Une violation de données de tiers se produit lorsque des acteurs malveillants compromettent un vendeur, un fournisseur, un entrepreneur ou une autre organisation afin d'accéder à des informations ou à des systèmes sensibles des clients ou des partenaires commerciaux de la victime. Les violations de données de tiers sont de plus en plus fréquentes à mesure que la technologie facilite la connexion des entreprises et que les chaînes d'approvisionnement mondiales deviennent de plus en plus complexes. En fait, 61 % des entreprises ont signalé une violation de données de tiers en 2023, soit une augmentation de près de 50 % au cours de l'année écoulée et de 3x depuis 2021. En conséquence, les organisations sont souvent incapables de visualiser où vont leurs données, et les données propriétaires ou sensibles peuvent facilement être partagées avec des fournisseurs et des sous-traitants que l'organisation contractante connaît peu ou pas du tout.
De plus, les atteintes aux données de tiers sont parmi les plus coûteuses à réparer pour les organisations. Les données du rapport 2024 IBM/Ponemon Cost of a Data Breach Report montrent que les violations par des tiers sont le troisième facteur prédictif de l'augmentation des coûts de violation, avec une augmentation des coûts de 5 % par rapport à la moyenne.
Cet article examine les raisons pour lesquelles les violations de données par des tiers sont en augmentation, donne des exemples d'entreprises importantes qui ont été compromises par des fournisseurs de troisième, quatrième ou Nième partie, et explique les mesures que vous pouvez prendre pour atténuer le risque que votre organisation soit victime de ces violations.
Au cours de la dernière décennie, un nombre croissant de grandes organisations ont investi massivement dans la sécurité de l'information. Aucun système ne peut être entièrement sécurisé, mais des investissements importants dans la cybersécurité rendent beaucoup plus difficile pour les acteurs malveillants de compromettre des organisations bien dotées en ressources. Les pirates sont de plus en plus incités à cibler les petits sous-traitants pour contourner les programmes de cybersécurité robustes et bien financés. Il est beaucoup plus facile de compromettre une petite entreprise de CVC et de l'utiliser comme cheval de Troie involontaire que de compromettre directement une entreprise du Fortune 500 dotée d'un centre d'opérations de sécurité doté d'un personnel complet et de plusieurs couches de contrôles de sécurité.
Les petites entreprises ont toujours été à la traîne dans l'adoption de pratiques robustes en matière de sécurité de l'information, malgré le fait que 43 % des attaques les ciblent. Cela permet à des acteurs malveillants de compromettre de petits tiers et de voler des données qui leur sont confiées ou de détourner leur accès à des systèmes sensibles d'organisations plus importantes. Les violations de données de tiers peuvent être extrêmement préjudiciables et se traduire par des millions de dollars d'amendes, de frais de justice et de pénalités, ainsi que par une atteinte considérable à la réputation de l'entreprise.
Les violations de données par des tiers sont devenues beaucoup plus fréquentes ces dernières années. À mesure que l'économie mondiale s'intègre, les données circulent souvent tout au long des chaînes d'approvisionnement sans que l'on se soucie vraiment de leur protection ou de leur gestion. Il en résulte une approche "sauvage" de l'application des contrôles de sécurité de l'information, car de nombreuses organisations n'ont que peu ou pas d'idée de l'endroit où se trouvent leurs données dans la chaîne d'approvisionnement étendue, et encore moins des mesures de sécurité prises pour les protéger.
En janvier 2024, l'équipe de sécurité de Microsoft a détecté une attaque sur ses systèmes de messagerie électronique, identifiant par la suite l'attaquant comme étant Midnight Blizzard, l'acteur parrainé par l'État russe également connu sous le nom de NOBELIUM. Cet incident en cours a compromis les comptes de messagerie et les données des agences gouvernementales américaines et des entreprises. Les pirates ont téléchargé environ 60 000 courriels du seul département d'État.
Vous devriez surveiller toute mise à jour critique de cet incident - même si vos comptes n'ont pas été compromis directement, il y a de fortes chances qu'un tiers dans votre écosystème l'ait été. Microsoft est intégré dans l'écosystème technologique de la plupart des organisations, à tel point que beaucoup n'ont d'autre choix que de lui faire confiance.
