Où que l'on regarde, on a l'impression que les cyberattaques sont de plus en plus fréquentes. Chaque jour, des pirates informatiques criminels font la une des journaux en dérobant les informations personnelles de millions de personnes, de leur date de naissance à leur numéro de sécurité sociale.
Ces pirates ciblent de plus en plus les chaînes d'approvisionnement en logiciels et les services tiers dont dépendent les organisations. Pourquoi, vous demandez-vous peut-être ?
En effet, s'attaquer à une chaîne d'approvisionnement leur permet de compromettre un grand nombre de personnes à la fois, au lieu de devoir cibler chaque organisation séparément. Il ne s'agit pas seulement de quelques dizaines ou centaines de personnes, mais souvent de dizaines de milliers de personnes par le biais d'une seule violation.
En outre, ce type d'attaque contourne les mesures de sécurité de la victime et permet souvent au pirate d'avoir un niveau d'accès interne plus élevé. Ces types d'attaques sont très difficiles à discerner, ce qui donne aux pirates plus de temps pour s'infiltrer, voler des données et installer des logiciels rançonneurs.
Sur cette note sombre, examinons quelques-unes des fuites de données les plus notables que nous avons vues récemment, causées par des violations de tiers cette année.
Exemples de violations par des tiers en 2021 ?
Kaseya
KaseyaLa société de technologie de l'information Kaseya, basée en Floride, a fait l'objet de ce que l'on appelle la plus grande attaque par ransomware jamais enregistrée. Début juillet, on a découvert que des pirates avaient exploité une vulnérabilité dans Kaseya VSA (Virtual System Administrator), un logiciel de surveillance et de gestion à distance.
Des affiliés du groupe russe REvile ransomware en ont pris la responsabilité, exigeant 70 millions de dollars en crypto-monnaies pour libérer une clé logicielle universelle de décryptage afin de déverrouiller tous les systèmes affectés. Pourquoi cette cyberattaque était-elle particulièrement virulente ?
Kaseya est un "fournisseur de services gérés", ce qui signifie que ses systèmes sont utilisés par des entreprises trop petites ou financièrement incapables d'avoir leur propre service informatique. Kaseya diffuse régulièrement des mises à jour censées sécuriser les systèmes de ses clients. Au lieu de cela, les pirates ont réussi à utiliser ces mêmes fonctionnalités pour diffuser des logiciels malveillants auprès de leurs clients.
En termes de dommages, plus de 1 500 entreprises ont été touchées par cette attaque dans le monde entier. Nombre d'entre elles ont dû fermer complètement leurs portes. Le fait de cibler des systèmes censés protéger les clients et d'utiliser leurs fonctionnalités contre eux est ce qui rend cette attaque particulièrement choquante.
Audi et Volkswagen
Audi et Volkswagen En mars 2021, Audi et Volkswagen ont été informés qu'un fournisseur avait laissé des données non sécurisées entre août 2019 et mai 2021. Ces données clients ont ensuite été obtenues par un tiers non autorisé.
Les données comprenaient des informations recueillies à des fins de vente et de marketing, allant des coordonnées aux numéros de permis de conduire en passant par les numéros de prêt. L'affaire fait toujours l'objet d'une enquête, mais environ 3,3 millions de clients et d'acheteurs intéressés ont été touchés.
Bien que cet incident ne semble pas inclure de rançon, comme dans le cas de Kaseya, il s'agit d'un formidable exemple de ce qui peut se produire lorsque des données sensibles sont laissées exposées. À l'ère du GDPR, en particulier, il s'agit d'un cauchemar pour les fournisseurs, qui pourrait entraîner de graves sanctions.
La leçon à en tirer ? Pour protéger les données de leurs clients, les entreprises doivent s'assurer que les fournisseurs les sécurisent dans le nuage. Il ne s'agit pas seulement de les croire sur parole en ce qui concerne les mesures de cybersécurité.
Accellion
D'accord, celui-ci date techniquement de décembre 2020, mais le nombre de personnes touchées par ce malheureux exemple de risque lié aux fournisseurs ne cesse de croître, ce qui justifie que l'on s'y attarde.
Selon Bloomberg, "Accellion, Inc. fournit des solutions sécurisées de collaboration et de transfert de fichiers gérés. La société propose des solutions de productivité, de contenu d'entreprise, de partage et de synchronisation de fichiers, de stockage, de remplacement, de sauvegarde et de récupération. Accellion sert des clients dans le monde entier". Selon son propre site web, Accellion a protégé plus de 25 millions d'utilisateurs finaux dans plus de 3 000 entreprises mondiales et agences gouvernementales.
Malheureusement, il s'agit d'un grand nombre d' utilisateurs finaux et beaucoup d' informations personnelles pourraient potentiellement être volées. Et c'est ce qui s'est produit : Le mois dernier, le nombre de victimes touchées par cette violation avait atteint le chiffre choquant de 3,5 millions. Et, comme nous l'avons mentionné, ce nombre continue d'augmenter.
Les pirates ont utilisé les vulnérabilités du FTA (File Transfer Appliance) d'Accellion pour exposer des données sensibles et personnelles, telles que des informations bancaires et de santé. Le FTA a été lancé il y a une vingtaine d'années pour permettre aux organisations de partager en toute sécurité des fichiers trop volumineux pour être envoyés par courrier électronique. Selon le HIPAA Guide, "le site de fuite de données du gang du ransomware Clop a été utilisé pour publier certaines des données volées afin d'encourager le paiement de la rançon".
Cette situation a donné lieu à un certain nombre d'actions en justice intentées contre Accellion par des victimes devant les tribunaux de Californie et de l'État de Washington - et qui peut les blâmer ? Si vous êtes une entreprise qui a fait confiance à Accellion, votre réputation risque d'en pâtir également.
Se prémunir contre le risque de devenir un fournisseur de premier plan
Nous nous arrêterons ici avant que cela ne devienne trop lugubre. La plupart de ces violations ont été traitées ou sont en train de l'être, mais le risque lié aux fournisseurs tiers est un problème réel dont chaque organisation doit être consciente et pour lequel elle doit prendre des mesures.
Assurez-vous de disposer d'un système efficace de gestion du risque fournisseur (VRM) efficace afin que vous et vos clients puissiez dormir sur vos deux oreilles. Et pour éviter de figurer un jour dans des listes comme celle-ci !
Plus pour vous :
Guide de l'expert : Les 7 caractéristiques d'une conformité efficace
Cas d'utilisation : Découvrez nos cas d'utilisation pour l'automatisation des flux de travail dans le domaine du risque et de la conformité.
Infographie : Les obstacles et les hauts faits de la GRC dans la mise en place d'une culture de la conformité
Regardez notre sommet « L'avenir de la conformité » – désormais disponible à la demande !
Écoutez les conseils des meilleurs experts en matière de risque et de conformité sur la manière de renforcer la résilience et la continuité de votre entreprise.
