Le risque de cybersécurité pour les tiers est devenu un sérieux défi pour les organisations ces dernières années. Parmi les violations de données de tiers à grande échelle, on peut citer SolarWinds, Kaseya, Mercedes et Okta. Alors que les entreprises adoptent de plus en plus l'infrastructure informatique en nuage et hors site, la difficulté de gérer avec succès le risque de cybersécurité des tiers s'est accrue de façon exponentielle. Pour chaque tierce partie avec laquelle une entreprise partage des données ou à laquelle elle donne accès à un système, il existe un réseau de quatrièmes et de neuvièmes parties interdépendantes qui peuvent également avoir accès à ces données.
Le cyberrisque lié aux tiers concerne toutes les organisations, du petit fournisseur de services informatiques qui a involontairement distribué un ransomware à ses clients à l'entreprise qui subit une violation massive de données attribuée à un fournisseur de systèmes de chauffage, de ventilation et de climatisation (CVC). Ce billet explique comment les organisations peuvent gérer avec succès le cyber-risque des tiers tout au long du cycle de vie du risque fournisseur.
Qu'est-ce que le risque cybernétique pour les tiers ?
Le risque cybernétique pour les tiers est défini comme une exposition potentielle à la confidentialité, à l'intégrité ou à la disponibilité de l'infrastructure et des données informatiques qu'une organisation assume du fait de sa collaboration avec un vendeur, un fournisseur ou un autre partenaire commercial. Le cyber-risque pour les tiers peut prendre de nombreuses formes en fonction du rôle du tiers. Parmi les formes les plus courantes de cyber-risques liés à des tiers, on peut citer
Les violations de données par des tiers : Les violations de données par des tiers sont devenues incroyablement courantes. L'augmentation des services en nuage, de l'utilisation d'applications SaaS et du recours à des sous-traitants informatiques et de sécurité tiers a entraîné une augmentation des risques liés aux violations de données. Des entreprises telles que Marriott, Volkswagen et Capital One ont toutes subi des violations de données ces dernières années en raison de l'utilisation de sous-traitants, d'applications ou d'infrastructures informatiques tiers.
Questions de conformité : De nombreuses exigences de conformité traitent du cyber-risque des tiers. Les réglementations telles que HIPAA, CMMC, GDPR, CCPA et d'autres créent des contrôles directs sur la façon dont les organisations peuvent partager des données ou fournir un accès aux données à des tiers. L'incapacité à comprendre et à respecter les exigences de conformité peut entraîner d'énormes problèmes juridiques, réglementaires et de relations publiques pour les organisations.
Ransomware et attaques par déni de service : Traditionnellement, les rançongiciels ne sont pas considérés comme un risque émanant de tiers. Mais ces dernières années, les acteurs malveillants ont de plus en plus ciblé les applications logicielles utilisées par des centaines, voire des milliers d'entreprises, dans le but de distribuer des ransomwares. Selon le rapport 2022 Verizon Data Breach Investigations Report, le ransomware est l'une des principales méthodes utilisées par les attaquants dans les violations de données de tiers couvertes par le rapport. Il ne faut pas négliger le risque cybernétique émanant des fournisseurs de logiciels qui exigent un accès privilégié à l'infrastructure informatique.
Comprendre les risques profilés, inhérents et résiduels dans le contexte du risque cybernétique pour les tiers
Commençons par un bref rappel d'un concept essentiel à la compréhension et à la gestion des cyberrisques liés aux tiers. Le risque cybernétique pour les tiers peut être classé en trois catégories distinctes en fonction des caractéristiques d'un vendeur ou d'un fournisseur, des services qu'il fournit à votre organisation et de l'état d'avancement de votre relation avec lui.
Risque profilé : le risque profilé provient d'une combinaison d'informations sur l'entreprise, de sa situation géographique, de son secteur d'activité et des exigences réglementaires. Par exemple, les tiers situés dans des pays politiquement instables, ceux qui sont généralement ciblés par des cyberattaquants ou ceux qui sont fortement réglementés présenteront un risque profilé plus élevé. De même, la situation financière, la santé et la réputation d'un tiers peuvent être incluses dans le profil de risque, car de mauvaises notes dans ces domaines peuvent indiquer une incapacité à tenir les promesses contractuelles.
