Violations de données par des tiers : Ce qu'il faut savoir

Les violations de données par des tiers sont de plus en plus courantes, car la technologie facilite les connexions entre les entreprises et les chaînes d'approvisionnement mondiales gagnent en complexité. En effet, selon le dernier rapport sur les enquêtes relatives aux violations de données, 30 % de toutes les violations de données proviennent de tiers, soit près du double par rapport à l'année précédente.

De plus, les violations commises par des tiers sont parmi les plus coûteuses à réparer pour les organisations. Les données du rapport IBM Cost of a Data Breach Report de l'année dernière montrent que les violations commises par des tiers sont le troisième facteur le plus important dans l'augmentation des coûts liés aux violations, avec une augmentation des coûts de 5 % au-dessus de la moyenne.

Cet article examine les raisons pour lesquelles les violations de données par des tiers sont en augmentation, fournit des exemples d'entreprises de renom qui ont été compromises par des fournisseurs tiers, quatrièmes ou Nèmes, et explique les mesures que vous pouvez prendre pour atténuer le risque que votre organisation en soit victime.

Pourquoi les violations de données par des tiers sont en augmentation

Au cours de la dernière décennie, de nombreuses grandes organisations ont investi massivement dans la sécurité de l'information. Aucun système ne peut être entièrement sécurisé, mais les investissements massifs dans la cybersécurité rendent beaucoup plus difficile pour les acteurs malveillants de compromettre les organisations disposant de ressources importantes. Les pirates informatiques sont de plus en plus incités à cibler les petits sous-traitants afin de contourner les programmes de cybersécurité robustes et bien financés. Il est beaucoup plus facile de compromettre un petit entrepreneur en CVC et d'utiliser cette organisation comme un cheval de Troie à son insu que de compromettre directement une entreprise du Fortune 500 disposant d'un centre d'opérations de sécurité doté d'un personnel complet et de plusieurs niveaux de contrôles de sécurité.

Les petites entreprises ont toujours été à la traîne dans l'adoption de pratiques rigoureuses en matière de sécurité de l'information, alors même que 43 % des attaques les visent. Cela permet à des acteurs malveillants de compromettre des tiers de moindre envergure et de voler les données qui leur sont confiées ou de détourner leur accès à des systèmes sensibles dans de grandes organisations. Les violations de données par des tiers peuvent être extrêmement préjudiciables et entraîner des millions de dollars d'amendes, de frais juridiques et de pénalités, sans compter les dommages considérables causés à la réputation.

Conséquences financières et opérationnelles des violations majeures de données par des tiers

Les répercussions d'une violation majeure des données d'un tiers vont bien au-delà de la compromission initiale, touchant les organisations là où cela fait le plus mal : leurs finances, leurs opérations et leur réputation. Lorsqu'un pirate utilise un fournisseur, un prestataire ou un partenaire technologique de confiance comme tremplin, l'effet domino peut perturber l'ensemble de la chaîne d'approvisionnement, et les chiffres parlent d'eux-mêmes.

Conséquences financières

Les organisations touchées par des violations de données par des tiers sont régulièrement confrontées à une forte augmentation des coûts liés à la réponse aux incidents, aux enquêtes judiciaires, aux actions en justice, aux sanctions réglementaires et aux notifications aux clients. Dans les cas particulièrement graves, ces coûts représentent un pourcentage important du chiffre d'affaires annuel, atteignant parfois plusieurs millions. Les demandes d'indemnisation sont souvent insignifiantes par rapport au coût financier réel, qui comprend la perte d'activité, la diminution de la valeur marchande et les répercussions contractuelles à long terme.

Perturbations opérationnelles

Un fournisseur compromis peut paralyser la production, forcer la suspension d'opérations commerciales critiques et faire dérailler des projets majeurs en quelques heures. Il n'est pas rare que les entreprises suspendent leur production, ferment leurs plateformes destinées aux clients ou coupent l'accès au réseau à leurs partenaires, ne serait-ce que par mesure de précaution. Pour les fabricants et les entreprises à forte intensité logistique, même une brève interruption peut menacer leurs marges bénéficiaires vitales et éroder la résilience de leur chaîne d'approvisionnement.

Exposition des données et atteinte à la réputation

Ces violations entraînent souvent la divulgation non autorisée d'informations sensibles, telles que les coordonnées des employés, les données des clients, les dossiers médicaux ou les informations financières. La divulgation publique peut gravement nuire à la confiance des clients, des partenaires commerciaux et des organismes de réglementation, causant ainsi des dommages irréparables à la réputation qui persistent longtemps après la résolution de la violation.

Effets à long terme

Au-delà des coûts immédiats et des perturbations, les violations de données par des tiers peuvent ouvrir la voie à d'autres attaques. Les identifiants compromis ou la propriété intellectuelle exposée peuvent rester actifs pendant des mois, voire des années, augmentant ainsi le risque permanent et nécessitant des investissements supplémentaires dans la remédiation et la surveillance.

À mesure que le paysage des risques évolue, il apparaît clairement que les répercussions financières et opérationnelles des violations de données par des tiers méritent la même attention et la même rigueur que les cybermenaces directes. Les organisations doivent agir de manière décisive pour renforcer les contrôles, non seulement en interne, mais aussi à travers leur réseau étendu de partenaires et de fournisseurs.

Exemples d'incidents de sécurité majeurs impliquant des tiers

Les violations de données par des tiers sont devenues beaucoup plus courantes ces dernières années. À mesure que l'économie mondiale s'intègre davantage, les données circulent souvent tout au long des chaînes d'approvisionnement sans que l'on se soucie vraiment de leur protection ou de leur gestion. Cela a donné lieu à une approche « sauvage » en matière de contrôle de la sécurité de l'information, car de nombreuses organisations n'ont aucune idée de l'endroit où se trouvent leurs données tout au long de la chaîne d'approvisionnement étendue, et encore moins des mesures de sécurité prises pour les protéger.

2025 Violations de données par des tiers

700Violation de données de crédit

En décembre 2025, 700Credit, un fournisseur de services de vérification de crédit et d'identité pour les concessionnaires automobiles, a révélé une violation de données causée par un accès non autorisé à une API tierce. Cet incident, qui remonte à une compromission d'un système partenaire en juillet 2025 et qui a été identifié fin octobre, a permis aux pirates d'accéder à l'application web 700Credit et de copier des enregistrements de la couche applicative 700Dealer.com, affectant les clients des concessionnaires qui utilisent ses outils de vérification.

Cette violation a exposé les informations personnelles d'environ 5,8 millions de personnes, notamment leurs noms, adresses, dates de naissance et numéros de sécurité sociale. Bien que 700Credit ait déclaré que son réseau interne n'avait pas été compromis, cet incident a nécessité l'envoi de nombreuses notifications aux clients et la mise en place de services de surveillance du crédit. Cet événement met en évidence les risques inhérents aux écosystèmes de fournisseurs interconnectés, soulignant que les failles de sécurité des systèmes tiers peuvent contourner les contrôles internes et avoir des répercussions en aval à grande échelle si l'accès aux API et la sécurité des partenaires ne sont pas strictement contrôlés.

Violation des données de Salesloft Drift

À la mi-août 2025, des pirates (UNC6395) ont exploité un compte GitHub compromis de Salesloft pour voler des identifiants AWS. compte GitHub de Salesloft pour voler des identifiants AWS et des jetons OAuth liés à l'outil de chat en direct Drift AI. Grâce à ceux-ci, ils ont infiltré de nombreuses instances Salesforce d'entreprises entre le 8 et le 18 août, exfiltrant des données provenant d'objets tels que des cas, des comptes, des utilisateurs et des opportunités. Les données volées comprenaient des identifiants hautement sensibles (clés d'accès AWS, mots de passe et jetons Snowflake), ce qui présentait de graves risques de compromission en aval.

Salesloft a découvert cette activité le 20 août, a révoqué l'accès et Salesforce a suspendu Drift de son AppExchange. Bien que le nombre total d'organisations touchées n'ait pas été divulgué, l'étendue de l'accès suggère un impact important. Les clients ont été invités à changer leurs identifiants et à vérifier leurs journaux pour détecter toute utilisation abusive potentielle. Cet incident souligne à quel point les intégrations SaaS tierces et les connexions OAuth peuvent devenir des vecteurs d'attaque à forte valeur ajoutée, renforçant ainsi la nécessité d'une surveillance plus étroite des fournisseurs, d'une bonne hygiène des identifiants et d'une surveillance proactive comme éléments essentiels de la cybersécurité des entreprises.

