Violations de données par des tiers : Ce que vous devez savoir

2023 Violations de données par des tiers

AT&T Vendor Data Breach (en anglais)

En janvier 2023, l'un des anciens fournisseurs de services en nuage d'AT&T a été victime d'une violation de données qui a touché 8,9 millions de clients du secteur de la téléphonie mobile. La violation a révélé des informations sur les clients telles que le nombre de lignes sur les comptes, les soldes des factures et les détails des plans tarifaires. Bien que des données très sensibles n'aient pas été compromises, les données exposées auraient dû être supprimées six ans plus tôt. En conséquence, AT&T a accepté de payer 13 millions de dollars d'amendes à la FCC, d'améliorer sa gestion des données clients et d'appliquer des pratiques de traitement des données plus strictes avec ses fournisseurs afin d'éviter de nouvelles violations.

Cette violation s'est produite des années après la fin du contrat, ce qui souligne l'importance d'intégrer une gestion approfondie des risques liés aux tiers dans les procédures d'externalisation, y compris la surveillance continue des fournisseurs après la résiliation du contrat.

Progress Software MOVEit Breach

Le 31 mai 2023, Progress Software a révélé une vulnérabilité qui permet à des acteurs non authentifiés d'accéder à sa base de données ^MOVEit® Transfer et d'exécuter des instructions SQL pour modifier ou supprimer des informations. MOVEit Transfer est un logiciel de transfert de fichiers géré qui fait partie de la plateforme cloud Progress MOVEit utilisée pour consolider toutes les activités de transfert de fichiers en un seul système.

Depuis la divulgation, le gang cybercriminel Clop a exploité la vulnérabilité et l'a utilisée pour cibler un large éventail d'organisations dans plusieurs secteurs et zones géographiques, notamment le fournisseur de logiciels de ressources humaines Zellis, la BBC, le gouvernement de la Nouvelle-Écosse et bien d'autres encore.

Violation des données d'Okta par un tiers

En octobre 2023, Okta a révélé qu'un fournisseur de soins de santé avait exposé les informations de 5 000 employés d'Okta. Dans le premier incident, les attaquants ont volé des informations d'identification pour accéder à son système de gestion des cas d'assistance et voler des jetons de session téléchargés par les clients. Début novembre, l'entreprise a informé ses clients que la violation avait également touché tous les utilisateurs du système de support client d'Okta.
La source de la violation était probablement un compte Google personnel compromis d'un employé d'Okta qui avait sauvegardé les informations d'identification de son compte de service dans son compte. Cette dernière violation de l'unité de support en octobre est la deuxième violation importante affectant les données des clients d'Okta au cours des deux dernières années.

Police métropolitaine de Londres

En août 2023, la police métropolitaine de Londres a été victime d' une attaque par ransomware contre un fournisseur informatique, Digital ID. Les informations sensibles de près de 47 000 agents et membres du personnel des forces de l'ordre, y compris des policiers infiltrés et des agents de lutte contre le terrorisme, ont été exposées. Les informations compromises comprenaient toute une série de données sensibles, notamment les noms, photos, grades, niveaux de contrôle et numéros d'identification des agents et du personnel.

2022 Violations de données par des tiers

Okta LASPSUS$ Attaque

En mars 2022, la plateforme américaine de gestion des identités et des accès Okta a reconnu qu'une attaque contre un fournisseur tiers auquel elle faisait appel avait entraîné une violation des données touchant environ 2,5 % de sa clientèle. Selon Okta, les dommages ont été limités aux permissions dont disposent les ingénieurs de support tiers sur leur plateforme. Le groupe de ransomware responsable de l'attaque, LAPSUS$, avait la possibilité d'accéder :

• Billets JIRA

• Listes d'utilisateurs

• Réinitialiser les mots de passe

• Réinitialiser l'authentification multifactorielle

Les attaques contre les acteurs critiques de l'écosystème de la chaîne d'approvisionnement se sont multipliées ces dernières années, les acteurs malveillants poursuivant de plus en plus une stratégie consistant à tirer parti d'une attaque réussie pour nuire aux entreprises tout au long de la chaîne d'approvisionnement en logiciels. Les entreprises de cybersécurité peuvent être particulièrement exposées en raison de leur accès privilégié aux environnements informatiques d'autres organisations. Pour plus d'informations sur la violation d'Okta en 2022, nous vous recommandons de lire notre blog sur les quatre questions auxquelles vous devez répondre pour déterminer si vous êtes prêt pour une réponse à un incident par une tierce partie.