Risque inhérent : le risqueinhérent est plus spécifique au service fourni et est classé comme le risque que le tiers représente pour votre organisation avant l'application de contrôles. Le risque inhérent est calculé en tenant compte de la criticité du tiers pour les performances et les opérations de l'entreprise, de sa (ses) localisation(s) et des considérations juridiques ou réglementaires qui y sont liées, du niveau de dépendance à l'égard des quatrièmes ou des énièmes parties, de l'exposition aux processus opérationnels ou de contact avec les clients et de l'interaction avec les données protégées ou les systèmes internes. Les organisations qui ont un niveau élevé d'accès aux données et infrastructures sensibles présentent un risque inhérent plus élevé que celles qui n'en ont pas.
Risque résiduel : le risque résiduel représente le risque résiduel posé à une organisation par un tiers après la mise en œuvre des contrôles obligatoires. Les équipes de gestion des risques doivent soigneusement étudier et définir les niveaux acceptables et inacceptables de risque résiduel ou de contrôles compensatoires.
Identifier le risque cybernétique des tiers lors de la recherche et de la sélection des fournisseurs
Presque tous les fournisseurs avec lesquels vous faites affaire présentent un certain degré de cyberrisque, même ceux qui n'ont qu'un accès minime à l'infrastructure informatique ou aux données sensibles. Toutefois, il est essentiel d'identifier les fournisseurs qui exposent votre organisation à des niveaux de cyberrisque inutilement élevés afin de réduire les risques de violation de données ou d'incident de sécurité à plus long terme. Voici quelques questions à poser aux fournisseurs potentiels, en particulier à ceux dont le profil de risque est élevé.
- L'organisation dispose-t-elle d'un programme de cybersécurité formalisé, aligné sur un cadre de cybersécurité connu tel que le NIST CSF ou la norme ISO 27001?
- Un auditeur externe a-t-il validé que le programme de sécurité est entièrement conforme à la norme ?
- L'organisation est-elle déjà pleinement conforme aux exigences légales applicables pour travailler avec les données de votre organisation ? (par exemple, HIPAA, GDPR, CCPA)
- L'organisation a-t-elle déjà été condamnée à une amende pour violation de la conformité en matière de cybersécurité ?
- Quelle est la dépendance de l'organisation à l'égard de la quatrième ou de la neuvième partie ?
- L'organisation a-t-elle des antécédents de violations de données ou d'incidents de sécurité rendus publics ?
- L'organisation est-elle située dans un pays qui pourrait l'obliger à divulguer des données sensibles de l'entreprise en raison d'obligations contractuelles ?
Atténuer les cyberrisques liés aux tiers lors de l'accueil et de l'intégration des nouveaux arrivants
L'identification des fournisseurs qui présentent un niveau de risque acceptable n'est qu'un début. L'accueil et l'intégration constituent une phase cruciale pour permettre à la fois l'identification des risques et les possibilités de réduction tout au long du cycle de vie du contrat.
Inscrire la cybersécurité dans le contrat
Incluez dans votre contrat avec le fournisseur des exigences spécifiques en matière de stockage des données et de cybersécurité, en fonction des besoins de conformité et du profil de risque. Des clauses standardisées devraient préciser quand et comment le fournisseur peut partager des données avec ses tiers (c'est-à-dire vos quatrièmes parties). En outre, envisagez d'ajouter à l'accord de niveau de service des exigences concernant les normes de cryptage, la gestion de l'identité et de l'accès et la conservation des données.
Score Risque inhérent
L'évaluation du risque inhérent est essentielle pour gérer de manière adéquate le risque cybernétique des tiers. Comme indiqué ci-dessus, le risque inhérent d'une organisation est le risque qu'elle représente avant la mise en œuvre des contrôles spécifiques requis par votre organisation. Vous trouverez ci-dessous quelques conseils pour améliorer votre approche de l'évaluation du risque inhérent :
Ne pas adopter une approche unique : L'évaluation du risque inhérent doit être basée sur le profil de risque de l'organisation. Les fournisseurs doivent être classés en fonction des données et de l'infrastructure auxquelles ils ont accès. Le fait de ne pas classer les fournisseurs de manière appropriée entraîne un gaspillage d'efforts en concentrant la diligence raisonnable sur les mauvais fournisseurs, tandis que ceux qui peuvent présenter un risque organisationnel substantiel ne reçoivent pas suffisamment d'attention.
