Certains risques liés aux fournisseurs Cyber sont pires que d'autres

Veillez à donner la priorité à ces problèmes de cybersécurité dans l'évaluation des risques de vos fournisseurs.
Par :
Dave Shackleford
,
Propriétaire et consultant principal, Voodoo Security
19 octobre 2021
Partager :
Blog tiers cyber risques 1021

De nos jours, les violations de données des fournisseurs, les expositions aux PII/PHI et les perturbations de la chaîne d'approvisionnement font constamment la une des journaux. Il n'est donc pas étonnant que les équipes chargées des risques et de la sécurité accordent plus que jamais une attention particulière aux tiers. Il n'est donc pas étonnant que les équipes chargées des risques et de la sécurité s'intéressent plus que jamais aux tiers. Cependant, assumer la responsabilité de l'évaluation des risques liés aux tiers peut s'avérer décourageant pour des équipes déjà surchargées par la gestion des politiques, des contrôles, de l'infrastructure et de la formation en matière de sécurité interne.

Mais regardons les choses en face : les relations avec les tiers sont là pour rester, et les écosystèmes tiers se développent rapidement pour la plupart des organisations. Ne pas se concentrer sur ces risques n'est pas vraiment une option, alors quelle est la réponse ? Bien que je ne puisse pas prescrire une panacée pour TPRM dans un seul article de blog, je peux partager une stratégie de hiérarchisation des risques liés aux tiers cyber basée sur mon expérience de travail avec les clients.

Expositions aux titres de compétences

Le vol d'informations d'identification, qui sont souvent exposées et mises en vente sur le dark web, figure en tête de liste. Vous devez vous concentrer non seulement sur les informations d'identification confiées à des fournisseurs tiers pour un accès direct à vos systèmes, mais aussi sur les informations d'identification utilisées par des tiers pour accéder aux données de votre organisation - y compris les données des clients ou des patients - quel que soit l'endroit où ces données sont hébergées.

Avec la prolifération du stockage dans le cloud comme les buckets AWS S3, les informations d'identification et autres données sensibles sont désormais potentiellement exposées dans plus d'endroits que la plupart des gens ne le réalisent. Par exemple, l'exposition en 2017 des informations d'identification du ministère de la défense des États-Unis par Booz Allen Hamilton n'est qu'un exemple frappant de la mauvaise protection des informations d'identification dans un environnement de services en nuage.

Violations de données et incidents confirmés

Les incidents de sécurité, les attaques validées et les violations de données touchant vos tiers sont un autre domaine qui requiert une attention particulière. Comment les découvrir et prendre des mesures avant qu'ils n'affectent votre organisation ? La violation de SolarWinds en est l'exemple parfait : la chaîne d'approvisionnement du logiciel a été entièrement compromise avant que le logiciel ne soit distribué à des clients peu méfiants.

Assurez-vous que votre organisation effectue une surveillance des risques à l'adressecyber . des "bavardages" concernant des incidents et des violations impliquant vos tiers sur le dark web ou d'autres forums, en particulier lorsque des données sensibles ont déjà été consultées par des attaquants et qu'elles sont disponibles à la vente ou sur le point de l'être.

Les 5 risques les plus importants à suivre pour les tiers sur le site Cyber - et pourquoi.

Rejoignez Dave Shackleford, fondateur de Voodoo Security, pour un webinaire à la demande dans lequel il présente un processus que les entreprises devraient utiliser pour hiérarchiser les risques liés aux tiers.

Regardez maintenant
Séminaire web top5cyberrisks 1013

Mauvaise configuration et vulnérabilités des applications Web

Une autre catégorie importante de risques liés aux tiers cyber comprend les mauvaises configurations ou les vulnérabilités de l'infrastructure web ou applicative. Bien que l'évaluation des programmes de gestion des vulnérabilités des tiers puisse être une entreprise lourde, il est néanmoins essentiel de procéder à des évaluations des pratiques de correction, de gestion des configurations et d'analyse des vulnérabilités des principaux fournisseurs. Il est également utile de déterminer si les tiers essentiels recherchent activement des preuves de commandement et de contrôle ou d'exfiltration de données.

Typosquatting et autres menaces sur les marques

Enfin, il y a les menaces cyber qui menacent directement la réputation de votre marque. Les consommateurs et les organismes de réglementation jugent de plus en plus les organisations en fonction de l'entreprise qu'elles entretiennent, de sorte que tout incident touchant un fournisseur de votre chaîne d'approvisionnement peut jeter une lumière négative sur votre organisation. Prenons l'exemple du typosquattage: un attaquant enregistre des noms de domaine qui ressemblent à des sites web légitimes et les utilise pour héberger du contenu frauduleux et/ou malveillant avec de fausses associations de marques.

Prochaines étapes de la surveillance des risques de cybersécurité des tiers

Il est clair que nous devons nous concentrer davantage sur le risque lié aux tiers cyber , mais l'une des questions les plus courantes est "Par où commencer ?". Les questions décrites ici sont d'excellents points de départ pour développer un programme de surveillance et d'évaluation des risques des tiers, mais elles ne font qu'effleurer la surface. Pour en savoir plus, regardez mon webinaire à la demande, Les 5 risques les plus importants à surveiller pour les tiers ( Cyber ) - et pourquoi.

Tags :
Partager :
Dave Shackleford
Dave Shackleford
Propriétaire et consultant principal, Voodoo Security

Dave Shackleford est propriétaire et consultant principal de Voodoo Security et membre du corps enseignant de l'IANS Research. Il a conseillé des centaines d'organisations dans les domaines de la sécurité, de la conformité réglementaire, de l'architecture et de l'ingénierie des réseaux. Il est un vExpert VMware et possède une grande expérience de la conception et de la configuration d'infrastructures virtualisées sécurisées. Dave est un analyste SANS, siège au conseil d'administration du SANS Technology Institute et participe à la direction du chapitre d'Atlanta de la Cloud Security Alliance.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo