En matière d'incidents de cybersécurité, l'année 2023 a été pour le moins intéressante. Si nous avons constaté certaines des tendances auxquelles nous nous attendions, telles que les ransomwares, les logiciels malveillants plus sophistiqués et le piratage motivé par des considérations politiques ou nationales, nous avons également assisté à un nombre incroyable de violations fascinantes et très médiatisées commises par des tiers. Dans cet article, je vais passer en revue les cinq pires incidents de cybersécurité impliquant des tiers en 2023 et examiner les leçons que nous pouvons en tirer.
N° 1 MOVEit
L'impact généralisé de la vulnérabilité MOVEit a été l'équivalent, en matière de cybersécurité, d'un accident ferroviaire au ralenti en 2023. En mai, un groupe de ransomware appelé Cl0p a commencé à exploiter une faille zero-day de la solution de transfert de fichiers d'entreprise MOVEit Transfer de Progress Software. Progress Software a publié de nombreux correctifs, mais à l'heure où nous écrivons ces lignes, plus de 2 000 organisations ont signalé avoir été attaquées.
À première vue, cet incident n'avait rien de particulièrement exceptionnel. Les attaques zero-day sont fréquentes. Les organisations victimes publient alors des annonces et des notifications « instinctives » concernant les vulnérabilités. Mais dans ce cas précis, ces annonces se sont succédé sans discontinuer. De nombreuses organisations faisaient confiance à un éditeur de logiciels, et celui-ci s'est retrouvé, l'un après l'autre, dans une situation difficile en raison de failles critiques régulièrement exploitées dans la nature. Cela a entraîné l'exposition des données, la compromission des systèmes internes, etc.
Cette attaque contre la chaîne logistique logicielle illustre parfaitement pourquoi il est essentiel d'obtenir la meilleure visibilité possible sur votre chaîne logistique logicielle. Vous pourrez ainsi identifier plus facilement les vulnérabilités potentielles, évaluer les pratiques des fournisseurs en conséquence et anticiper les problèmes potentiels. Commencez par dresser une liste des services et des logiciels que vous utilisez.
Déterminez ce que vous savez du cycle de vie du développement logiciel (SDLC) du fournisseur et des composants de sa solution. Veillez à demander des preuves de la sécurité du développement, du conditionnement et de l'expédition des logiciels, souvent disponibles dans une nomenclature logicielle (SBOM). Sans processus d'assurance qualité (QA) adéquats, votre fournisseur de logiciels pourrait être vulnérable aux exploits, ce qui signifie que votre organisation serait également vulnérable.
N° 2 : Violations dans les casinos
Bien que les attaques par ransomware ne soient pas fondamentalement nouvelles (j'hésite à dire qu'elles sont « dépassées » à ce stade, car elles ont toujours un impact considérable), leurs causes profondes présentent toujours des aspects nouveaux et intéressants. Dans les attaques par ransomware très médiatisées contre MGM Resorts et Caesars Entertainment, ces aspects nouveaux et intéressants comprenaient clairement des vulnérabilités tierces. Une partie de l'incident était le résultat d'une ingénierie sociale ciblant des tiers ayant un accès à distance aux environnements des casinos, de la même manière que les attaquants avaient ciblé un fournisseur tiers de systèmes de chauffage, ventilation et climatisation lors de la célèbre violation de Target en 2013.
Au moment où nous écrivons ces lignes, Caesars a versé 15 millions de dollars et MGM a potentiellement perdu 100 millions de dollars dans cette affaire perpétrée par les acteurs ALPHV et Scattered Spider. Les données compromises comprenaient les noms, les numéros de permis de conduire, les dates de naissance et certains numéros de sécurité sociale et numéros de passeport. Certaines données relatives aux employés ont également été compromises.
Cet incident illustre l'un des principes fondamentaux d'un programme de sécurité informatique : la formation, en particulier celle du service d'assistance. Il doit également servir de rappel quant à l'importance de l'authentification multifactorielle (MFA) et des politiques, contrôles et validations rigoureux en matière d'authentification pour les utilisateurs privilégiés.
#3 Okta
L'une des plus grandes affaires de cybersécurité de l'année concerne Okta. Outre de nombreuses failles majeures et annonces d'exposition, la société a récemment révélé qu'un fournisseur de soins de santé avait divulgué des informations concernant 5 000 employés d'Okta. Lors du premier incident, les pirates ont volé des identifiants pour accéder à son système de gestion des demandes d'assistance et dérober les jetons de session téléchargés par les clients. Cet incident a touché tous les clients d'Okta. Il fait suite à une attaque similaire en 2022, au cours de laquelle Okta a reconnu que des pirates avaient volé le code source lié à une violation de son réseau par un tiers.