Cyberattaque contre United Natural Foods

United Natural Foods, Inc. (UNFI) a été victime d'une importante cyberattaque début juin 2025 qui a contraint l'entreprise à fermer ses principaux systèmes informatiques et perturbé son réseau national de distribution alimentaire. Détectée le 5 juin, l'intrusion a entraîné la fermeture complète du réseau le lendemain, paralysant les systèmes de commande et de facturation numériques et empêchant de nombreux magasins de recevoir leurs livraisons en temps voulu. Bien qu'UNFI n'ait pas confirmé la nature de l'attaque, l'ampleur et la gravité de la perturbation suggèrent qu'il s'agit d'un ransomware ou d'une intrusion tout aussi dommageable.

Les répercussions ont été rapides et coûteuses : UNFI prévoit une perte de 350 à 400 millions de dollars sur son chiffre d'affaires net au quatrième trimestre, ainsi qu'une perte de revenus de 50 à 60 millions de dollars et une baisse de 40 à 50 millions de dollars de son EBITDA ajusté. Les détaillants, dont Whole Foods, ont signalé des rayons vides alors qu'UNFI s'efforçait de rétablir ses opérations à l'aide de processus manuels. Bien que les systèmes aient depuis été remis en service, cette attaque met en évidence la forte dépendance de l'industrie alimentaire à l'égard de points de distribution uniques et souligne les risques croissants que représentent les cyberattaques pour les chaînes d'approvisionnement essentielles.

2024 Violations de données par des tiers

Attaque Microsoft Midnight Blizzard

En janvier 2024, l'équipe de sécurité de Microsoft a détecté une attaque contre ses systèmes de messagerie électronique, identifiant par la suite l'attaquant comme étant Midnight Blizzard, l'acteur soutenu par l'État russe connu sous le nom de NOBELIUM. Cet incident en cours a compromis les comptes de messagerie électronique et les données d'agences gouvernementales et d'entreprises américaines. Les pirates ont téléchargé environ 60 000 courriels rien que du département d'État.

Vous devez rester attentif à toute mise à jour importante concernant cet incident. Même si votre ou vos comptes n'ont pas été directement compromis, il y a de fortes chances qu'un tiers de votre écosystème l'ait été. Microsoft est tellement intégré à l'écosystème technologique de la plupart des organisations que beaucoup n'ont d'autre choix que de lui faire confiance.

Piratage de United Health Group

En février 2024, UnitedHealth Group, le plus grand assureur santé des États-Unis, a confirmé qu'une attaque par ransomware avait visé sa filiale spécialisée dans les technologies de la santé, Change Healthcare, continuant ainsi à perturber le fonctionnement des hôpitaux et des pharmacies à l'échelle nationale. Change Healthcare traite près de la moitié de toutes les demandes de remboursement médical aux États-Unis pour environ 900 000 médecins, 33 000 pharmacies, 5 500 hôpitaux et 600 laboratoires.

La cyberattaque a interrompu les activités des pharmacies et provoqué des pannes généralisées ainsi que des problèmes dans le traitement des assurances et la facturation des patients. Cet incident met en évidence la menace croissante que représentent les ransomwares pour les services essentiels, les experts appelant à une intervention urgente du gouvernement.

Violation de données chez Infosys McCamish

En février 2024, Bank of America a annoncé que les données de ses clients avaient été compromises à la suite d'un incident de cybersécurité impliquant Infosys McCamish. Cet incident a permis à une partie non autorisée d'accéder à certaines informations sensibles de clients, notamment leurs noms, adresses, adresses e-mail professionnelles, dates de naissance, numéros de sécurité sociale et autres informations relatives à leurs comptes. Récemment, Infosys McCamish a révélé dans une mise à jour destinée aux investisseurs qu'environ 6,5 millions d'individus avaient été victimes d'un accès non autorisé et d'une exfiltration de leurs informations.