Violation des données de LastPass

Le 22 décembre 2022, la société de gestion de mots de passe LastPass a annoncé qu'un acteur inconnu avait exploité des informations obtenues lors d'un incident de sécurité survenu en août 2022 pour accéder à un service de stockage tiers basé sur le cloud que LastPass utilise pour stocker des sauvegardes archivées.

Attaque de la chaîne d'approvisionnement de Toyota

Le 28 février 2022, Toyota a annoncé que l'entreprise suspendait les opérations sur les 28 lignes de production de 14 usines au Japon pendant une journée en raison d'une panne de système chez un fournisseur, Kojima Industries. D'autres partenaires de Toyota, dont Hino Motors et Daihatsu Motor, ont également été touchés par cet arrêt. La cause de la défaillance du système chez Kojima semble être une cyberattaque qui a empêché les communications avec Toyota et les systèmes de surveillance de la production. Le 1er mars, Toyota a annoncé qu'elle reprenait ses activités uniquement pour la première équipe de production à partir du 2 mars.

2021 Violations de données par des tiers

Attaque de ransomware contre les leaders de l'ophtalmologie

Au moins huit prestataires de soins de santé ont dû informer des millions de patients que leurs dossiers médicaux avaient été compromis lors d'une attaque de ransomware sur une plateforme tierce de dossiers médicaux électroniques (DME).

L'attaque contre le DME d'Eye Care Leaders en décembre 2021, l'incident de sécurité le plus important de l'année dans le secteur de la santé, a exposé les données de 3,7 millions de personnes à des acteurs menaçants qui, après s'être introduits dans la plateforme, ont supprimé des bases de données et des fichiers de configuration du système, ce qui rend impossible de déterminer si les attaquants ont vu ou pris les données avant de les effacer.

Vulnérabilité de Log4J

En décembre 2021, des chercheurs en sécurité ont annoncé la découverte de CVE-2021-44228, une vulnérabilité de la bibliothèque de journalisation Apache Log4j basée sur Java. La vulnérabilité de Log4j permet l'exécution de code à distance non authentifié et l'accès aux serveurs - en fait, une prise de contrôle complète des systèmes vulnérables. Log4j a ouvert un risque massif dans tout l'écosystème des logiciels tiers.

Même si Apache a publié un correctif en quelques jours, de nombreuses organisations dépendent de tierces, quatrièmes et Nièmes parties qui peuvent avoir négligé de mettre en place des correctifs rapidement ou ignorer qu'elles étaient affectées. Prevalent a dressé une liste de 8 questions à poser aux tierces parties afin de réduire les risques d'être affectées par une violation de données tierces activée par Log4J.

Kaseya Ransomware Attaque de la chaîne d'approvisionnement

Les attaques de logiciels de surveillance et de gestion à distance sont devenues une préoccupation majeure pour de nombreuses équipes informatiques et services manages Providers. Le 2 juillet 2021, Kaseya a annoncé que des attaquants avaient profité d'une vulnérabilité dans le logiciel VSA de la société pour organiser une attaque par ransomware contre les clients de Kaseya. Des dizaines de fournisseurs de services informatiques et des centaines de clients en aval ont été touchés, ce qui a entraîné des millions de dollars de dommages.

À l'instar de la brèche dans le système Orion de SolarWinds et d'autres incidents de sécurité récents impliquant des tiers ( cyber ), il s'agit d'un autre exemple de l'impact exponentiel potentiel des attaques sur la chaîne d'approvisionnement étendue.

