2022 Verizon Data Breach Investigations Report : Comment répondre aux attaques croissantes des fournisseurs tiers et de la chaîne d'approvisionnement ?

Utilisez ces sept bonnes pratiques pour accélérer l'identification, le triage et l'atténuation des attaques provenant de tiers, de partenaires et de la chaîne logistique logicielle.

Personnel de Mitratech
Personnel de Mitratech Juin 1, 2022 5 minutes de lecture
Decorative image

Le rapport 2022 de Verizon sur les enquêtes relatives aux violations de données contient une véritable mine d'informations analysant plus de 23 896 incidents de sécurité et 5 212 violations survenus entre le 1er novembre 2020 et le 31 octobre 2021. Cependant, certaines tendances inquiétantes qui se dégagent de ces données devraient inciter les équipes chargées de la sécurité, de la gestion des risques et des fournisseurs à mieux se préparer à de futurs incidents. Voici les principaux enseignements à tirer du rapport en matière de gestion des risques liés aux tiers.

62 % des incidents d'intrusion dans le système provenaient d'un partenaire.

Chaque organisation dépend dans une certaine mesure de tiers, qu'il s'agisse de fournisseurs
fournissant des biens ou des services pour soutenir l'activité ou de fournisseurs
produisant des intrants pour les produits finaux. Les données de Verizon montrent que les partenaires (par exemple, les tiers, les fournisseurs ou les sous-traitants) ont été à l'origine de 62 % des incidents d'intrusion dans les systèmes au cours de l'année dernière (voir la figure 36 du rapport). Si l'on considère que les partenaires n'étaient impliqués que dans 39 % des violations de données en 2008, on constate rapidement la croissance spectaculaire, au fil du temps, du nombre de tiers impliqués dans des incidents de sécurité. Pour chaque tiers avec lequel vous faites affaire, votre surface d'attaque s'étend de manière exponentielle.

Les attaques visant la chaîne logistique des logiciels (via des mises à jour logicielles) sont à l'origine d'une grande partie de la croissance des intrusions menées par des partenaires, ce type d'incidents représentant 9 % du total des incidents en 2021. Un seul fournisseur de logiciels compromis qui diffuse des mises à jour à des milliers de ses clients (qui, à leur tour, peuvent travailler avec des milliers de fournisseurs, prestataires et autres tiers, c'est-à-dire des victimes secondaires) peut causer des ravages incalculables (lire : SolarWinds).

Bien que l'ensemble de données montre que les violations commises par des tiers ne représentent que 1 % des données violées, Verizon note que, dans cette méthode, les identifiants volés et les ransomwares figuraient parmi les cinq types d'actions les plus fréquents. Cela signifie que les professionnels chargés de la gestion des risques liés aux tiers doivent s'assurer activement que leurs fournisseurs et prestataires tiers ont mis en place des politiques de mot de passe et des architectures de segmentation réseau solides, et être en mesure de valider ces pratiques de manière indépendante.

Principaux vecteurs d'action

(Source : Rapport d'enquête sur les violations de données de Verizon, mai 2022)

L'industrie manufacturière est une cible de plus en plus prisée

Du point de vue de l'industrie, les partenaires représentent 1 % des acteurs malveillants dans le secteur manufacturier. Bien que 1 % puisse sembler peu élevé, il suffit de considérer les dommages causés par une seule intrusion dans un système, comme l'attaque par ransomware contre Kojima Industries, un fournisseur de Toyota. Bien que cela ne fasse pas partie de cet ensemble de données, une telle violation doit nous rappeler qu'un seul incident peut avoir des répercussions importantes et durables. En fait, les données de Verizon montrent que le secteur manufacturier dans son ensemble est une cible de plus en plus prisée, avec une augmentation exponentielle des intrusions dans les systèmes. Voir la figure 92 du rapport.

Modèles de violation de fabrication

(Source : Rapport d'enquête sur les violations de données de Verizon, mai 2022)

Augmentation significative des ransomwares

Toujours dans le domaine des ransomwares, les violations liées à ces logiciels ont augmenté de 13 % en 2020, ce qui, selon Verizon, représente une augmentation annuelle supérieure à celle enregistrée au cours des cinq dernières années combinées. Voir la figure 38 du rapport ci-dessous.