De nombreux rapports sur les menaces indiquent qu'Infosys aurait pu avoir une hygiène de sécurité médiocre et une surface d'attaque externe très exposée avant l'attaque par ransomware. Cela souligne la nécessité d'exiger des principaux fournisseurs et distributeurs qu'ils respectent les meilleures pratiques de sécurité bien connues.

Violation de données chez American Express

En mars 2024, American Express a révélé qu'un prestataire de services de paiement tiers (dont le nom n'a pas encore été divulgué) avait été victime d'un incident de cybersécurité. Cette violation de données a entraîné la fuite d'informations sensibles sur les clients, notamment les numéros de compte de cartes American Express actuelles ou précédemment émises, les noms et d'autres informations relatives aux cartes, telles que leurs dates d'expiration.

L'écosystème des cartes de paiement est gigantesque et implique de nombreux acteurs interconnectés, ce qui pourrait potentiellement entraîner des violations de données financières sensibles. Les consommateurs et les entreprises doivent être vigilants et prêts à mettre à jour rapidement les informations relatives à leurs cartes de paiement.

Violation des données relatives à l'équité en matière de santé

En juillet 2024, HealthEquity, un fournisseur de comptes d'épargne santé (HSA) basé dans l'Utah, a révélé une violation de données touchant 4,5 millions de clients à l'échelle nationale. Selon un porte-parole, cette violation résultait du piratage d'un référentiel de données géré par un tiers.

Les informations personnelles compromises comprenaient divers détails relatifs à l'inscription à des avantages sociaux, notamment les noms, adresses, numéros de téléphone, identifiants d'employés, employeurs, numéros de sécurité sociale et informations sur les personnes à charge. Le référentiel consulté, hébergé par un fournisseur de services cloud tiers, se trouvait en dehors des systèmes centraux de HealthEquity.

2023 Violations de données par des tiers

Violation des données des fournisseurs d'AT&T

En janvier 2023, une violation de données impliquant l'un des anciens fournisseurs de services cloud d'AT&T a touché 8,9 millions de clients mobiles. Cette violation a exposé des informations sur les clients telles que le nombre de lignes sur les comptes, les soldes des factures et les détails des forfaits. Bien que les données hautement sensibles n'aient pas été compromises, les données exposées auraient dû être supprimées six ans plus tôt. En conséquence, AT&T a accepté de payer 13 millions de dollars d'amendes à la FCC, d'améliorer la gestion des données clients et d'appliquer des pratiques plus strictes en matière de traitement des données avec ses fournisseurs afin d'éviter de nouvelles violations.

Cette violation s'est produite plusieurs années après la fin du contrat, soulignant l'importance d'intégrer une gestion rigoureuse des risques liés aux tiers dans les procédures de départ, y compris la surveillance continue des fournisseurs après la résiliation.

Violation de la sécurité de MOVEit de Progress Software

Le 31 mai 2023, Progress Software a révélé l'existence d'une vulnérabilité permettant à des acteurs non authentifiés d'accéder à sa base de données^MOVEit® Transfer et d'exécuter des instructions SQL afin de modifier ou de supprimer des informations. MOVEit Transfer est un logiciel de transfert de fichiers géré qui fait partie de la plateforme cloud Progress MOVEit, laquelle consolide toutes les activités de transfert de fichiers au sein d'un seul système.

Depuis cette divulgation, le groupe cybercriminel Clop a exploité cette vulnérabilité pour cibler diverses organisations dans plusieurs secteurs et régions, notamment le fournisseur de logiciels RH Zellis, la BBC, le gouvernement de Nouvelle-Écosse et bien d'autres.

Violation de données par un tiers d'Okta

En octobre 2023, Okta a révélé qu'un fournisseur de soins de santé avait divulgué les informations de 5 000 employés d'Okta. Lors du premier incident, les pirates ont volé des identifiants pour accéder à son système de gestion des demandes d'assistance et voler les jetons de session téléchargés par les clients. Début novembre, ils ont informé leurs clients que la violation avait touché tous les utilisateurs du système d'assistance à la clientèle d'Okta.
La source de la violation était probablement le compte Google personnel compromis d'un employé d'Okta qui avait enregistré les identifiants de son compte de service dans son compte. Cette dernière violation du service d'assistance en octobre est la deuxième violation importante affectant les données des clients d'Okta au cours des deux dernières années.

