Note de l'éditeur : Cet article a été initialement publié sur www.cybernews.com.
Prevalent a publié aujourd'hui son rapport sur la gestion des risques liés aux tiers, c'est-à-dire sur la manière dont les organisations se défendent contre les menaces éventuelles qui pèsent sur les données internes provenant de la chaîne d'approvisionnement et d'autres parties extérieures avec lesquelles elles font affaire et qui pourraient avoir un accès privilégié.
"L'étude de cette année montre que la gestion des risques liés aux tiers est à la croisée des chemins, démontrant que les entreprises ont le choix entre deux voies à suivre - la voie existante et la meilleure voie", a déclaré Prevalent.
À titre d'exemple, elle a salué le fait que les organisations semblent adopter une approche plus stratégique pour contenir les menaces potentielles provenant de l'extérieur, mais a déclaré qu'il restait encore beaucoup à faire.
"Les organisations devraient s'efforcer d'éliminer les méthodes manuelles d'évaluation des tiers qui rendent les audits plus complexes et plus longs", indique le rapport, ajoutant que 45 % des entreprises utilisent encore des feuilles de calcul, ce qui fait qu'un tiers d'entre elles ont besoin d'un mois ou plus pour produire des audits solides des entreprises avec lesquelles elles font affaire.
Prevalent a également pointé du doigt la "panoplie d'outils disparates" utilisée par un peu moins de la moitié des entreprises pour lutter contre les menaces externes, appelant à leur unification "afin de réduire le temps de détection et de réponse aux incidents impliquant des tiers". Au cours de l'année écoulée, une proportion similaire a subi une perturbation de la chaîne d'approvisionnement ou une violation de la sécurité d'une manière ou d'une autre.
En outre, il a fallu des incidents catastrophiques sur le site cyber , tels que les attaques Log4J de l'année dernière et la rupture de la chaîne d'approvisionnement de Toyota après une cyberattaque apparente en mars, pour inciter les entreprises à prendre plus au sérieux leur stratégie de cybersécurité - et malgré cette évolution, beaucoup d'entre elles restent remarquablement indifférentes aux risques externes qui pèsent sur leurs données. Une organisation sur huit a déclaré ne pas surveiller les violations commises par des tiers, et une sur douze a admis ne pas avoir mis en place de programme de réponse aux incidents.
En raison de ce laxisme, ces organisations ont mis en moyenne deux semaines et demie pour réagir aux violations qui se sont produites, "une éternité pour qu'une organisation soit vulnérable à un exploit potentiel", selon le rapport, qui ajoute : "Bonne chance lorsque le prochain SolarWinds frappera."
Une cybersécurité médiocre dans les relations avec les fournisseurs tiers a également contribué au problème, sept entreprises sur dix ayant subi une violation pure et simple ou un incident connexe à la suite d'un relâchement dans ce domaine.
On pense que cela est dû en partie au fait que les entreprises ne suivent pas l'évaluation des risques lorsqu'elles traitent avec des entreprises partenaires : alors que les trois quarts d'entre elles suivaient ces évaluations au début de l'activité, ce chiffre est tombé à 61-68% après la signature des contrats, puis à seulement 43% lors de la fin d'un accord.
Cela laisse supposer qu'un acteur menaçant prêt à attendre le bon moment pour frapper, et illustre le manque de diligence constante de nombreuses entreprises.
"Le pourcentage de clients qui suivent les risques diminue à mesure que le cycle de vie de la relation arrive à maturité, ce qui indique que les entreprises se concentrent davantage sur les risques aux premiers stades, et moins au fur et à mesure que la relation se poursuit", a déclaré Prevalent.
À la lumière des conclusions du rapport, Prevalent invite les organisations à gérer de manière centralisée les fournisseurs avec lesquels elles font affaire sur une plateforme unique, à surveiller l'utilisation de la technologie par les fournisseurs et à consolider les antécédents en matière de cybersécurité et d'autres domaines de risque connexes afin de permettre des évaluations plus intégrées des tiers.