En février 2024, UnitedHealth Group, le plus grand assureur santé des États-Unis, a confirmé qu'une attaque par ransomware avait ciblé sa filiale de technologie de la santé Change Healthcare, continuant à perturber les hôpitaux et les pharmacies dans tout le pays. Change Healthcare traite près de la moitié des demandes de remboursement aux États-Unis pour environ 900 000 médecins, 33 000 pharmacies, 5 500 hôpitaux et 600 laboratoires.
La cyberattaque a interrompu les activités des pharmacies et provoqué des pannes généralisées, ainsi que des problèmes de traitement des factures d'assurance et des factures des patients. L'incident met en évidence la menace croissante que représentent les ransomwares pour les services essentiels, les experts appelant à une intervention urgente des pouvoirs publics.
En février 2024, Bank of America a annoncé que les données de ses clients avaient été compromises à la suite d'un incident de cybersécurité d'Infosys McCamish. Cet incident a permis à une partie non autorisée d'accéder aux informations sensibles de certains clients, notamment leur nom, leur adresse, leur adresse électronique professionnelle, leur date de naissance, leur numéro de sécurité sociale et d'autres informations relatives à leur compte. Récemment, Infosys McCamish a révélé dans une mise à jour aux investisseurs que les informations d'environ 6,5 millions de personnes étaient sujettes à un accès non autorisé et à l'exfiltration.
De nombreux rapports de veille sur les menaces indiquent qu'Infosys pourrait avoir eu une mauvaise hygiène de sécurité et une surface d'attaque externe très exposée avant l'attaque par ransomware. Cela souligne la nécessité de faire pression sur les principaux fournisseurs et vendeurs pour qu'ils adhèrent aux meilleures pratiques de sécurité bien connues.
En mars 2024, American Express a révélé qu'une entreprise tierce de traitement des transactions (dont le nom n'a pas encore été dévoilé) avait été victime d'un incident de cybersécurité. Cet incident a entraîné la fuite de données sensibles sur les clients, y compris des numéros de compte de carte American Express actuels ou antérieurs, des noms et d'autres informations sur les cartes, comme leur date d'expiration.
L'écosystème des cartes de paiement est gigantesque et de nombreuses parties interconnectées sont impliquées, ce qui pourrait entraîner des violations de données financières sensibles. Les consommateurs et les entreprises doivent être vigilants et prêts à mettre à jour rapidement les informations relatives aux cartes de paiement.
En juillet 2024, HealthEquity, un fournisseur de comptes d'épargne santé (HSA) basé dans l'Utah, a révélé une violation de données affectant 4,5 millions de clients dans tout le pays. Selon un porte-parole, la violation résulte du piratage d'un référentiel de données géré par un tiers.
Les informations personnelles compromises comprenaient diverses données relatives à l'inscription aux avantages sociaux, qui pouvaient consister en des noms, adresses, numéros de téléphone, identifiants d'employés, employeurs, numéros de sécurité sociale et informations sur les personnes à charge.
Le référentiel consulté, qui était hébergé par un fournisseur de services en nuage tiers, était situé en dehors des systèmes centraux de HealthEquity.
Cybersécurité des tiers : Les principaux incidents de 2024 jusqu'à présent
Rejoignez Dave Shackleford de Voodoo Security pour examiner l'état actuel de la cybersécurité des tiers en 2024 et partager des conseils pour renforcer la sécurité de votre programme de gestion des risques des tiers (TPRM).
En janvier 2023, l'un des anciens fournisseurs de services en nuage d'AT&T a été victime d'une violation de données qui a touché 8,9 millions de clients du secteur de la téléphonie mobile. La violation a révélé des informations sur les clients telles que le nombre de lignes sur les comptes, les soldes des factures et les détails des plans tarifaires. Bien que des données très sensibles n'aient pas été compromises, les données exposées auraient dû être supprimées six ans plus tôt. En conséquence, AT&T a accepté de payer 13 millions de dollars d'amendes à la FCC, d'améliorer sa gestion des données clients et d'appliquer des pratiques de traitement des données plus strictes avec ses fournisseurs afin d'éviter de nouvelles violations.
Cette violation s'est produite des années après la fin du contrat, ce qui souligne l'importance d'intégrer une gestion approfondie des risques liés aux tiers dans les procédures d'externalisation, y compris la surveillance continue des fournisseurs après la résiliation du contrat.
