La violation de la chaîne d'approvisionnement de SolarWinds continue de faire des ravages chez les clients d'Orion dans le monde entier, alors qu'ils continuent d'identifier et d'atténuer les risques. Conscient de l'impact potentiellement dommageable sur les opérations des entreprises, Prevalent a publié une évaluation gratuite de la gestion des événements et des incidents à l'intention de ses clients peu après que la brèche a été signalée pour la première fois en décembre 2020. L'objectif de cette enquête était de permettre à nos clients d'obtenir une visibilité indispensable sur les risques au sein de leurs communautés de fournisseurs afin qu'ils puissent prendre les mesures correctives appropriées.
Les résultats de l'enquête sont à la fois encourageants et révélateurs.
Ampleur et impact de la faille de SolarWinds sur les tiers
Prevalent a lancé son évaluation gratuite de la gestion des événements et des incidents SolarWinds auprès des fournisseurs de ses réseaux de risques tiers. L'analyse des réponses à ces évaluations montre l'ampleur et l'impact de la violation. Parmi les fournisseurs du réseau Prevalent, seul un petit pourcentage a estimé que l'impact de la violation était faible ou nul.
- L'ampleur de la violation : Dans l'ensemble, 16 % des fournisseurs figurant dans les Vendor Risk Networks de Prevalent ont déployé une version d'Orion qui a été compromise par les attaquants.
- Impact de la violation : 5 % des tiers évalués ont admis avoir été affectés par la violation de SolarWinds. Parmi eux, 34 % ont estimé que l'impact sur le réseau, les opérations ou la sécurité était faible, et aucun tiers n'a signalé d'impact critique sur la prestation de services.
Les 3 principaux risques pour les fournisseurs suite à la faille de SolarWinds
Les résultats sont toutefois plus révélateurs : plus d'un tiers des parties concernées ont indiqué qu'elles ne disposaient pas de politiques de notification des clients et de gestion des incidents.
- Notifications limitées aux clients : 40 % des parties concernées n'ont pas mis en place de procédure formelle pour informer leurs clients.
- Politique de gestion des incidents limitée : 37 % des parties concernées n'avaient pas de politique de gestion des incidents documentée pour répondre à la violation de SolarWinds.
- L'atténuation progresse lentement : 16 % des parties concernées mettaient encore activement en œuvre des contrôles pour atténuer l'attaque, mais seulement 9 % n'avaient pas été en mesure de mettre pleinement en œuvre des mesures d'atténuation contre l'attaque de SolarWinds.
Recommandations pour l'amélioration de la gestion des risques par des tiers en cas de violations comme celle de SolarWinds
Les données de réponse issues de l'évaluation gratuite SolarWinds de Prevalent montrent clairement que beaucoup trop d'entreprises ont été prises au dépourvu par cette violation, exposant les lacunes des processus internes concernant la notification des clients et les limites de la gestion des incidents.
Pour faire face à ces risques, Prevalent recommande aux organisations de
- Établir un plan de communication avec les clients dans le cadre d'un plan global d'intervention en cas d'incident. Ce plan doit être personnalisable et adaptable aux besoins spécifiques de votre entreprise et comprendre des étapes claires pour la notification des parties concernées, qu'il s'agisse de clients, de tiers ou du public. La mise en place d'un tel plan - y compris les éléments déclencheurs de son activation - aiderait votre organisation à démontrer à ses principales parties prenantes qu'elle maîtrise l'incident et qu'elle en étudie minutieusement l'impact.
- Élaborez et mettez en œuvre un plan de continuité des activités comprenant des directives de gestion des incidents et d'escalade. Les crises se présentent sous de nombreuses formes - de la pandémie en cours à une brèche comme celle de SolarWinds. La mise en place d'un plan adaptable de continuité des activités et de réponse aux incidents montre que votre organisation est tournée vers l'avenir et qu'elle prévoit toutes les éventualités.
- Mettez en œuvre une hiérarchisation et un profilage avancés pour vous assurer que les fournisseurs les plus critiques sont évalués en fonction des risques les plus importants pour votre entreprise. L'existence d'une structure logique de hiérarchisation accélérera la découverte des fournisseurs à risque et l'atténuation des risques.
- Unifier les évaluations périodiques
avec un contrôle continu pour valider les résultats de l'évaluation permettent d'avoir une vision en temps quasi réel des risques de cybersécurité et de réputation des fournisseurs. Cette vision vous permet de repérer les risques potentiels avant qu'ils n'aient un impact sur votre entreprise.
Comment Prevalent peut aider
Si vous n'avez pas encore déterminé l'impact de la violation de SolarWinds sur vos tiers, contactez Prevalent dès aujourd'hui. Grâce à notre solution de gestion des risques liés aux tiers et à notre communauté de partenaires certifiés, nous avons aidé des organisations à obtenir une visibilité sur les risques liés à de tels événements parmi des milliers de fournisseurs en seulement deux semaines.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
