. Although the breach did not include user credentials like names, passwords, or financial information, the incident still posed harm to users. Hackers using spear phishing techniques can email high-value accounts, obtain passwords, and sell them on the dark web. Any breach of customer information, no matter how small, can pose enormous risks.

Marriott

When Marriott acquired Starwood in 2016, the company inherited a compromised reservation system platform that resulted in lawsuits and reputational damage after the breach was announced in 2018. Malicious actors had direct access to Starwood’s networks and systems since 2014. The attackers maintained access to Starwood systems until the breach’s discovery and disclosure in 2018. The malicious actors stole sensitive information on up to 500 million guests, including contact information, encrypted credit card details, passport numbers, and travel histories.

In 2020, Marriott announced a second breach, which affected over 5 million customer accounts and compromised addresses, birthdays, phone numbers, and loyalty card information. This third-party data leak was caused by two Marriott franchise owners' corporate access to systems was stolen. It is important to monitor any third parties with access to your business infrastructure information, even if this is a partner organization like a franchisee. Franchisees frequently may not adhere to the same cybersecurity requirements as their parent company, exposing the entire organization to risk.

Cible

In 2013, the major retailer Target was hacked by cyber attackers, who compromised the data of over 70 million consumers. During this seminal third-party breach, one of Target's HVAC contractors was the victim of a spear-phishing attack that leaked credit card numbers, security codes, phone numbers, and full names.

Les pirates ont accédé au réseau d'entreprise de Target à l'aide d'informations d'identification volées et ont installé des logiciels malveillants sur les terminaux de point de vente de Target. Le logiciel malveillant installé a recueilli des données sensibles sur les clients entre novembre et décembre 2013. L'affaire Target montre clairement que même les programmes de sécurité de l'information les mieux financés peuvent facilement être compromis par des failles de sécurité dans des produits et services tiers.

Meilleures pratiques pour prévenir les failles de sécurité des tiers tout au long du cycle de vie des fournisseurs

Il peut être difficile de gérer efficacement les risques tout au long de la chaîne d'approvisionnement, en particulier pour les grandes entreprises. Cependant, plusieurs mesures peuvent être prises pour mieux comprendre votre environnement de risque et atténuer l'impact d'un risque potentiel lié à un tiers. Voici les recommandations de Prevalentpour aider à atténuer le risque d'une violation de données par un tiers tout au long du cycle de vie du fournisseur.

Tenir compte de la sécurité de l'information lors de la recherche et de la sélection des fournisseurs

Alors que votre infrastructure informatique est de plus en plus intégrée à des tiers et à des tiers, il est essentiel de prendre en compte la sécurité de l'information lors de la recherche et de la sélection des fournisseurs. Lorsque vous envisagez de faire appel à des fournisseurs dont le profil de risque est élevé en raison de leur accès aux données et systèmes sensibles de votre organisation, donnez la priorité à ceux dont la maturité en matière de sécurité de l'information a été démontrée. La question mérite d'être posée :

• Le fournisseur travaille-t-il avec d'autres entreprises clientes ayant des besoins complexes en matière de sécurité de l'information ?

• Le fournisseur dispose-t-il des contrôles de sécurité nécessaires pour se conformer aux exigences qui découleraient de votre organisation ? (par exemple, HIPAA, CMMC, GDPR)

• Quels sont les antécédents du fournisseur en matière de sécurité de l'information ? A-t-il fait l'objet de plusieurs violations de données rendues publiques ou de violations de la conformité ?

Envisagez d'utiliser des logiciels de gestion des risques de tiers ou des réseaux de renseignements sur les risques des fournisseurs pour informer votre processus d'approvisionnement et de sélection avec des données préchargées sur les risques de cybersécurité.

Définissez des attentes contractuelles claires sur la manière dont les données sont stockées et transférées.

De nombreuses organisations ne parviennent pas à élaborer leurs processus de gestion des contrats avec les fournisseurs en gardant à l'esprit la gestion des risques liés aux fournisseurs. Votre organisation devrait disposer de politiques claires concernant le moment où les informations personnelles, les données des clients ou d'autres informations sensibles peuvent être partagées avec des tiers. Par exemple, vous pourriez envisager d'inclure des stipulations claires concernant le moment où des informations confidentielles peuvent être partagées avec des quatrièmes parties et au-delà.