Le 31 mai 2023, Progress Software a révélé une vulnérabilité qui permet à des acteurs non authentifiés d'accéder à sa base de données MOVEit® Transfer et d'exécuter des instructions SQL pour modifier ou supprimer des informations. MOVEit Transfer est un logiciel de transfert de fichiers géré qui fait partie de la plateforme cloud Progress MOVEit utilisée pour consolider toutes les activités de transfert de fichiers en un seul système.
Depuis la divulgation, le gang cybercriminel Clop a exploité la vulnérabilité et l'a utilisée pour cibler un large éventail d'organisations dans plusieurs secteurs et zones géographiques, notamment le fournisseur de logiciels de ressources humaines Zellis, la BBC, le gouvernement de la Nouvelle-Écosse et bien d'autres encore.
En octobre 2023, Okta a révélé qu'un fournisseur de soins de santé avait exposé les informations de 5 000 employés d'Okta. Dans le premier incident, les attaquants ont volé des informations d'identification pour accéder à son système de gestion des cas d'assistance et voler des jetons de session téléchargés par les clients. Début novembre, l'entreprise a informé ses clients que la violation avait également touché tous les utilisateurs du système de support client d'Okta.
La source de la violation était probablement un compte Google personnel compromis d'un employé d'Okta qui avait sauvegardé les informations d'identification de son compte de service dans son compte. Cette dernière violation de l'unité de support en octobre est la deuxième violation importante affectant les données des clients d'Okta au cours des deux dernières années.
En août 2023, la police métropolitaine de Londres a été victime d' une attaque par ransomware contre un fournisseur informatique, Digital ID. Les informations sensibles de près de 47 000 agents et membres du personnel des forces de l'ordre, y compris des policiers infiltrés et des agents de lutte contre le terrorisme, ont été exposées. Les informations compromises comprenaient toute une série de données sensibles, notamment les noms, photos, grades, niveaux de contrôle et numéros d'identification des agents et du personnel.
En mars 2022, la plateforme américaine de gestion des identités et des accès Okta a reconnu qu'une attaque contre un fournisseur tiers auquel elle faisait appel avait entraîné une violation des données touchant environ 2,5 % de sa clientèle. Selon Okta, les dommages ont été limités aux permissions dont disposent les ingénieurs de support tiers sur leur plateforme. Le groupe de ransomware responsable de l'attaque, LAPSUS$, avait la possibilité d'accéder :
Billets JIRA
Listes d'utilisateurs
Réinitialiser les mots de passe
Réinitialiser l'authentification multifactorielle
Les attaques contre les acteurs critiques de l'écosystème de la chaîne d'approvisionnement se sont multipliées ces dernières années, les acteurs malveillants poursuivant de plus en plus une stratégie consistant à tirer parti d'une attaque réussie pour nuire aux entreprises tout au long de la chaîne d'approvisionnement en logiciels. Les entreprises de cybersécurité peuvent être particulièrement exposées en raison de leur accès privilégié aux environnements informatiques d'autres organisations. Pour plus d'informations sur la violation d'Okta en 2022, nous vous recommandons de lire notre blog sur les quatre questions auxquelles vous devez répondre pour déterminer si vous êtes prêt pour une réponse à un incident par une tierce partie.
Le 22 décembre 2022, la société de gestion de mots de passe LastPass a annoncé qu'un acteur inconnu avait exploité des informations obtenues lors d'un incident de sécurité survenu en août 2022 pour accéder à un service de stockage tiers basé sur le cloud que LastPass utilise pour stocker des sauvegardes archivées.
Le 28 février 2022, Toyota a annoncé que l'entreprise suspendait les opérations sur les 28 lignes de production de 14 usines au Japon pendant une journée en raison d'une panne de système chez un fournisseur, Kojima Industries. D'autres partenaires de Toyota, dont Hino Motors et Daihatsu Motor, ont également été touchés par cet arrêt. La cause de la défaillance du système chez Kojima semble être une cyberattaque qui a empêché les communications avec Toyota et les systèmes de surveillance de la production. Le 1er mars, Toyota a annoncé qu'elle reprenait ses activités uniquement pour la première équipe de production à partir du 2 mars.
Au moins huit prestataires de soins de santé ont dû informer des millions de patients que leurs dossiers médicaux avaient été compromis lors d'une attaque de ransomware sur une plateforme tierce de dossiers médicaux électroniques (DME).