Police métropolitaine de Londres

En août 2023, la police métropolitaine de Londres a été victime d'une violation de données résultant d'une attaque par ransomware apparemment dirigée contre un fournisseur informatique, Digital ID. Les informations sensibles de près de 47 000 agents et membres du personnel des forces de l'ordre, y compris des policiers infiltrés et des agents antiterroristes, ont été exposées. Les informations compromises comprenaient des données sensibles, telles que les noms, photos, grades, niveaux de habilitation et numéros d'identification des agents et du personnel.

Violations de données par des tiers en 2022

Attaque Okta LASPSUS$

En mars 2022, la plateforme américaine de gestion des identités et des accès Okta a reconnu qu'une attaque contre un fournisseur tiers auquel elle faisait appel avait entraîné une violation de données touchant environ 2,5 % de sa clientèle. Selon Okta, les dommages se sont limités aux autorisations des ingénieurs d'assistance tiers sur sa plateforme. Le groupe de ransomware responsable de l'attaque, LAPSUS$, avait la possibilité d'accéder à :

• Tickets JIRA

• Listes d'utilisateurs

• Réinitialiser les mots de passe

• Réinitialiser l'authentification multifactorielle

Les attaques contre les acteurs clés de l'écosystème de la chaîne d'approvisionnement se sont intensifiées ces dernières années, les acteurs malveillants cherchant de plus en plus à tirer parti d'une attaque réussie pour nuire aux entreprises tout au long de la chaîne d'approvisionnement logicielle. Les entreprises de cybersécurité peuvent être particulièrement exposées en raison de leur accès privilégié aux environnements informatiques d'autres organisations.

Violation des données LastPass

Le 22 décembre 2022, la société de gestion de mots de passe LastPass a annoncé qu'un acteur malveillant inconnu avait exploité des informations obtenues lors d'un incident de sécurité survenu en août 2022 pour accéder à un service de stockage cloud tiers utilisé par LastPass pour stocker ses sauvegardes archivées.

Attaque contre la chaîne d'approvisionnement de Toyota

Le 28 février 2022, Toyota a annoncé que la société suspendait pour une journée les opérations sur l'ensemble des 28 lignes de production de ses 14 usines de fabrication au Japon en raison d'une panne du système chez l'un de ses fournisseurs, Kojima Industries. D'autres partenaires de Toyota, notamment Hino Motors et Daihatsu Motor, ont également été touchés par cette interruption. La panne informatique chez Kojima semblait être due à une cyberattaque qui a empêché les communications avec Toyota et les systèmes de surveillance de la production.

Violations antérieures de données par des tiers

Vulnérabilité Log4J

En décembre 2021, des chercheurs en sécurité ont découvert CVE-2021-44228, une vulnérabilité de la bibliothèque de journalisation Apache Log4j basée sur Java. La vulnérabilité Log4j permet l'exécution de code à distance non authentifiée et l'accès au serveur, soit la prise de contrôle totale des systèmes vulnérables. Log4J a ouvert la voie à un risque massif dans tout l'écosystème des logiciels tiers.

Attaque de la chaîne logistique par le ransomware Kaseya

Les attaques contre les logiciels de surveillance et de gestion à distance sont devenues une préoccupation majeure pour de nombreuses équipes informatiques et fournisseurs de services gérés. Le 2 juillet 2021, Kaseya a annoncé que des pirates avaient exploité une vulnérabilité dans le logiciel VSA de l'entreprise pour lancer une attaque par ransomware contre les clients de Kaseya. Des dizaines de fournisseurs de services informatiques et des centaines de clients en aval ont été touchés, ce qui a entraîné des millions de dollars de dommages.

Tout comme la violation de SolarWinds Orion et d'autres incidents récents liés à la cybersécurité impliquant des tiers, il s'agit là d'un autre exemple de l'impact exponentiel potentiel des attaques contre la chaîne d'approvisionnement étendue.