Tenir compte de la localisation du fournisseur lors de l'évaluation du risque cybernétique inhérent : les fournisseurs basés dans des lieux spécifiques peuvent être partiellement détenus ou soumis à des exigences spécifiques de partage de données par les gouvernements, ce qui peut supplanter les obligations contractuelles des fournisseurs envers votre organisation. Prenez soigneusement en compte la localisation du fournisseur et les politiques régionales lorsque vous déterminez le niveau de risque inhérent qu'un fournisseur pose.
Conseil supplémentaire : L'utilisation d'une solution tierce de gestion des risques peut vous permettre de classer les fournisseurs en fonction de critères personnalisés.
Identifier les fournisseurs de quatrième et de troisième rangs
Si le fournisseur que vous intégrez présente un degré élevé de risque inhérent en raison de ses données et de son accès aux technologies de l'information, il peut être utile d'examiner sa chaîne d'approvisionnement étendue. Accordez une attention particulière aux organisations qui travaillent sur leur infrastructure informatique ou qui ont accès aux données qu'ils stockent. Comprendre l'utilisation de la quatrième et de la troisième partie permet d'informer votre programme global de gestion des risques liés aux fournisseurs et d'orienter votre approche de la surveillance des tiers tout au long du cycle de vie du contrat.
Évaluer les risques liés à la cybersécurité des tiers et y remédier
L'évaluation et la correction des risques de cybersécurité émanant de tiers sont essentielles pour votre programme de gestion des risques technologiques. Voici quelques conseils que vous pouvez utiliser pour évaluer les fournisseurs et leur demander de prendre des mesures correctives :
Faire correspondre les exigences de conformité aux contrôles des fournisseurs
Si vous avez des obligations en vertu de l'HIPAA, du GDPR, du NYDFS ou d'autres réglementations, vous devez vous assurer que le fournisseur respecte les contrôles nécessaires en fonction du type de données qu'il traite. L'utilisation d'un logiciel de gestion des risques tiers comme Prevalent peut accélérer considérablement cette étape en mettant automatiquement en correspondance les cadres de cybersécurité utilisés par le fournisseur avec les exigences de conformité de votre organisation.
Ne pas hésiter à demander de nouveaux contrôles ou des audits externes
Si l'organisation n'a pas fait certifier par un organisme extérieur qu'elle est conforme à une norme de cybersécurité bien connue, n'hésitez pas à lui demander de se soumettre à un audit basé sur un cadre (ou une exigence de conformité dont relève votre organisation). Il vaut mieux perdre un contrat potentiel que de découvrir plus tard que l'auto-certification de conformité à la loi HIPAA était exagérée et que votre organisation est par conséquent responsable d'une violation.
Comprendre les processus entourant le partage des données de quatrième et de troisième partie
Vous devriez avoir une idée générale des organisations externes auxquelles votre fournisseur fait appel, d'après les réponses qu'il a données au cours de la phase d'accueil et d'intégration. Lorsque votre organisation procède à l'évaluation formelle des risques liés aux fournisseurs, demandez-lui de vous indiquer les politiques et procédures spécifiques qu'il applique en matière de partage de données ou d'accès avec des tiers. S'il ne dispose pas de politiques et de procédures formalisées, demandez-lui d'en créer.
Évaluer régulièrement les risques et y remédier
Le risque n'est pas statique. Le risque cybernétique qu'un fournisseur représente pour votre organisation est susceptible d'évoluer de manière significative tout au long du cycle de vie du contrat. L'élargissement du champ d'application peut amener les fournisseurs à accepter des tâches supplémentaires au fur et à mesure qu'ils gagnent la confiance, ce qui peut également leur permettre d'accéder à des ressources supplémentaires qui n'ont pas été prises en compte dans l'évaluation initiale des risques. Au fur et à mesure que le contrat avec l'organisation évolue, il convient de réévaluer régulièrement le risque lié au fournisseur afin de s'assurer que le risque résiduel reste dans des paramètres acceptables.
Utiliser une bibliothèque partagée
Pour tenir compte des contraintes de ressources, de nombreuses organisations - en particulier celles qui disposent d'un solide plan de hiérarchisation des fournisseurs - choisissent d'exploiter le contenu déjà soumis et partagé dans le cadre d'une bourse industrielle. Ces échanges de fournisseurs sont des prophéties qui se réalisent d'elles-mêmes : plus il y a de fournisseurs qui participent, plus le chevauchement avec d'autres entreprises est important. Cela accélère les processus d'identification et d'atténuation des risques et minimise le temps nécessaire à la collecte des données.