L'attaque contre le DME d'Eye Care Leaders en décembre 2021, l'incident de sécurité le plus important de l'année dans le secteur de la santé, a exposé les données de 3,7 millions de personnes à des acteurs menaçants qui, après s'être introduits dans la plateforme, ont supprimé des bases de données et des fichiers de configuration du système, ce qui rend impossible de déterminer si les attaquants ont vu ou pris les données avant de les effacer.
En décembre 2021, des chercheurs en sécurité ont annoncé la découverte de CVE-2021-44228, une vulnérabilité de la bibliothèque de journalisation Apache Log4j basée sur Java. La vulnérabilité de Log4j permet l'exécution de code à distance non authentifié et l'accès aux serveurs - en fait, une prise de contrôle complète des systèmes vulnérables. Log4j a ouvert un risque massif dans tout l'écosystème des logiciels tiers.
Même si Apache a publié un correctif en quelques jours, de nombreuses organisations dépendent de tierces, quatrièmes et Nièmes parties qui peuvent avoir négligé de mettre en place des correctifs rapidement ou ignorer qu'elles étaient affectées. Prevalent a dressé une liste de 8 questions à poser aux tierces parties afin de réduire les risques d'être affectées par une violation de données tierces activée par Log4J.
Les attaques de logiciels de surveillance et de gestion à distance sont devenues une préoccupation majeure pour de nombreuses équipes informatiques et services manages Providers. Le 2 juillet 2021, Kaseya a annoncé que des attaquants avaient profité d'une vulnérabilité dans le logiciel VSA de la société pour organiser une attaque par ransomware contre les clients de Kaseya. Des dizaines de fournisseurs de services informatiques et des centaines de clients en aval ont été touchés, ce qui a entraîné des millions de dollars de dommages.
À l'instar de la brèche dans le système Orion de SolarWinds et d'autres incidents de sécurité récents impliquant des tiers ( cyber ), il s'agit d'un autre exemple de l'impact exponentiel potentiel des attaques sur la chaîne d'approvisionnement étendue.
Mercedes-Benz a annoncé en juin 2021 qu'environ 1,6 million d'enregistrements uniques avaient fait l'objet d'une fuite par le biais de la plateforme de stockage en nuage d'un fournisseur tiers. Un éternel chercheur en cybersécurité aurait trouvé la faille et informé Mercedes-Benz de l'incident. Selon Mercedes-Benz, moins de 1 000 clients ont vu leurs informations sensibles, telles que leur numéro de sécurité sociale ou leur permis de conduire, divulguées.
Le constructeur automobile a révélé la faille le jeudi 24 juin. Il semble que des informations sur des acheteurs et des clients potentiels aient été divulguées en remplissant des informations sur les sites web de Mercedes-Benz entre le 1er janvier 2014 et le 19 juin 2017. Toute personne cherchant à accéder à ces fichiers devrait mettre en œuvre des "programmes et outils logiciels spéciaux" pour trouver les informations divulguées. L'entreprise a annoncé que la faille de sécurité a été corrigée et comblée.
Les données éventuellement divulguées sont incluses :
Numéros de permis de conduire
Numéros de sécurité sociale
Informations sur la carte de crédit
Anniversaires
Prénom et nom de famille
Adresse électronique
Numéros de téléphone
Informations sur le véhicule acheté
Plus de 3,3 millions de clients ont été impactés par une violation de données du constructeur automobile Volkswagen annoncée en juin 2021. Les informations des clients actuels et potentiels ont été laissées exposées en ligne entre août 2019 et mai 2021. Selon Volkswagen, ils ont été alertés qu'un tiers non autorisé pourrait avoir accédé aux informations des clients le 10 mars 2020.
Données éventuellement exposées incluses :
Prénom et nom de famille
Adresse personnelle
Adresses professionnelles
Adresses électroniques
Numéros de téléphone
Véhicules achetés
Véhicules loués
Numéros d'identification des véhicules, marques, modèles, années et couleurs
Le fournisseur de solutions informatiques et de facturation pour le secteur de la santé PracticeMax a annoncé avoir été victime d'une attaque par ransomware survenue entre le 17 avril et le 5 mai 2021. PracticeMax est un partenaire commercial des organismes de santé Humana et Anthem. Au cours de la violation, un acteur non autorisé a accédé et volé plus de 4 000 dossiers de patients de Humana contenant des informations de santé protégées (PHI).