Mercedes-Benz

Mercedes-Benz a annoncé en juin 2021 qu'environ 1,6 million d'enregistrements uniques avaient fait l'objet d'une fuite par le biais de la plateforme de stockage en nuage d'un fournisseur tiers. Un éternel chercheur en cybersécurité aurait trouvé la faille et informé Mercedes-Benz de l'incident. Selon Mercedes-Benz, moins de 1 000 clients ont vu leurs informations sensibles, telles que leur numéro de sécurité sociale ou leur permis de conduire, divulguées.

Le constructeur automobile a révélé la faille le jeudi 24 juin. Il semble que des informations sur des acheteurs et des clients potentiels aient été divulguées en remplissant des informations sur les sites web de Mercedes-Benz entre le 1er janvier 2014 et le 19 juin 2017. Toute personne cherchant à accéder à ces fichiers devrait mettre en œuvre des "programmes et outils logiciels spéciaux" pour trouver les informations divulguées. L'entreprise a annoncé que la faille de sécurité a été corrigée et comblée.

Les données éventuellement divulguées sont incluses :

• Numéros de permis de conduire

• Numéros de sécurité sociale

• Informations sur la carte de crédit

• Anniversaires

• Prénom et nom de famille

• Adresse électronique

• Numéros de téléphone

• Informations sur le véhicule acheté

Volkswagen

Plus de 3,3 millions de clients ont été impactés par une violation de données du constructeur automobile Volkswagen annoncée en juin 2021. Les informations des clients actuels et potentiels ont été laissées exposées en ligne entre août 2019 et mai 2021. Selon Volkswagen, ils ont été alertés qu'un tiers non autorisé pourrait avoir accédé aux informations des clients le 10 mars 2020.

Données éventuellement exposées incluses :

• Prénom et nom de famille

• Adresse personnelle

• Adresses professionnelles

• Adresses électroniques

• Numéros de téléphone

• Véhicules achetés

• Véhicules loués

• Numéros d'identification des véhicules, marques, modèles, années et couleurs

Attaque par ransomware de PracticeMax

Le fournisseur de solutions informatiques et de facturation pour le secteur de la santé PracticeMax a annoncé avoir été victime d'une attaque par ransomware survenue entre le 17 avril et le 5 mai 2021. PracticeMax est un partenaire commercial des organismes de santé Humana et Anthem. Au cours de la violation, un acteur non autorisé a accédé et volé plus de 4 000 dossiers de patients de Humana contenant des informations de santé protégées (PHI).

Violations de données par des tiers dans le passé

SolarWinds

La violation de la chaîne d'approvisionnement de SolarWinds, signalée pour la première fois en décembre 2020, a touché plus de 18 000 utilisateurs de son produit de gestion de réseau Orion. La violation de la chaîne d'approvisionnement de SolarWinds continue de faire des ravages chez les clients d'Orion dans le monde entier, alors qu'ils continuent d'identifier et d'atténuer ses risques. La liste des entreprises touchées comprend d'importantes agences et entreprises du gouvernement américain :

• Département de l'énergie

• Département du Trésor

• Département du commerce

• Etats et collectivités locales

• Département d'État

• Département de la sécurité intérieure

• Instituts nationaux de la santé

• Le département de la défense

Parmi les entreprises privées touchées par la brèche figurent Microsoft et FireEye. Cet incident de sécurité a porté un coup majeur à la sécurité nationale américaine en révélant des failles importantes dans les défenses de cybersécurité. Conscient de l'impact potentiellement préjudiciable sur les activités des entreprises, Prevalent a publié une évaluation gratuite de la gestion des événements et des incidents à l'intention de ses clients peu après que la brèche a été signalée.