Contrôler en permanence les tiers ayant accès à des données ou à des systèmes sensibles

Les fournisseurs doivent être surveillés afin de détecter tout accès non autorisé à des données personnelles ou à d'autres informations confidentielles. Même si le fournisseur n'agit pas de manière malveillante, ses systèmes informatiques ont pu être compromis, ce qui a entraîné la propagation de logiciels malveillants aux systèmes de votre organisation. Tout fournisseur ayant accès à vos actifs informatiques doit être surveillé pendant toute la durée de l'accès.

En outre, vous devriez pratiquer un contrôle externe proactif de tous les fournisseurs qui traitent vos informations confidentielles. Les organisations modifient leurs programmes de sécurité de l'information au fil du temps, et ce qui a été indiqué à l'origine dans le questionnaire d'évaluation des risques des fournisseurs peut ne plus être vrai quelques mois plus tard. En outre, une approche de surveillance proactive peut vous aider à détecter les violations de données potentielles avant qu'elles ne se produisent. En surveillant le dark web, Pastebin et d'autres sites où sont publiées des informations d'identification volées, vous pouvez savoir si l'un de vos fournisseurs a été compromis.

Faites attention aux exigences réglementaires

Les réglementations en matière de sécurité de l'information et de protection de la vie privée ont été considérablement renforcées au cours de la dernière décennie. Au cours des dernières années, nous avons assisté à l'introduction du GDPR, CCPAde la loi sur le bouclier de New York et de dizaines d'autres exigences de conformité. Il est très probable que la surveillance réglementaire continuera à s'intensifier à mesure que de nouvelles violations par des tiers apparaîtront.

Exiger des fournisseurs qu'ils vérifient de manière indépendante leurs pratiques en matière de sécurité de l'information

Les questionnaires d'évaluation des risques par des tiers peuvent être extrêmement utiles pour déterminer si les fournisseurs prennent des mesures appropriées en matière de sécurité de l'information. Toutefois, dans certains cas, vous pouvez envisager d'exiger des fournisseurs potentiels qu'ils soient certifiés par rapport à une norme de sécurité de l'information. Par exemple, le ministère de la défense a récemment diffusé la certification du modèle de maturité de la cybersécurité (Cybersecurity Maturity Model Certification). Ce règlement exige que les sous-traitants travaillant avec le ministère de la défense soient certifiés par rapport à une norme à cinq niveaux établie par le ministère de la défense et déterminée par le type d'informations avec lesquelles le sous-traitant travaille.

Votre organisation peut adopter une approche similaire pour traiter les problèmes de cybersécurité des fournisseurs. Pour de nombreux fournisseurs, en particulier ceux qui ne traitent pas de grandes quantités de données confidentielles, un simple questionnaire d'évaluation des risques peut suffire. Toutefois, pour les fournisseurs qui ont besoin d'accéder à des données et à des systèmes propriétaires, vous pourriez envisager d'exiger la conformité à une norme externe telle que SOC 2 ou NIST CSF.

Obtenir une visibilité sur la chaîne d'approvisionnement étendue

La première étape de tout programme de cybersécurité consiste à obtenir une visibilité sur les actifs informatiques. Il en va de même pour les risques liés aux tiers. Vous devez comprendre non seulement quels sont les tiers utilisés dans l'entreprise étendue, mais aussi qui compose leurs chaînes d'approvisionnement jusqu'aux fournisseurs de quatrième et de neuvième rangs. En règle générale, plus le fournisseur est critique ou plus il a accès à des données, plus vous avez besoin de visibilité sur ses chaînes d'approvisionnement étendues. Les attaques de Kaseya et de SolarWinds sont des exemples illustrant la manière dont les pratiques de sécurité des quatrième parties peuvent avoir des effets d'entraînement tout au long de la chaîne d'approvisionnement.

Audit de votre processus d'intégration

L'intégration efficace des fournisseurs est l'un des éléments les plus essentiels d'un programme de gestion des risques liés aux tiers et est indispensable pour prévenir les violations de données de tiers. La plupart des organisations disposent d'une forme ou d'une autre de processus d'intégration pour les tiers et les sous-traitants, mais dans un environnement d'entreprise très actif, ce processus peut être négligé. Faites l'effort d'auditer régulièrement les processus d'intégration des fournisseurs tiers dans plusieurs départements. Veillez à ce que les autorisations et les accès soient entièrement révoqués dans tous les services afin de respecter la politique de l'entreprise et les réglementations gouvernementales.

Prochaines étapes pour la prévention des violations de données par des tiers

Wondering how prepared your organization is for a third-party data breach? Get started with our 10-question risk calculator. For a custom benchmarking report on your third-party risk management program, request a free TPRM maturity assessment and consulting session. Interested in how Mitratech can help? Read more about our third-party risk management solution and vendor risk assessment services, or request a demo.