La violation de la chaîne d'approvisionnement de SolarWinds, signalée pour la première fois en décembre 2020, a touché plus de 18 000 utilisateurs de son produit de gestion de réseau Orion. La violation de la chaîne d'approvisionnement de SolarWinds continue de faire des ravages chez les clients d'Orion dans le monde entier, alors qu'ils continuent d'identifier et d'atténuer ses risques. La liste des entreprises touchées comprend d'importantes agences et entreprises du gouvernement américain :
Département de l'énergie
Département du Trésor
Département du commerce
Etats et collectivités locales
Département d'État
Département de la sécurité intérieure
Instituts nationaux de la santé
Le département de la défense
Parmi les entreprises privées touchées par la brèche figurent Microsoft et FireEye. Cet incident de sécurité a porté un coup majeur à la sécurité nationale américaine en révélant des failles importantes dans les défenses de cybersécurité. Conscient de l'impact potentiellement préjudiciable sur les activités des entreprises, Prevalent a publié une évaluation gratuite de la gestion des événements et des incidents à l'intention de ses clients peu après que la brèche a été signalée.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
En 2019, Capital One a signalé une violation de données touchant plus de 100 millions de clients et impliquant des données remontant à une décennie. L'Office of the Comptroller of the Currency a cité l'incapacité "à établir des processus efficaces d'évaluation des risques" avant de déplacer l'infrastructure informatique et les données vers le cloud public comme l'une des principales causes de la violation. Capital One a été condamné à une amende de plus de 80 millions de dollars pour cette violation. Les données compromises comprenaient :
Numéros de sécurité sociale
Numéros de compte bancaire
Scores de crédit des clients
Historique des paiements
Revenus autodéclarés
La brèche GE 2020 montre qu'un incident de sécurité peut nuire non seulement aux relations avec les clients, mais aussi aux relations avec les employés et à la confiance dans l'entreprise. Le fournisseur de gestion des documents relatifs aux ressources humaines de General Electric, Canon Business Process Service, a subi une violation au début de l'année 2020. Les informations sensibles de plus de 200 000 employés actuels et anciens, y compris les avantages sociaux et les informations médicales personnelles (PHI), et plus encore, ont été exposées lors de l'incident.
Les informations personnelles divulguées comprennent :
Noms
Numéros de sécurité sociale
Informations sur le compte bancaire
Date de naissance
Formulaires de dépôt direct
Permis de conduire
Passeports
Actes de naissance
Certificats de mariage
Des certificats de décès, des ordonnances de pensions alimentaires pour enfants, des formulaires de retenue d'impôt, des formulaires de désignation de bénéficiaires et des demandes de prestations telles que des prestations de retraite, des indemnités de départ et des prestations de décès, ainsi que des formulaires et documents connexes, ont également été exposés.
En 2019, plus de 7 millions d'enregistrements d'utilisateurs d'Adobe Creative Cloud ont été exposés parce qu'une base de données Elasticsearch interne a été laissée exposée en ligne sans protection par mot de passe. Les informations comprenaient des noms d'utilisateur et des informations sur les comptes clients, mais pas de données financières ni de mots de passe des utilisateurs.
D'autres informations ont été exposées :
Adresses électroniques des utilisateurs
ID des membres d'Adobe
Pays d'origine
Produits Adobe utilisés
Date de création du compte
Dernière date de connexion
État de l'abonnement
Statut du paiement
Bien que la violation n'ait pas porté sur les informations d'identification des utilisateurs telles que les noms, les mots de passe ou les informations financières, l'incident a tout de même porté préjudice aux utilisateurs. Les pirates utilisant des techniques de spear phishing peuvent envoyer des courriels à des comptes de grande valeur, obtenir des mots de passe et les vendre sur le dark web. Toute violation des informations relatives aux clients, aussi minime soit-elle, peut présenter des risques énormes.
Lorsque Marriott a acquis Starwood en 2016, l'entreprise a hérité d'une plateforme de système de réservation compromise qui a entraîné des poursuites judiciaires et des atteintes à la réputation après l'annonce de la violation en 2018. Les acteurs malveillants avaient un accès direct aux réseaux et systèmes de Starwood depuis 2014. Les attaquants ont conservé l'accès aux systèmes de Starwood jusqu'à la découverte et la divulgation de la brèche en 2018.