SolarWinds

La violation de la chaîne d'approvisionnement de SolarWinds, signalée pour la première fois en décembre 2020, a touché plus de 18 000 utilisateurs de son produit de gestion de réseau Orion. La violation de la chaîne d'approvisionnement de SolarWinds continue de causer des ravages chez les clients Orion du monde entier, qui s'efforcent toujours d'identifier et d'atténuer ses risques. La liste des entreprises touchées comprend de grandes agences gouvernementales et sociétés américaines :

• Département de l'Énergie

• Département du Trésor

• Ministère du Commerce

• Gouvernements nationaux et locaux

• Département d'État

• Département de la sécurité intérieure

• Instituts nationaux de la santé

• Le ministère de la Défense

Parmi les entreprises privées touchées par cette violation figurent Microsoft et FireEye. Cet incident de sécurité a porté un coup dur à la sécurité nationale américaine, révélant d'importantes failles dans la défense cybernétique. Consciente de l'impact potentiellement néfaste sur les activités des entreprises, Prevalent a rapidement proposé à ses clients une évaluation gratuite de la gestion des événements et des incidents après la première notification de la violation.

Capital One

En 2019, Capital One a signalé une violation de données touchant plus de 100 millions de clients et impliquant des données remontant à une dizaine d'années. Le Bureau du contrôleur de la monnaie a cité l'incapacité à « mettre en place des processus efficaces d'évaluation des risques » avant de transférer l'infrastructure informatique et les données vers le cloud public comme l'une des principales causes de la violation. Capital One a été condamnée à une amende de plus de 80 000 000 dollars pour cette violation.

GE

La violation de données subie par GE en 2020 montre qu'un incident de sécurité peut nuire non seulement aux relations avec les clients, mais aussi aux relations avec les employés et à la confiance dans l'entreprise. Le fournisseur de services de gestion des documents RH de General Electric, Canon Business Process Service, a été victime d'une violation de données au début de l'année 2020. Plus de 200 000 informations sensibles concernant des employés actuels et anciens, notamment des informations sur leurs avantages sociaux et leur santé (PHI), ont été exposées lors de cet incident. Des certificats de décès, des ordonnances de pension alimentaire pour enfants, des formulaires de retenue d'impôt, des formulaires de désignation de bénéficiaire et des demandes de prestations telles que des prestations de retraite, de licenciement et de décès, ainsi que les formulaires et documents connexes, ont également été exposés.

Adobe

En 2019, plus de 7 millions d'enregistrements d'utilisateurs d'Adobe Creative Cloud ont été exposés parce qu'une base de données Elasticsearch interne a été laissée accessible en ligne sans protection par mot de passe. Les informations comprenaient les noms d'utilisateur et les informations relatives aux comptes clients, mais pas les données financières ni les mots de passe des utilisateurs. Bien que la violation n'ait pas concerné les identifiants des utilisateurs tels que les noms, les mots de passe ou les informations financières, l'incident a tout de même porté préjudice aux utilisateurs. Les pirates informatiques utilisant des techniques de spear phishing peuvent envoyer des e-mails à des comptes de grande valeur, obtenir des mots de passe et les vendre sur le dark web. Toute violation des informations clients, aussi minime soit-elle, peut présenter des risques énormes.

Marriott

Lorsque Marriott a racheté Starwood en 2016, la société a hérité d'une plateforme de réservation compromise qui a donné lieu à des poursuites judiciaires et à une atteinte à la réputation après l'annonce de la violation en 2018. Des acteurs malveillants avaient un accès direct aux réseaux et aux systèmes de Starwood depuis 2014. Les attaquants ont conservé leur accès aux systèmes de Starwood jusqu'à la découverte et la divulgation de la violation en 2018. Les acteurs malveillants ont volé des informations sensibles sur près de 500 millions de clients, notamment leurs coordonnées, les détails cryptés de leurs cartes de crédit, leurs numéros de passeport et l'historique de leurs voyages.

En 2020, Marriott a annoncé une deuxième violation qui a touché plus de 5 millions de comptes clients et compromis des adresses, des dates de naissance, des numéros de téléphone et des informations relatives aux cartes de fidélité. Cette fuite de données tierces a été causée par le vol des accès aux systèmes de deux franchisés Marriott. Il est important de surveiller tout tiers ayant accès aux informations relatives à l'infrastructure de votre entreprise, même s'il s'agit d'une organisation partenaire telle qu'un franchisé. Les franchisés ne respectent souvent pas les mêmes exigences en matière de cybersécurité que leur société mère, exposant ainsi l'ensemble de l'organisation à des risques.

