Risque lié à l'IdO par des tiers : c'est comme laisser la porte d'entrée déverrouillée.

Le Ponemon Institute a publié sa troisième étude annuelle sur le risque IoT des tiers en partenariat avec Shared Assessments. L'étude est riche d'enseignements sur la maturité des organisations en matière de gestion des risques liés aux tiers, et plus particulièrement sur la manière dont leurs programmes tiennent compte de la croissance - et des risques correspondants - des appareils IoT. Je vous recommande de télécharger et de lire le rapport complet pour plus de détails.

Quelques éléments m'ont vraiment sauté aux yeux dans le rapport et je voulais les énumérer ici. À savoir, que malgré la sensibilisation aux risques de l'IdO, la plupart des organisations n'en font pas assez. Je vais passer en revue certaines mesures qui peuvent être prises pour surmonter ce que vous ne savez pas.

Synthèse des résultats pertinents*

Je ne vais pas détailler toutes les conclusions du rapport ; il est préférable que vous l'examiniez par vous-même. Je voulais plutôt attirer l'attention sur certaines données et conclusions concernant les risques liés à l'IdO et sur la façon dont vous pouvez commencer à les aborder dès aujourd'hui.

• Il existe des exemples avérés de violations de données causées par des dispositifs IoT tiers non sécurisés. En fait, selon l'étude, 18 % des organisations ont été victimes d'une telle violation.
• Et, 82 % des organisations ayant répondu à l'étude indiquent qu'il est probable qu'une violation de données causée par les dispositifs IoT non sécurisés d'un tiers se produise dans les 24 prochains mois.
• Mais même si le rapport indique que 68 % des personnes interrogées déclarent que les risques liés aux tiers augmentent en raison de l'essor de l'IdO, les pratiques de gestion des risques de nombreuses entreprises ne sont pas mûres - ou suffisamment mûres pour gérer cette croissance.
• En fait, moins d'un tiers des organisations surveillent l'utilisation de l'IdO par leurs tiers.
• Pourquoi ? Entre autres raisons, l'incapacité à déterminer si les mesures de protection des tiers et les politiques de sécurité de l'IdO sont suffisantes pour prévenir une violation des données (55 % des répondants) et la difficulté à gérer les complexités des plateformes IdO en raison du nombre de tiers.

L'étude poursuit en disant que les examens des programmes et des politiques de risque des tiers sont principalement réactifs ou ad hoc, 39 % des personnes interrogées déclarant que les examens sont effectués tous les deux ans ou pas de manière régulière ou seulement si un tiers a un incident de sécurité (18 % des personnes interrogées).

L'essentiel : Il faut qu'il y ait une brèche avant que les politiques et les programmes de risque des tiers soient revus.

Comme laisser la porte d'entrée non verrouillée pour que n'importe qui puisse entrer.

Une approche réactive et incohérente de la surveillance et de la gestion des risques liés aux tiers s'est révélée à maintes reprises insuffisamment agile pour les organisations d'aujourd'hui. Dans le cas des dispositifs IoT, ne pas surveiller la façon dont ils sont exploités par vos fournisseurs tiers revient à donner les clés de votre réseau à quiconque le demande !

Pour fermer et protéger l'accès à la porte d'entrée de votre organisation, envisagez de prendre les quatre (4) mesures suivantes :

1. Effectuez une évaluation approfondie, basée sur les contrôles, de vos tiers en ce qui concerne leur utilisation des appareils IoT. Plusieurs cadres de contrôle (p. ex. ISO, NIST, etc.) comportent des questions sur les contrôles et les sous-contrôles qui peuvent être utilisées avec le SIG pour vous aider à évaluer les personnes, les processus et les technologies en place. Les questions spécifiques à poser sont celles qui concernent

• Éducation et formation des employés en matière d'IdO
• Maintenir la segmentation du réseau
• Gestion des informations d'identification des dispositifs embarqués
• Contrôle des privilèges administratifs
• Cryptage
• Découverte du dispositif
• Gestion des vulnérabilités et des correctifs

2. En attendant les résultats des évaluations, effectuez une surveillance des réseaux externes de vos partenaires tiers. Cette analyse permettra de révéler les risques potentiels liés à la configuration (par exemple, SSL, DNS, sécurité des applications) et les risques liés aux événements menaçants (par exemple, les violations de données, les menaces IP, les événements de phishing, etc. Les résultats de cette analyse, ainsi que les résultats des évaluations effectuées au point 1 ci-dessus, vous permettront de définir votre position globale en matière de risques et vous aideront à être plus proactif dans la réduction des risques liés à l'IdO.

3. Informez votre conseil d'administration et votre direction générale des risques posés par les tiers à votre entreprise par le biais de rapports et de tableaux de bord. Comme nous l'avons évoqué dans le blog de la semaine dernière sur la maturité TPRM, tout est question de contexte.

4. Développer des classifications de risques et des règles spécifiques basées sur l'IdO. La mise en place de nouveaux programmes TPRM ou la maturation de programmes existants basés sur les meilleures pratiques du secteur est un travail difficile. En définissant les composants essentiels d'un programme TPRM complet, vous garantissez une définition claire des objectifs, des étapes réalisables et des processus documentés, de sorte que vous réagissez moins.

Prochaines étapes

En prenant quelques mesures rapides, comme celles mentionnées ci-dessus, vous pouvez obtenir une meilleure visibilité et un meilleur contrôle de l'impact des appareils et de la stratégie IoT de vos partenaires sur votre propre organisation. Pour en savoir plus sur les meilleures pratiques de gestion des risques liés aux tiers, contactez-nous dès aujourd'hui pour une session de stratégie.

*Tous les chiffres sont tirés directement du rapport Ponemon/Santa Fe Group, sans aucune modification.