L'augmentation du nombre d'incidents et de violations ne devrait pas surprendre ; il suffit de lire les gros titres pour connaître les dernières victimes. L'année dernière a été marquée par d'importantes violations liées à des ransomwares tiers, notamment PracticeMax, Kaseya et Colonial Pipeline, dont beaucoup étaient des variantes du ransomware Ryuk.

Violations liées aux ransomwares au fil du temps

(Source : Rapport d'enquête sur les violations de données de Verizon, mai 2022)

Sept bonnes pratiques éprouvées pour réduire les risques liés aux tiers

Avec l'augmentation du nombre de violations de données par des tiers et d'attaques par ransomware, les organisations qui utilisent des méthodes manuelles pour gérer les risques liés aux fournisseurs tiers devraient envisager de mettre en œuvre les meilleures pratiques suivantes afin d'accélérer l'identification, le triage et l'atténuation des risques.

  1. Commencez à gérer les risques liés aux tiers avant la signature du contrat en analysant les récentes violations de données et les mesures réglementaires, et en identifiant les relations avec des quatrièmes parties potentiellement risquées – des données qui peuvent vous aider à prendre des décisions éclairées concernant le choix de vos fournisseurs.
  2. Intégrez les délais de réponse aux incidents et aux violations dans les contrats avec les fournisseurs, et automatisez la création de rapports conformément aux accords de niveau de service (SLA) applicables afin de déclencher des alertes lorsque les attentes ne sont pas satisfaites. De plus, assurez-vous que vos fournisseurs disposent de mécanismes simples et intuitifs pour signaler et communiquer les incidents et les violations.
  3. Évaluez le risque inhérent aux fournisseurs tiers et classez les fournisseurs en fonction de leur score de risque inhérent afin de déterminer la portée des évaluations de diligence raisonnable continues après leur intégration.
  4. Réalisez des évaluations détaillées des risques liés aux fournisseurs, basées sur des contrôles internes, en vous appuyant sur les cadres de sécurité conformes aux meilleures pratiques, tels que NIST ou ISO, et mettez en place des workflows et des rapports afin de signaler les exceptions de contrôle et de proposer des mesures correctives. Ces activités doivent tenir compte de domaines de risque spécifiques, notamment les facteurs humains, la gestion des données et les mécanismes d'authentification.
  5. Validez l'efficacité continue des contrôles d'un fournisseur en corrélant les indicateurs de cybersécurité observables en externe avec les résultats des évaluations des contrôles internes. Par exemple, si les identifiants et mots de passe d'un fournisseur sont mis en vente sur un forum du Dark Web, vous pouvez relier cette découverte à la réponse de l'évaluation concernant la robustesse de sa politique en matière de mots de passe et déterminer si des changements doivent être apportés.
  6. Identifiez les relations entre l'organisation et les tiers afin de découvrir les dépendances et de visualiser les chemins d'information qui pourraient être exposés à des attaques de quatrièmes parties.
  7. Tirez parti des workflows pour générer des rapports sur l'accès au système, la destruction des données et la gestion des accès afin de fermer les voies d'accès potentielles à votre organisation une fois qu'un fournisseur a quitté l'entreprise.

Comment gérer les incidents de sécurité impliquant des fournisseurs et prestataires tiers

Alors que les violations de données des fournisseurs et les perturbations de la chaîne d'approvisionnement continuent de faire la une des journaux, il est facile de se sentir dépassé par les exigences liées à l'évaluation des risques auprès de centaines (voire de milliers) de tiers.

Pour aider votre équipe à être plus proactive dans l'identification et l'atténuation des incidents de sécurité impliquant des tiers, Prevalent a élaboré une liste de contrôle pour la réponse aux incidents basée sur le guide NIST Computer Security Incident Handling Guide, SP 800-61. Cette liste de contrôle prescrit quatre phases fondamentales que les équipes de sécurité doivent prendre en compte dans leurs programmes de réponse aux incidents. Utilisez cette liste de contrôle, ainsi que les recommandations complètes du NIST, pour comparer vos processus actuels de réponse aux incidents impliquant des tiers aux meilleures pratiques.

Demandez ensuite une démonstration Prevalent pour discuter d'une stratégie personnalisée sur la manière d'automatiser votre programme TPRM, de la sélection des fournisseurs à leur départ.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.