Le secteur des services publics est constamment la cible d'attaques de pirates informatiques qui cherchent à voler des informations privées. Dans un article publié cette semaine par le Wall Street Journal, les menaces pesant sur les infrastructures critiques par des infiltrés russes ont atteint les salles de contrôle de centaines de services publics américains. Les compromissions de ces réseaux sont alarmantes si l'on considère les dommages considérables qui pourraient être causés au réseau électrique américain, notamment des coupures de courant potentiellement longues.
Comment les pirates russes ont-ils mené cette campagne ? Selon le département américain de la Sécurité intérieure, les infiltrés « ont d'abord pénétré les réseaux de fournisseurs clés qui entretenaient des relations de confiance avec les compagnies d'électricité ». Ils ont utilisé des techniques courantes pour voler les identifiants de ces tiers afin d'accéder aux réseaux isolés des services publics, considérés comme sécurisés.
Dans le monde connecté d'aujourd'hui, il n'est pas rare qu'une organisation entretienne des relations avec des centaines, voire des milliers de fournisseurs tiers, partageant des informations privées sur un réseau apparemment sécurisé. Selon un rapport récent de Bomgar, 181 fournisseurs en moyenne accèdent chaque semaine au réseau d'une entreprise, soit plus du double du nombre enregistré en 2016. La création d'un écosystème de fournisseurs permet aux entreprises de se concentrer sur leurs compétences clés et de réduire leurs coûts, mais elle comporte également des risques.
Les pirates informatiques ont compris que bon nombre de ces fournisseurs sont de petites entreprises qui ne disposent pas de budgets importants à consacrer à des mesures de cybersécurité adéquates. De plus, de nombreuses organisations ont déjà fort à faire pour renforcer leur propre sécurité, sans pouvoir se soucier des contrôles de sécurité de leurs fournisseurs. Les Russes ne sont pas les seuls à tirer parti de cette faiblesse.
Les organisations doivent accorder davantage d'importance à ce qui se passe au sein de leur entreprise élargie, y compris tout fournisseur ou partenaire ayant accès à des données privées. Après tout, un programme efficace de gestion des risques liés aux tiers est essentiel à votre posture globale en matière de sécurité.
Prevalent aide les entreprises à gérer les risques liés aux tiers. Il s'agit de la seule plateforme unifiée du secteur qui intègre une puissante combinaison d'évaluations automatisées par niveau de risque, de surveillance continue et de partage de preuves pour la collaboration entre les entreprises et leurs fournisseurs. Les informations exploitables de Prevalent fournissent la vision la plus complète du risque fournisseur, créant ainsi une efficacité maximale pour tous les programmes de gestion du risque tiers.
Pour en savoir plus, consultez le dernier document d'information de Prevalent, intitulé « Meilleures pratiques pour réduire les risques liés aux tiers ».
Sara Muckstadt est responsable marketing produit chez Prevalent, Inc. Elle est chargée des activités de marketing d'entreprise et de création de la demande, tout en continuant à positionner Prevalent comme le leader de la gestion des risques liés aux tiers.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