De tels incidents mettent en évidence la vulnérabilité des points de défaillance uniques pour les organisations. Dans ce cas, les solutions de gestion des identités et des accès (IAM) sont au cœur de la plupart des interactions entre les employés et les systèmes, servant de passerelles vers les systèmes et les données les plus sensibles. Comme dans le cas des violations de sécurité du Casino mentionnées ci-dessus, les organisations devraient examiner de manière concertée les autorisations accordées aux tiers et les niveaux d'accès privilégiés.
#4 Police métropolitaine
Les violations de données et les incidents de sécurité qui touchent les organismes chargés de l'application de la loi ne sont jamais une bonne nouvelle. La police métropolitaine de Londres a été victime cette année d'une violation résultant d'une attaque apparente par ransomware contre un fournisseur informatique, Digital ID. Les informations compromises comprenaient toute une série de données sensibles, notamment les noms des agents et du personnel, des photos, les grades, les niveaux de habilitation et les numéros d'identification.
Pour être plus proactif face à des attaques similaires, vous devez d'abord comprendre qui détient vos données personnelles et suivre attentivement ces fournisseurs, notamment en surveillant en permanence les menaces et en observant les cyber-signaux afin d'identifier les preuves de données compromises mises en vente sur le dark web. Tenez également compte de la sensibilité des données et des relations avec les fournisseurs. Tout fournisseur impliqué dans la gestion des identités et des accès (IAM) doit être classé dans la catégorie de risque 1 à surveiller.
N° 5 Henry Schein
Le fabricant et distributeur de dispositifs médicaux Henry Schein a connu une interruption de ses activités en octobre en raison d'une attaque par ransomware orchestrée par ALPHV (BlackCat). En novembre, la société a annoncé une nouvelle attaque. Au moment de la rédaction du présent article, aucun accès à des données sensibles n'a été confirmé dans ce deuxième scénario. L'incident d'octobre a eu un impact sur un large éventail de cabinets dentaires, médicaux et vétérinaires dans de nombreux pays, et a réduit leur capacité à mener des activités de commerce électronique de 75 %.
4 étapes pour être plus proactif face aux incidents de cybersécurité impliquant des tiers
Si les cinq principales violations de données de 2023 nous ont appris quelque chose, c'est qu'il faut garder une longueur d'avance sur les pirates. Outre les améliorations fonctionnelles en matière de sécurité que j'ai mentionnées dans les exemples de violations ci-dessus, veillez à ce que votre programme TPRM se concentre sur les activités suivantes en 2024.
-
Mettez en place une gouvernance et une harmonisation organisationnelles. Commencez par examiner minutieusement votre équipe et/ou vos processus d'approvisionnement. Établissez le processus de lancement des évaluations des fournisseurs, définissez et examinez les conditions contractuelles, identifiez les ressources disponibles en cas de violation ou de vulnérabilité causée par un produit d'un fournisseur, déterminez la fréquence des évaluations des fournisseurs après la signature du contrat et documentez les procédures d'évaluation des tiers.
-
Évaluez régulièrement les tiers. Réalisez des évaluations des risques liés aux tiers à plusieurs étapes du cycle de vie des fournisseurs. Commencez par établir une liste de contrôles auxquels les tiers doivent se conformer. Déterminez ensuite la fréquence des évaluations de sécurité pour répondre aux besoins internes et réglementaires en matière de conformité. Enfin, définissez un processus de remédiation et d'arbitrage pour traiter les tiers qui ne satisfont pas actuellement aux exigences de sécurité.
-
Exigez des déclarations relatives à la sécurité des logiciels (par exemple, une liste des composants logiciels, un rapport SOC 2 ou une certification ISO) comme référence. Soyez prêt à évaluer la capacité du développeur/fournisseur à résoudre tout problème futur découvert et à obtenir l'accès aux « images de référence » des fabricants comme preuve du développement, du conditionnement et de l'expédition sécurisés des logiciels.
-
Tirez parti des classements en matière de risque. Utilisez des services technologiques qui proposent des évaluations ou des classements des risques liés aux fournisseurs par rapport à d'autres organisations du secteur.
Prochaines étapes : Regarder le webinaire
Pour en savoir plus sur les enseignements tirés des incidents de cybersécurité tiers les plus marquants de l'année, regardez mon webinaire à la demande intitulé «Leçons tirées des 5 pires incidents de cybersécurité tiers de 2023 ».
N'hésitez pas à contacter Prevalent pour planifier une démonstration afin de découvrir comment cette entreprise peut aider votre organisation à renforcer son programme de gestion des risques liés aux tiers.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