Surveillance continue des cyber-risques liés aux tiers
Même si vous procédez régulièrement à des évaluations des risques pour surveiller les risques liés aux tiers, des changements rapides dans le profil de risque d'un fournisseur peuvent passer inaperçus. Pour gérer efficacement le risque cybernétique des tiers, il est essentiel de surveiller en permanence l'évolution de la position de votre fournisseur en matière de cybersécurité. Voici une brève liste de sources qu'il convient de surveiller tout au long du cycle de vie du fournisseur afin de ne pas manquer un événement important en matière de sécurité.
Forums du Dark Web
Lorsqu'ils ciblent de grandes organisations, les acteurs malveillants coordonnent et planifient souvent leurs attaques sur des forums uniquement accessibles aux utilisateurs autorisés via le réseau TOR. Surveiller les forums du dark web pour y trouver des mentions de fournisseurs tiers et quatrième partie peut vous permettre d'identifier rapidement les cyberattaques potentielles qui sont en cours ou qui ont été exécutées contre des tiers.
Places de marché du dark web
Les places de marché du Dark Web, comme le Genesis Market, vendent des botnets contenant des empreintes de navigateur qui peuvent être utilisées par des acteurs malveillants pour contourner le 2FA et d'autres contrôles. La surveillance de ces places de marché peut permettre d'identifier rapidement si un accès tiers est en vente, vous alertant ainsi d'une potentielle violation de données en cours. En outre, les acteurs malveillants vendent souvent des accès à des comptes et des informations d'identification volées sur les places de marché du dark web. Ceux-ci peuvent ensuite être utilisés par d'autres acteurs malveillants pour faciliter la prise de contrôle de comptes et les attaques par hameçonnage. La surveillance de ces places de marché peut vous aider à mieux comprendre le cyberrisque lié aux fournisseurs. Quelques questions à poser :
- Des informations d'identification associées au fournisseur ou à ses solutions sont-elles en vente sur le Dark Web ?
- Existe-t-il des botnets à vendre qui contiennent des sous-domaines indiquant que la victime est un employé d'un fournisseur ?
- Le vendeur a-t-il déjà identifié des informations d'identification à vendre ou ignore-t-il en grande partie son niveau de risque externe ?
Sites Pastebin et Clearweb
Les fuites de données et les comptes volés ne se trouvent pas tous sur le Dark Web. Dans de nombreux cas, les employés font accidentellement fuir des données de tiers qui apparaissent sur Pastebin et d'autres forums publics. Pour compliquer les choses, des acteurs malveillants sont également connus pour déverser des fichiers contenant des milliers d'informations d'identification sur des forums d'accès public. La surveillance de Pastebin et d'autres forums publics à la recherche d'informations propriétaires, d'informations d'identification de tiers volées et d'autres données sensibles est un élément clé de la surveillance continue des tiers.
Bases de données sur les vulnérabilités
Les bases de données de vulnérabilités, telles que la base de données CVE de MITRE, peuvent aider votre organisation à identifier les risques liés aux logiciels développés ou utilisés par vos fournisseurs tiers. L'utilisation d'un logiciel de gestion des risques pour les tiers peut vous permettre d'identifier automatiquement les fournisseurs de logiciels de troisième et quatrième rangs qui présentent des vulnérabilités potentielles.
Bases de données sur les violations de données
Un autre élément important de la surveillance des cyberrisques liés aux tiers consiste à rechercher les fournisseurs dans les bases de données des violations de données signalées, comme celles de Privacy Rights Clearinghouse et de l'État de Californie. Même une violation de données de portée limitée devrait vous inciter à évaluer le risque pour toutes les données partagées avec le tiers. Elle peut également nécessiter un examen des exigences réglementaires applicables en matière de conformité.
Automatiser le processus de surveillance
Un logiciel de surveillance des risques liés aux tiers peut aider à automatiser le processus d'identification et de quantification des cyberrisques liés aux fournisseurs. Par exemple, notre solution de surveillance des risques vous permet de révéler les cyberincidents de tiers pour 550 000 entreprises en surveillant plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage pour les fuites d'informations d'identification, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
Risque cybernétique pour les tiers et accords de niveau de service
Il est essentiel de gérer avec succès les accords de niveau de service entre les services et les fournisseurs pour gérer efficacement les cyberrisques liés aux tiers. Les fournisseurs doivent être évalués régulièrement pour s'assurer que les exigences de conformité sont respectées et que des charges supplémentaires n'ont pas été encourues du fait de l'augmentation du champ d'application. Voici quelques éléments clés à prendre en compte dans la gestion des accords de niveau de service pour la gestion du risque cybernétique pour les tiers.