Capital One

En 2019, Capital One a signalé une violation de données touchant plus de 100 millions de clients et impliquant des données remontant à une décennie. L'Office of the Comptroller of the Currency a cité l'incapacité "à établir des processus efficaces d'évaluation des risques" avant de déplacer l'infrastructure informatique et les données vers le cloud public comme l'une des principales causes de la violation. Capital One a été condamné à une amende de plus de 80 millions de dollars pour cette violation. Les données compromises comprenaient :

• Numéros de sécurité sociale

• Numéros de compte bancaire

• Scores de crédit des clients

• Historique des paiements

• Revenus autodéclarés

GE

La brèche GE 2020 montre qu'un incident de sécurité peut nuire non seulement aux relations avec les clients, mais aussi aux relations avec les employés et à la confiance dans l'entreprise. Le fournisseur de gestion des documents relatifs aux ressources humaines de General Electric, Canon Business Process Service, a subi une violation au début de l'année 2020. Les informations sensibles de plus de 200 000 employés actuels et anciens, y compris les avantages sociaux et les informations médicales personnelles (PHI), et plus encore, ont été exposées lors de l'incident.

Les informations personnelles divulguées comprennent :

• Noms

• Numéros de sécurité sociale

• Informations sur le compte bancaire

• Date de naissance

• Formulaires de dépôt direct

• Permis de conduire

• Passeports

• Actes de naissance

• Certificats de mariage

Des certificats de décès, des ordonnances de pensions alimentaires pour enfants, des formulaires de retenue d'impôt, des formulaires de désignation de bénéficiaires et des demandes de prestations telles que des prestations de retraite, des indemnités de départ et des prestations de décès, ainsi que des formulaires et documents connexes, ont également été exposés.

Adobe

En 2019, plus de 7 millions d'enregistrements d'utilisateurs d'Adobe Creative Cloud ont été exposés parce qu'une base de données Elasticsearch interne a été laissée exposée en ligne sans protection par mot de passe. Les informations comprenaient des noms d'utilisateur et des informations sur les comptes clients, mais pas de données financières ni de mots de passe des utilisateurs.

D'autres informations ont été exposées :

• Adresses électroniques des utilisateurs

• ID des membres d'Adobe

• Pays d'origine

• Produits Adobe utilisés

• Date de création du compte

• Dernière date de connexion

• État de l'abonnement

• Statut du paiement

Bien que la violation n'ait pas porté sur les informations d'identification des utilisateurs telles que les noms, les mots de passe ou les informations financières, l'incident a tout de même porté préjudice aux utilisateurs. Les pirates utilisant des techniques de spear phishing peuvent envoyer des courriels à des comptes de grande valeur, obtenir des mots de passe et les vendre sur le dark web. Toute violation des informations relatives aux clients, aussi minime soit-elle, peut présenter des risques énormes.

Marriott

Lorsque Marriott a acquis Starwood en 2016, l'entreprise a hérité d'une plateforme de système de réservation compromise qui a entraîné des poursuites judiciaires et des atteintes à la réputation après l'annonce de la violation en 2018. Les acteurs malveillants avaient un accès direct aux réseaux et systèmes de Starwood depuis 2014. Les attaquants ont conservé l'accès aux systèmes de Starwood jusqu'à la découverte et la divulgation de la brèche en 2018.

Les acteurs malveillants ont volé des informations sur jusqu'à 500 millions d'invités, notamment :

• Noms

• Adresses

• Numéros de téléphone

• Dates de naissance

• Adresses électroniques

• Données cryptées de la carte de crédit

• Numéros de passeport

• Histoires de voyages

En 2020, Marriott a annoncé une deuxième violation, qui a touché plus de 5 millions de comptes clients et a compromis les adresses, les anniversaires, les numéros de téléphone et les informations des cartes de fidélité. Cette fuite de données de tiers a été causée par le vol de l'accès aux systèmes de deux propriétaires de franchises Marriott. Il est important de surveiller tout tiers qui a accès aux informations de l'infrastructure de votre entreprise, même s'il s'agit d'une organisation partenaire comme un franchisé. Il arrive souvent que les franchisés ne respectent pas les mêmes exigences de cybersécurité que leur société mère, ce qui expose l'ensemble de l'organisation à des risques.

Cible

En 2013, le grand détaillant Target a été piraté par cyber attaquants compromettant les données de plus de 70 millions de consommateurs. Au cours de cette violation de tiers qui a fait date, l'un des entrepreneurs de CVC de Target a été victime d'une attaque de spear-phishing qui a entraîné la fuite de numéros de cartes de crédit, de codes de sécurité, de numéros de téléphone et de noms complets.

