La violation de données de tiers par Accellion, qui a déjà fait des victimes parmi les cabinets d'avocats, les détaillants, les télécoms, les banques et les gouvernements du monde entier, a maintenant touché l'une des plus grandes entreprises du monde : Royal Dutch Shell.
Pour résumer, le logiciel de transfert de fichiers d'Accellion, FTA, vieux de 20 ans, a été compromis en décembre 2020. Bien qu'il ait été corrigé depuis, cet outil presque en fin de vie compte encore plus de 3 000 clients, ce qui signifie que des milliers d'entreprises - et leurs clients - auraient pu être menacés.
Comme la violation de la chaîne d'approvisionnement de SolarWinds avant elle, cette violation de données de tiers de plus en plus préjudiciable continue de fournir un exemple de la manière dont une seule compromission peut avoir un impact négatif sur les systèmes des clients, et de la nécessité d'une approche plus proactive de la gestion des risques liés aux tiers.
4 stratégies de gestion des risques pour faire face à la brèche d'Accellion
La gestion des risques liés aux tiers (TPRM ) (parfois appelée gestion des risques liés aux fournisseurs ou VRM) fait partie d'une stratégie globale de gestion des risques visant à identifier, évaluer et atténuer les risques présentés tout au long du cycle de vie des relations avec les tiers - y compris les vendeurs, les partenaires, les fournisseurs ou d'autres Nième parties.
Le TPRM joue un rôle essentiel dans la gestion des fournisseurs. Si vous craignez qu'une violation du style Accellion n'ait des répercussions sur votre organisation, examinez ces quatre stratégies de TPRM pour comprendre le risque lié à vos fournisseurs et savoir comment y remédier.
1. Utiliser le risque inhérent pour classer et profiler vos fournisseurs avec précision
Afin de bien comprendre le risque que les fournisseurs représentent pour une organisation, les équipes de gestion des risques doivent être en mesure de calculer le risque inhérent, ou le niveau de risque actuel compte tenu de ce qui est considéré comme l'ensemble des contrôles existants (ou l'absence de contrôles) pour ce fournisseur. Le calcul du risque inhérent est important lors de l'intégration de nouveaux fournisseurs et pour éclairer les décisions de profilage, d'étagement et de catégorisation.
Lorsqu'il s'agit de déterminer comment classer un fournisseur, il est important de bien comprendre l'impact qu'il pourrait avoir sur votre entreprise en cas de défaillance. En conséquence, vous devez utiliser un système de notation qui détermine le groupe de niveau du fournisseur. Ce système pourrait inclure les critères suivants :
- Processus opérationnels ou en contact avec les clients
- Interaction avec les données personnelles
- Situation financière et implications
- Obligations légales et réglementaires
- Réputation
Dans le contexte de cette violation de données, Accellion aurait pu être placé à un niveau élevé parce qu'il traitait les données personnelles de ses clients. Le fait d'appartenir à un niveau supérieur aurait automatiquement augmenté le niveau d'examen de ses processus, ce qui aurait pu révéler une vulnérabilité avant qu'elle ne soit exploitée.
2. Évaluer les tiers avec souplesse en fonction des besoins de l'entreprise
L'évaluation de la cybersécurité de vos fournisseurs et vendeurs constitue une base de référence pour mesurer la conformité ou l'adhésion aux protocoles de sécurité. Cependant, il ne faut pas forcer tous les fournisseurs de tous les niveaux à répondre à un seul questionnaire rigide. S'il est important d'utiliser une série de questions similaires pour évaluer tous les fournisseurs, il faut aussi avoir la souplesse nécessaire pour les évaluer en fonction d'exigences particulières.
Quel que soit le questionnaire, les vendeurs devraient être invités à se rendre sur un portail central pour fournir des réponses et des preuves à l'appui. Leurs réponses seraient automatiquement signalées comme des risques si elles n'atteignent pas certains seuils, et des mesures automatisées pourraient alors être prises pour résoudre le problème.
Si l'on prend l'exemple d'Accellion, ses clients auraient pu évaluer l'entreprise sur son respect du cycle de vie du développement logiciel (SDLC) - en particulier les processus de maintenance, les correctifs et les mises à jour. Si Accellion n'était pas en mesure de démontrer qu'elle disposait des processus de correction et de mise à jour nécessaires pour empêcher l'exploitation des vulnérabilités, un risque aurait été soulevé.
3. Surveiller l'activité des fournisseurs pour détecter les menaces cachées
L'évaluation des risques encourus par les fournisseurs doit également comporter un élément de surveillance continue. Après tout, la plupart des évaluations se font sur une base annuelle, mais les risques ne sont jamais statiques. Si l'on prend l'exemple de la violation d'Accellion, ses clients pourraient d'abord surveiller les forums criminels du dark web, les discussions des pirates ou d'autres sites connexes pour trouver des mentions d'Accellion, puis trianguler ces informations avec les vulnérabilités publiées pour anticiper les attaques potentielles. Le problème de cette approche est qu'elle implique au moins une demi-douzaine d'outils disparates qui ne partagent pas leurs données, ce qui rend ce type d'analyse complexe et chronophage. Heureusement, il existe des outils qui normalisent les données de surveillance de la cybersécurité provenant de centaines de sources et les mettent en corrélation avec les résultats de l'évaluation des risques afin de faire remonter les risques potentiels et d'identifier les mesures correctives recommandées.
4. Connaître ses4ème et Nème parties
Il ne suffit pas de savoir qui sont vos fournisseurs, quel est le niveau de risque qu'ils représentent pour votre entreprise et d'avoir mis en place un solide plan de remédiation. Vous devez maintenant regarder au-delà de vos vendeurs et de vos fournisseurs, vers *leurs* vendeurs et leurs fournisseurs. Une violation de données ou une autre défaillance de la chaîne d'approvisionnement en amont peut avoir un impact sur la capacité de votre tiers à livrer, et donc sur votre capacité à livrer. C'est pourquoi il est essentiel de pouvoir organiser les relations entre votre organisation, vos tiers et leurs tiers afin de découvrir les dépendances et de visualiser les chemins de l'information. Imaginez que vous appreniez la faille d'Accellion et que vous puissiez savoir lequel de vos fournisseurs a utilisé l'outil FTA et si ce fournisseur a eu accès à vos systèmes critiques. Voilà le type de visibilité dont vous avez besoin.
Aucune violation de données de tiers n'est totalement évitable, mais il est possible d'en atténuer l'impact si les bonnes mesures sont prises à l'avance. Prenez en compte plusieurs éléments dans votre processus de hiérarchisation des fournisseurs. Évaluer les fournisseurs sur la base de différents critères en fonction de leur niveau et de leur criticité. Surveillez régulièrement l'activité. Enfin, n'oubliez pas les quatrième et neuvième parties de votre écosystème. Vous disposerez ainsi d'un plan de réponse solide.
Prochaines étapes
Besoin de rester à l'affût de brèches comme celle qui affecte les clients d'Accellion ? Un bon point de départ est de consulter notre guide des meilleures pratiques, Naviguer dans le cycle de vie du risque fournisseur : Les clés du succès à chaque étape.
Prevalent propose également des solutions et des services qui peuvent activer chacune des stratégies abordées dans cet article. Demandez une démonstration de nos solutions de gestion des risques liés aux tiers pour savoir comment nous pouvons vous aider à relever vos défis spécifiques en matière de gestion des risques liés aux tiers.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