Cible

En 2013, le grand distributeur Target a été victime d'une cyberattaque qui a compromis les données de plus de 70 millions de consommateurs. Au cours de cette violation majeure commise par un tiers, l'un des sous-traitants de Target spécialisé dans les systèmes de chauffage, ventilation et climatisation a été victime d'une attaque de spear phishing qui a entraîné la fuite de numéros de cartes de crédit, de codes de sécurité, de numéros de téléphone et de noms complets.

Les pirates ont accédé au réseau d'entreprise de Target à l'aide d'identifiants volés et ont installé des logiciels malveillants sur les terminaux de point de vente de Target. Ces logiciels malveillants ont collecté des données sensibles sur les clients entre novembre et décembre 2013. La violation de Target illustre clairement comment même les programmes de sécurité informatique les mieux financés peuvent facilement être compromis par des failles de sécurité dans des produits et services tiers.

Meilleures pratiques pour prévenir les violations de sécurité par des tiers tout au long du cycle de vie des fournisseurs

Il peut être difficile de gérer efficacement les risques tout au long de la chaîne logistique étendue, en particulier pour les grandes entreprises. Cependant, vous pouvez prendre plusieurs mesures pour mieux comprendre votre environnement de risque et atténuer l'impact des risques potentiels liés aux tiers. Voici les recommandations de Prevalent pour vous aider à atténuer le risque de violation des données par des tiers tout au long du cycle de vie des fournisseurs.

Prendre en compte la sécurité de l'information lors de l'approvisionnement et de la sélection

À mesure que votre infrastructure informatique s'intègre de plus en plus à des tiers et à des quatrièmes parties, il est essentiel de prendre en compte la sécurité des informations lors de la recherche et de la sélection des fournisseurs. Lorsque vous examinez des fournisseurs présentant un risque élevé en raison de leur accès aux données et aux systèmes sensibles de votre organisation, donnez la priorité à ceux qui ont démontré leur maturité en matière de sécurité de l'information. Il est utile de se poser les questions suivantes :

• Le fournisseur travaille-t-il avec d'autres entreprises clientes ayant des besoins complexes en matière de sécurité de l'information ?
• Le fournisseur dispose-t-il des contrôles de sécurité nécessaires pour se conformer aux exigences qui découleraient de votre organisation ? (par exemple, HIPAA, CMMC, RGPD)
• Quels sont les antécédents du fournisseur en matière de sécurité de l'information ? A-t-il déjà fait l'objet de plusieurs violations de données ou infractions à la conformité rendues publiques ?

Envisagez d'utiliser un logiciel tiers de gestion des risques ou des réseaux d'informations sur les risques liés aux fournisseurs afin d'alimenter votre processus d'approvisionnement et de sélection avec des données préchargées sur les risques liés à la cybersécurité.

Définissez des attentes contractuelles claires concernant le stockage et le transfert des données.

De nombreuses organisations ne tiennent pas compte de la gestion des risques liés aux fournisseurs dans l'élaboration de leurs processus de gestion des contrats fournisseurs. Votre organisation doit disposer de politiques claires concernant les cas dans lesquels les informations personnelles, les données clients ou d'autres informations sensibles peuvent être partagées avec des tiers. Par exemple, vous pouvez envisager d'inclure des dispositions claires concernant les cas dans lesquels les informations confidentielles peuvent être partagées avec des quatrièmes parties et au-delà.

Effectuer une surveillance continue des tiers ayant accès à des données ou à des systèmes sensibles

Les fournisseurs doivent faire l'objet d'une surveillance afin de détecter tout accès non autorisé à des données personnelles ou à d'autres informations confidentielles. Même si le fournisseur n'agit pas de manière malveillante, ses systèmes informatiques pourraient avoir été compromis, entraînant la propagation de logiciels malveillants vers les systèmes de votre organisation. Tout fournisseur ayant accès à vos ressources informatiques doit faire l'objet d'une surveillance pendant toute la durée de cet accès.