Les acteurs malveillants ont volé des informations sur jusqu'à 500 millions d'invités, notamment :
Noms
Adresses
Numéros de téléphone
Dates de naissance
Adresses électroniques
Données cryptées de la carte de crédit
Numéros de passeport
Histoires de voyages
En 2020, Marriott a annoncé une deuxième violation, qui a touché plus de 5 millions de comptes clients et a compromis les adresses, les anniversaires, les numéros de téléphone et les informations des cartes de fidélité. Cette fuite de données de tiers a été causée par le vol de l'accès aux systèmes de deux propriétaires de franchises Marriott. Il est important de surveiller tout tiers qui a accès aux informations de l'infrastructure de votre entreprise, même s'il s'agit d'une organisation partenaire comme un franchisé. Il arrive souvent que les franchisés ne respectent pas les mêmes exigences de cybersécurité que leur société mère, ce qui expose l'ensemble de l'organisation à des risques.
En 2013, le grand détaillant Target a été piraté par cyber attaquants compromettant les données de plus de 70 millions de consommateurs. Au cours de cette violation de tiers qui a fait date, l'un des entrepreneurs de CVC de Target a été victime d'une attaque de spear-phishing qui a entraîné la fuite de numéros de cartes de crédit, de codes de sécurité, de numéros de téléphone et de noms complets.
Les pirates ont accédé au réseau d'entreprise de Target à l'aide d'informations d'identification volées et ont installé des logiciels malveillants sur les terminaux de point de vente de Target. Le logiciel malveillant installé a recueilli des données sensibles sur les clients entre novembre et décembre 2013. L'affaire Target montre clairement que même les programmes de sécurité de l'information les mieux financés peuvent facilement être compromis par des failles de sécurité dans des produits et services tiers.
Naviguer dans le cycle de vie du risque fournisseur : les clés du succès
Ce guide gratuit détaille les meilleures pratiques pour gérer avec succès les risques tout au long du cycle de vie des fournisseurs. Découvrez ce que nous avons appris au cours de nos 20 années d'expérience avec des centaines de clients.
Il peut être difficile de gérer efficacement les risques tout au long de la chaîne d'approvisionnement, en particulier pour les grandes entreprises. Cependant, plusieurs mesures peuvent être prises pour mieux comprendre votre environnement de risque et atténuer l'impact d'un risque potentiel lié à un tiers. Voici les recommandations de Prevalentpour aider à atténuer le risque d'une violation de données par un tiers tout au long du cycle de vie du fournisseur.
Alors que votre infrastructure informatique est de plus en plus intégrée à des tiers et à des tiers, il est essentiel de prendre en compte la sécurité de l'information lors de la recherche et de la sélection des fournisseurs. Lorsque vous envisagez de faire appel à des fournisseurs dont le profil de risque est élevé en raison de leur accès aux données et systèmes sensibles de votre organisation, donnez la priorité à ceux dont la maturité en matière de sécurité de l'information a été démontrée. La question mérite d'être posée :
Le fournisseur travaille-t-il avec d'autres entreprises clientes ayant des besoins complexes en matière de sécurité de l'information ?
Le fournisseur dispose-t-il des contrôles de sécurité nécessaires pour se conformer aux exigences qui découleraient de votre organisation ? (par exemple, HIPAA, CMMC, GDPR)
Quels sont les antécédents du fournisseur en matière de sécurité de l'information ? A-t-il fait l'objet de plusieurs violations de données rendues publiques ou de violations de la conformité ?
Envisagez d'utiliser des logiciels de gestion des risques de tiers ou des réseaux de renseignements sur les risques des fournisseurs pour informer votre processus d'approvisionnement et de sélection avec des données préchargées sur les risques de cybersécurité.
De nombreuses organisations ne parviennent pas à élaborer leurs processus de gestion des contrats avec les fournisseurs en gardant à l'esprit la gestion des risques liés aux fournisseurs. Votre organisation devrait disposer de politiques claires concernant le moment où les informations personnelles, les données des clients ou d'autres informations sensibles peuvent être partagées avec des tiers. Par exemple, vous pourriez envisager d'inclure des stipulations claires concernant le moment où des informations confidentielles peuvent être partagées avec des quatrièmes parties et au-delà.
Les fournisseurs doivent être surveillés afin de détecter tout accès non autorisé à des données personnelles ou à d'autres informations confidentielles. Même si le fournisseur n'agit pas de manière malveillante, ses systèmes informatiques ont pu être compromis, ce qui a entraîné la propagation de logiciels malveillants aux systèmes de votre organisation. Tout fournisseur ayant accès à vos actifs informatiques doit être surveillé pendant toute la durée de l'accès.