Les pirates ont accédé au réseau d'entreprise de Target à l'aide d'informations d'identification volées et ont installé des logiciels malveillants sur les terminaux de point de vente de Target. Le logiciel malveillant installé a recueilli des données sensibles sur les clients entre novembre et décembre 2013. L'affaire Target montre clairement que même les programmes de sécurité de l'information les mieux financés peuvent facilement être compromis par des failles de sécurité dans des produits et services tiers.

Meilleures pratiques pour prévenir les failles de sécurité des tiers tout au long du cycle de vie des fournisseurs

Il peut être difficile de gérer efficacement les risques tout au long de la chaîne d'approvisionnement, en particulier pour les grandes entreprises. Cependant, plusieurs mesures peuvent être prises pour mieux comprendre votre environnement de risque et atténuer l'impact d'un risque potentiel lié à un tiers. Voici les recommandations de Prevalentpour aider à atténuer le risque d'une violation de données par un tiers tout au long du cycle de vie du fournisseur.

Tenir compte de la sécurité de l'information lors de la recherche et de la sélection des fournisseurs

Alors que votre infrastructure informatique est de plus en plus intégrée à des tiers et à des tiers, il est essentiel de prendre en compte la sécurité de l'information lors de la recherche et de la sélection des fournisseurs. Lorsque vous envisagez de faire appel à des fournisseurs dont le profil de risque est élevé en raison de leur accès aux données et systèmes sensibles de votre organisation, donnez la priorité à ceux dont la maturité en matière de sécurité de l'information a été démontrée. La question mérite d'être posée :

• Le fournisseur travaille-t-il avec d'autres entreprises clientes ayant des besoins complexes en matière de sécurité de l'information ?

• Le fournisseur dispose-t-il des contrôles de sécurité nécessaires pour se conformer aux exigences qui découleraient de votre organisation ? (par exemple, HIPAA, CMMC, GDPR)

• Quels sont les antécédents du fournisseur en matière de sécurité de l'information ? A-t-il fait l'objet de plusieurs violations de données rendues publiques ou de violations de la conformité ?

Envisagez d'utiliser des logiciels de gestion des risques de tiers ou des réseaux de renseignements sur les risques des fournisseurs pour informer votre processus d'approvisionnement et de sélection avec des données préchargées sur les risques de cybersécurité.

Définissez des attentes contractuelles claires sur la manière dont les données sont stockées et transférées.

De nombreuses organisations ne parviennent pas à élaborer leurs processus de gestion des contrats avec les fournisseurs en gardant à l'esprit la gestion des risques liés aux fournisseurs. Votre organisation devrait disposer de politiques claires concernant le moment où les informations personnelles, les données des clients ou d'autres informations sensibles peuvent être partagées avec des tiers. Par exemple, vous pourriez envisager d'inclure des stipulations claires concernant le moment où des informations confidentielles peuvent être partagées avec des quatrièmes parties et au-delà.

Contrôler en permanence les tiers ayant accès à des données ou à des systèmes sensibles

Les fournisseurs doivent être surveillés afin de détecter tout accès non autorisé à des données personnelles ou à d'autres informations confidentielles. Même si le fournisseur n'agit pas de manière malveillante, ses systèmes informatiques ont pu être compromis, ce qui a entraîné la propagation de logiciels malveillants aux systèmes de votre organisation. Tout fournisseur ayant accès à vos actifs informatiques doit être surveillé pendant toute la durée de l'accès.

En outre, vous devriez pratiquer un contrôle externe proactif de tous les fournisseurs qui traitent vos informations confidentielles. Les organisations modifient leurs programmes de sécurité de l'information au fil du temps, et ce qui a été indiqué à l'origine dans le questionnaire d'évaluation des risques des fournisseurs peut ne plus être vrai quelques mois plus tard. En outre, une approche de surveillance proactive peut vous aider à détecter les violations de données potentielles avant qu'elles ne se produisent. En surveillant le dark web, Pastebin et d'autres sites où sont publiées des informations d'identification volées, vous pouvez savoir si l'un de vos fournisseurs a été compromis.

