Nous continuons d'en apprendre davantage sur la violation de Larson Studios qui a entraîné la diffusion de 10 épisodes de Orange Is The New Black (OITNB) ainsi que d'autres titres de Netflix, ABC, CBS et Disney. Si l'analyse de l'événement publiée dans Variety donne un aperçu des effets dévastateurs d'une attaque par ransomware, elle ne fournit toutefois aucune indication sur la manière dont celle-ci aurait pu être évitée.
Jusqu'à très récemment, seules les banques se concentraient réellement sur les questions liées aux risques liés aux tiers en raison des exigences réglementaires. Elles ont ensuite été rejointes par les prestataires de soins de santé, dont les régulateurs ont également commencé à exiger des pratiques rigoureuses en matière de tiers. Plus récemment, les compagnies d'assurance ont rejoint les rangs des entreprises conscientes des risques liés aux tiers, aux côtés d'autres sociétés dont les conseils d'administration et les directions reconnaissent les risques que représentent les prestataires de services tiers en raison de l'accès non autorisé aux données des clients et aux réseaux de l'entreprise. Cependant, l'incident Larson Studios renforce le fait que l'évaluation de la protection des données et des contrôles de sécurité informatique chez les fournisseurs ne concerne pas uniquement les secteurs dont les régulateurs exigent de tels programmes.
On ignore encore combien de titres ont été volés à Larson, mais les coûts pour les studios s'élèveront sans aucun doute à plusieurs millions de dollars. Larson aurait-il dû disposer d'une meilleure sécurité informatique ? Absolument. Les studios qui ont confié à Larson une propriété intellectuelle aussi précieuse auraient-ils dû évaluer la sécurité informatique de Larson ? Absolument.
Cela ne veut pas dire que les studios sont responsables d'avoir fait confiance à Larson pour protéger leurs biens. Cependant, comme le secteur bancaire l'a appris il y a longtemps, les fournisseurs, en particulier les petits fournisseurs, ne disposent généralement pas de contrôles de sécurité informatique robustes. C'est pourquoi les autorités de réglementation des services financiers ont commencé à exiger des banques qu'elles évaluent les fournisseurs ayant accès à des données et à des systèmes à haut risque, afin de s'assurer qu'ils pouvaient protéger correctement ces données et ces systèmes. Les exigences contractuelles ne suffisent pas, les banques doivent vérifier que les fournisseurs sont en mesure d'assumer leurs responsabilités en matière de sécurité des données, comme le stipulent les contrats. Le fait qu'une action pour rupture de contrat puisse être intentée n'est qu'une maigre compensation par rapport aux pertes qui, dans la plupart des cas, ne peuvent être remplacées, ou aux dommages causés à la réputation qui ne peuvent être facilement réparés.
En fin de compte, toute entreprise qui choisit d'externaliser des services doit examiner attentivement les risques qu'elle prend en faisant appel à un tiers. Les informations à protéger vont des données clients aux informations confidentielles de l'entreprise, en passant par la propriété intellectuelle. Si le tiers a accès aux systèmes et aux réseaux de l'entreprise, une analyse doit être effectuée afin de déterminer les dommages qui pourraient résulter d'un accès non autorisé à ces systèmes. Lorsque la valeur des données est élevée et que l'accès aux systèmes doit être protégé, les entreprises doivent évaluer ces tiers afin de s'assurer que des contrôles efficaces en matière de sécurité informatique et de protection des données sont en place.
Les clients de Larson procèdent aujourd'hui à un audit afin de déterminer l'étendue des dommages et les mesures de sécurité à mettre en place. On peut se demander si cet incident se serait produit si le travail effectué aujourd'hui par les studios avait été réalisé dans le cadre d'une évaluation des mesures de sécurité de Larson avant que celle-ci n'ait accès aux précieux titres des studios.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