En outre, vous devriez pratiquer un contrôle externe proactif de tous les fournisseurs qui traitent vos informations confidentielles. Les organisations modifient leurs programmes de sécurité de l'information au fil du temps, et ce qui a été indiqué à l'origine dans le questionnaire d'évaluation des risques des fournisseurs peut ne plus être vrai quelques mois plus tard. En outre, une approche de surveillance proactive peut vous aider à détecter les violations de données potentielles avant qu'elles ne se produisent. En surveillant le dark web, Pastebin et d'autres sites où sont publiées des informations d'identification volées, vous pouvez savoir si l'un de vos fournisseurs a été compromis.
Les réglementations en matière de sécurité de l'information et de protection de la vie privée ont été considérablement renforcées au cours de la dernière décennie. Au cours des dernières années, nous avons assisté à l'introduction du GDPR, CCPAde la loi sur le bouclier de New York et de dizaines d'autres exigences de conformité. Il est très probable que la surveillance réglementaire continuera à s'intensifier à mesure que de nouvelles violations par des tiers apparaîtront.
Les questionnaires d'évaluation des risques par des tiers peuvent être extrêmement utiles pour déterminer si les fournisseurs prennent des mesures appropriées en matière de sécurité de l'information. Toutefois, dans certains cas, vous pouvez envisager d'exiger des fournisseurs potentiels qu'ils soient certifiés par rapport à une norme de sécurité de l'information. Par exemple, le ministère de la défense a récemment diffusé la certification du modèle de maturité de la cybersécurité (Cybersecurity Maturity Model Certification). Ce règlement exige que les sous-traitants travaillant avec le ministère de la défense soient certifiés par rapport à une norme à cinq niveaux établie par le ministère de la défense et déterminée par le type d'informations avec lesquelles le sous-traitant travaille.
Votre organisation peut adopter une approche similaire pour traiter les problèmes de cybersécurité des fournisseurs. Pour de nombreux fournisseurs, en particulier ceux qui ne traitent pas de grandes quantités de données confidentielles, un simple questionnaire d'évaluation des risques peut suffire. Toutefois, pour les fournisseurs qui ont besoin d'accéder à des données et à des systèmes propriétaires, vous pourriez envisager d'exiger la conformité à une norme externe telle que SOC 2 ou NIST CSF.
La première étape de tout programme de cybersécurité consiste à obtenir une visibilité sur les actifs informatiques. Il en va de même pour les risques liés aux tiers. Vous devez comprendre non seulement quels sont les tiers utilisés dans l'entreprise étendue, mais aussi qui compose leurs chaînes d'approvisionnement jusqu'aux fournisseurs de quatrième et de neuvième rangs. En règle générale, plus le fournisseur est critique ou plus il a accès à des données, plus vous avez besoin de visibilité sur ses chaînes d'approvisionnement étendues. Les attaques de Kaseya et de SolarWinds sont des exemples illustrant la manière dont les pratiques de sécurité des quatrième parties peuvent avoir des effets d'entraînement tout au long de la chaîne d'approvisionnement.
L'intégration efficace des fournisseurs est l'un des éléments les plus essentiels d'un programme de gestion des risques liés aux tiers et est indispensable pour prévenir les violations de données de tiers. La plupart des organisations disposent d'une forme ou d'une autre de processus d'intégration pour les tiers et les sous-traitants, mais dans un environnement d'entreprise très actif, ce processus peut être négligé. Faites l'effort d'auditer régulièrement les processus d'intégration des fournisseurs tiers dans plusieurs départements. Veillez à ce que les autorisations et les accès soient entièrement révoqués dans tous les services afin de respecter la politique de l'entreprise et les réglementations gouvernementales.
Vous vous demandez dans quelle mesure votre organisation est préparée à une violation de données par un tiers ? Commencez par utiliser notre calculateur de risque en 10 questions. Pour obtenir un rapport d'analyse comparative personnalisé sur votre programme de gestion des risques liés aux tiers, demandez une évaluation gratuite de la maturité TPRM et une session de conseil. Vous souhaitez savoir comment Prevalent peut vous aider ? En savoir plus sur notre plateforme de gestion des risques des tiers et nos services d'évaluation des risques des fournisseurs, ou demander une démonstration.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Utilisez ces 6 conseils pour améliorer vos procédures d'intervention en cas de violation par un tiers.
09/17/2024