En outre, vous devez mettre en place une surveillance proactive et externe par un tiers pour tous les fournisseurs qui traitent vos informations confidentielles. Les organisations modifient leurs programmes de sécurité de l'information au fil du temps, et ce qui était initialement indiqué dans leur questionnaire d'évaluation des risques liés aux fournisseurs peut ne plus être valable quelques mois plus tard. De plus, une approche de surveillance proactive peut vous aider à détecter les violations de données potentielles avant qu'elles ne se produisent. En surveillant le dark web, Pastebin et d'autres sites où sont publiées les informations d'identification volées, vous pouvez savoir si l'un de vos fournisseurs a été compromis.

Prêter attention aux exigences réglementaires

Les réglementations en matière de sécurité de l'information et de confidentialité des données ont été considérablement renforcées au cours de la dernière décennie. Au cours des dernières années seulement, nous avons assisté à l'introduction du RGPD, du CCPA, du NY Shield Act et de dizaines d'autres exigences de conformité. Il est fort probable que la surveillance réglementaire continue de s'intensifier à mesure que de nouvelles violations par des tiers apparaissent.

Exiger des fournisseurs qu'ils vérifient de manière indépendante leurs pratiques en matière de sécurité de l'information

Les questionnaires d'évaluation des risques liés aux tiers peuvent être extrêmement utiles pour déterminer si les fournisseurs prennent les mesures appropriées en matière de sécurité de l'information. Cependant, dans certains cas, vous pouvez envisager d'exiger des fournisseurs potentiels qu'ils obtiennent une certification conforme à une norme de sécurité de l'information. Par exemple, le ministère américain de la Défense a récemment diffusé la certification Cybersecurity Maturity Model Certification. Cette réglementation exigeait que les sous-traitants travaillant avec le ministère de la Défense soient certifiés selon une norme à 5 niveaux définie par le DOD en fonction du type d'informations avec lesquelles le sous-traitant travaille.

Votre organisation peut adopter une approche similaire pour traiter les préoccupations liées à la cybersécurité des fournisseurs. Pour de nombreux fournisseurs, en particulier ceux qui ne traitent pas de grandes quantités de données confidentielles, un simple questionnaire d'évaluation des risques peut suffire. Cependant, pour les fournisseurs qui ont besoin d'accéder à des données et à des systèmes propriétaires, vous pouvez envisager d'exiger la conformité à une norme externe telle que SOC 2 ou NIST CSF.

Bénéficiez d'une visibilité sur l'ensemble de la chaîne logistique

La première étape de tout programme de cybersécurité consiste à obtenir une visibilité sur les actifs informatiques. Il en va de même pour les risques liés aux tiers. Vous devez non seulement savoir quels tiers sont utilisés dans l'ensemble de l'entreprise, mais aussi qui compose leurs chaînes d'approvisionnement, jusqu'aux fournisseurs de quatrième et n-ième niveau. En règle générale, plus le fournisseur est critique ou plus il a accès à des données, plus vous devez avoir une bonne visibilité sur ses chaînes d'approvisionnement étendues. Les attaques contre Kaseya et SolarWinds illustrent bien comment les pratiques de sécurité des fournisseurs de quatrième niveau peuvent avoir des répercussions sur l'ensemble de la chaîne d'approvisionnement.

Auditez votre processus de départ

Une procédure efficace de désengagement des fournisseurs est l'un des éléments essentiels d'un programme de gestion des risques liés aux tiers et est indispensable pour prévenir les violations de données par des tiers. La plupart des organisations ont mis en place une forme ou une autre de procédure de désengagement pour les tiers et les sous-traitants, mais dans un environnement professionnel très actif, celle-ci peut être négligée. Efforcez-vous de contrôler régulièrement les procédures de désengagement des fournisseurs tiers dans plusieurs services. Assurez-vous que les autorisations et les accès sont entièrement révoqués dans tous les services afin de respecter la politique de l'entreprise et les réglementations gouvernementales.

Prochaines étapes pour prévenir les violations de données par des tiers

Vous vous demandez dans quelle mesure votre organisation est préparée à faire face à une violation de données par un tiers ? Vous souhaitez savoir comment Mitratech peut vous aider ? Découvrez notre solution de gestion des risques liés aux tiers et nos services d'évaluation des risques liés aux fournisseurs, ou demandez une démonstration.

Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.