Automatiser lorsque c'est possible
L'examen manuel de centaines de contrats dans des dizaines de départements et potentiellement des milliers de fournisseurs est pour le moins difficile. L'utilisation d'un logiciel de gestion des risques tiers peut vous permettre d'automatiser des éléments clés de la gestion des accords de niveau de service (SLA) grâce à un flux de travail et à des mesures correctives intégrés.
Inscrire la cybersécurité dans l'accord de niveau de service
Veillez à ce que les bonnes pratiques cybernétiques soient inscrites dans l'accord sur les niveaux de service. Des considérations spécifiques sur le traitement des données, les exigences de sécurité des contractants, la vérification des antécédents du personnel et d'autres dispositions peuvent contribuer à garantir que les tiers utilisent des techniques efficaces de réduction des risques dans le cadre de leurs prestations de services.
Débarquement, résiliation et atténuation du risque cybernétique pour les tiers
Toutes les violations de données ne se produisent pas au cours d'un contrat. L'intégration et la résiliation représentent la dernière étape critique de l'atténuation des cyberrisques posés par les tiers. De nombreuses organisations qui manquent de maturité en matière de désengagement finissent par laisser aux fournisseurs l'accès à des données, des comptes et des infrastructures informatiques critiques. Voici quelques bonnes pratiques à mettre en œuvre lors de l'intégration des fournisseurs.
Ne pas perdre de vue la conformité
Garantir la conformité avec les lois et réglementations en vigueur est la clé d'un désengagement réussi des fournisseurs. Évaluez les exigences de conformité de votre organisation et veillez à ce que l'exclusion des fournisseurs, la suppression des données et la validation soient effectuées conformément aux lois et réglementations en vigueur.
Les plateformes tierces de gestion des risques disposent de rapports intégrés qui s'alignent sur ces obligations réglementaires, ce qui peut simplifier le processus de mise en conformité. De nombreuses organisations partent du principe que les données ont été détruites à la fin du contrat. Prenez le temps de vérifier manuellement que toutes les données sensibles, propriétaires et réglementées en possession du fournisseur ont été détruites.
Valider que l'accès a été révoqué
Il peut être difficile de suivre l'accès des fournisseurs, en particulier ceux qui travaillent dans plusieurs départements. Cependant, il est impératif que vous preniez le temps de vérifier manuellement chaque département et de vous assurer que le fournisseur a été entièrement et correctement retiré de l'organisation. Laisser un fournisseur accéder à l'infrastructure informatique, à des comptes ou à des informations sensibles peut vous rendre vulnérable à une violation de données ou de conformité dans les mois, voire les années à venir.
Ne pas oublier l'infrastructure physique
De nombreuses organisations s'efforcent à juste titre de s'assurer que les fournisseurs n'ont plus accès aux serveurs en nuage, aux bases de données et aux applications SaaS. Mais il est presque aussi impératif de ne pas perdre de vue la sécurité physique de l'infrastructure et des actifs informatiques. Le fait de ne pas révoquer les identifiants ou de ne pas informer les équipes de sécurité qu'un fournisseur est en train d'être retiré peut entraîner des failles de sécurité et des violations potentielles si un employé d'un fournisseur tiers agit de mauvaise foi.
Gérer le risque de cybersécurité des tiers tout au long du cycle de vie du risque fournisseur
Atténuer avec succès le risque de cybersécurité des tiers à un niveau acceptable tout au long du cycle de vie du risque fournisseur peut s'avérer décourageant. Les violations de données de tiers continuent de se multiplier à mesure que de nouvelles vulnérabilités apparaissent et que les techniques d'attaque évoluent. Des événements récents tels que la guerre en Ukraine et l'instabilité géopolitique accrue ont aggravé ces risques.
L'utilisation d'une solution de gestion des risques liés aux tiers peut réduire considérablement les efforts nécessaires pour atténuer les risques liés à l'accès des tiers aux technologies de l'information. La plateforme Prevalent de gestion des risques liés aux tiers facilite considérablement la navigation dans le cycle de vie des fournisseurs. Pour en savoir plus sur notre approche, lisez notre guide des meilleures pratiques, Naviguer dans le cycle de vie du risque fournisseur : Les clés de la réussite à chaque étape, ou demandez une démonstration dès aujourd'hui.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
