Avec l'actualité actuellement consacrée à la couverture du COVID-19, vous avez peut-être manqué l'annonce récente de GE, la multinationale américaine, qui a révélé avoir été victime d'une violation de données provenant de l'un de ses prestataires de services tiers, Canon Business Process Services. GE rejoint ainsi une multitude de marques mondiales et de noms connus tels que Marriott, Quest Diagnostics, LabCorp, Sprint et Target, qui ont subi des violations de ce type. Cette violation est en effet un exemple parfait qui montre la nécessité de renforcer les contrôles sur les tiers.
Voici un bref résumé de ce que nous savons sur cette violation et de la manière dont les solutions de gestion des risques liés aux tiers, telles que celles proposées par Prevalent, peuvent aider.
Aperçu de la violation de GE
Selon GE, entre le 3 et le 14 février 2020, une personne non autorisée a accédé à un compte de messagerie Canon contenant des informations sensibles sur les employés actuels et anciens de GE et leurs bénéficiaires. GE s'était associé à Canon pour le traitement des documents. Les documents gérés par le propriétaire du compte de messagerie piraté comprenaient des informations personnelles telles que des formulaires de virement automatique, des permis de conduire, des passeports, des certificats de naissance, etc. Ils comprenaient probablement également des noms, des adresses, des numéros de sécurité sociale, des numéros de permis de conduire, des numéros de compte bancaire, des numéros de passeport et/ou des dates de naissance.
Bien que nous ne connaissions pas avec certitude le vecteur de l'attaque (elle pourrait par exemple avoir été perpétrée via un spear phishing ou une attaque d'ingénierie sociale), nous savons que l'évaluation et la surveillance continues des contrôles des tiers contribuent à réduire la probabilité et l'impact de violations telles que celle-ci.
Comment la gestion des risques liés aux tiers peut vous aider
En cette période d'incertitude, les pirates informatiques vont chercher à tirer parti de la distraction des équipes et de l'épuisement des ressources. À une époque où la sécurité de la chaîne d'approvisionnement est plus critique que jamais, nous ne pouvons plus nous permettre de la traiter comme une simple case à cocher en matière de conformité.
Un programme mature de gestion des risques liés aux tiers est agile et préparé à faire face aux incidents de violation de données grâce à :
- Évaluation des fournisseurs par rapport à une série de cadres de bonnes pratiques en matière de sécurité, avec une notation claire des faiblesses à corriger.
- Surveillance des forums de discussion des pirates informatiques sur le dark web à la recherche de mentions de l'entreprise ou d'identifiants volés
- Utilisation de notifications en temps réel des violations et de renseignements provenant de multiples sources pour éclairer les évaluations hors bande concernant les pratiques critiques en matière de cybersécurité (par exemple, l'authentification à deux facteurs, les politiques de rotation des mots de passe et les programmes de formation et de sensibilisation des employés).
- Tirer parti des évaluations préremplies pour déterminer si les fournisseurs ont déjà présenté des vulnérabilités similaires par le passé et connaître leurs plans de remédiation.
- Utilisation de processus programmatiques pour la détection des violations, la notification et la transmission à la tierce partie concernée
GE a déclaré prendre les mesures appropriées pour garantir la sécurité, que l'incident n'avait pas eu d'impact direct sur ses systèmes et qu'elle collaborait avec Canon pour déterminer comment il s'était produit. Cependant, cela ne console guère les milliers d'employés de GE potentiellement touchés par cette violation. Deux ans de surveillance gratuite du crédit via Experian ne sont qu'un palliatif.
Vous êtes préoccupé par vos propres pratiques en matière de risques liés aux tiers ? Répondez à l'évaluation des risques en ligne de Prevalent et obtenez rapidement un score et des recommandations sur les mesures à prendre immédiatement.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