Faites attention aux exigences réglementaires

Les réglementations en matière de sécurité de l'information et de protection de la vie privée ont été considérablement renforcées au cours de la dernière décennie. Au cours des dernières années, nous avons assisté à l'introduction du GDPR, CCPAde la loi sur le bouclier de New York et de dizaines d'autres exigences de conformité. Il est très probable que la surveillance réglementaire continuera à s'intensifier à mesure que de nouvelles violations par des tiers apparaîtront.

Exiger des fournisseurs qu'ils vérifient de manière indépendante leurs pratiques en matière de sécurité de l'information

Les questionnaires d'évaluation des risques par des tiers peuvent être extrêmement utiles pour déterminer si les fournisseurs prennent des mesures appropriées en matière de sécurité de l'information. Toutefois, dans certains cas, vous pouvez envisager d'exiger des fournisseurs potentiels qu'ils soient certifiés par rapport à une norme de sécurité de l'information. Par exemple, le ministère de la défense a récemment diffusé la certification du modèle de maturité de la cybersécurité (Cybersecurity Maturity Model Certification). Ce règlement exige que les sous-traitants travaillant avec le ministère de la défense soient certifiés par rapport à une norme à cinq niveaux établie par le ministère de la défense et déterminée par le type d'informations avec lesquelles le sous-traitant travaille.

Votre organisation peut adopter une approche similaire pour traiter les problèmes de cybersécurité des fournisseurs. Pour de nombreux fournisseurs, en particulier ceux qui ne traitent pas de grandes quantités de données confidentielles, un simple questionnaire d'évaluation des risques peut suffire. Toutefois, pour les fournisseurs qui ont besoin d'accéder à des données et à des systèmes propriétaires, vous pourriez envisager d'exiger la conformité à une norme externe telle que SOC 2 ou NIST CSF.

Obtenir une visibilité sur la chaîne d'approvisionnement étendue

La première étape de tout programme de cybersécurité consiste à obtenir une visibilité sur les actifs informatiques. Il en va de même pour les risques liés aux tiers. Vous devez comprendre non seulement quels sont les tiers utilisés dans l'entreprise étendue, mais aussi qui compose leurs chaînes d'approvisionnement jusqu'aux fournisseurs de quatrième et de neuvième rangs. En règle générale, plus le fournisseur est critique ou plus il a accès à des données, plus vous avez besoin de visibilité sur ses chaînes d'approvisionnement étendues. Les attaques de Kaseya et de SolarWinds sont des exemples illustrant la manière dont les pratiques de sécurité des quatrième parties peuvent avoir des effets d'entraînement tout au long de la chaîne d'approvisionnement.

Audit de votre processus d'intégration

L'intégration efficace des fournisseurs est l'un des éléments les plus essentiels d'un programme de gestion des risques liés aux tiers et est indispensable pour prévenir les violations de données de tiers. La plupart des organisations disposent d'une forme ou d'une autre de processus d'intégration pour les tiers et les sous-traitants, mais dans un environnement d'entreprise très actif, ce processus peut être négligé. Faites l'effort d'auditer régulièrement les processus d'intégration des fournisseurs tiers dans plusieurs départements. Veillez à ce que les autorisations et les accès soient entièrement révoqués dans tous les services afin de respecter la politique de l'entreprise et les réglementations gouvernementales.

Prochaines étapes pour la prévention des violations de données par des tiers

Vous vous demandez dans quelle mesure votre organisation est préparée à une violation de données par un tiers ? Commencez par utiliser notre calculateur de risque en 10 questions. Pour obtenir un rapport d'analyse comparative personnalisé sur votre programme de gestion des risques liés aux tiers, demandez une évaluation gratuite de la maturité TPRM et une session de conseil. Vous souhaitez savoir comment Prevalent peut vous aider ? En savoir plus sur notre plateforme de gestion des risques des tiers et nos services d'évaluation des risques des fournisseurs, ou demander une démonstration.