D'une étude à l'autre
après étude, les équipes de gestion des risques des tiers déclarent qu'elles sont principalement préoccupées par l'impact des incidents de sécurité des tiers sur les opérations de leur entreprise. Par conséquent, la surveillance continue des signaux cybernétiques - tels que l'activité sur le dark web, les forums criminels et d'accès spécial, les pages en oignon et les sites de collage d'informations d'identification, ainsi que les communautés de sécurité publique, les flux de menaces, les référentiels de code et les bases de données de vulnérabilités - est une capacité indispensable pour comprendre les risques que les tiers font peser sur votre organisation.
Cependant, les entreprises négligent souvent la façon dont les répercussions possibles des risques commerciaux, financiers ou de réputation peuvent avoir un impact sur la posture de conformité ou l'hygiène de sécurité d'un fournisseur tiers. Dans cet article, nous examinons les 14 principales informations commerciales qui peuvent prédire un problème potentiel de sécurité des tiers, et comment une approche combinée des évaluations et de la surveillance continue permet de réduire efficacement les risques liés aux tiers.
Les 14 idées les plus courantes pour la gestion des risques de cybersécurité par des tiers
Les nouvelles négatives concernant un fournisseur, telles que des problèmes financiers, des violations de données ou des infractions à la réglementation, peuvent servir d'alerte précoce à des risques potentiels pour la sécurité. En surveillant ces informations, les professionnels de la cybersécurité peuvent prendre des mesures proactives pour évaluer et atténuer l'impact sur la posture de sécurité de leur organisation. Voici 14 sujets d'actualité à surveiller dans le cadre de votre programme de gestion des risques technologiques :
Instabilité financière
Des changements importants dans les résultats financiers d'un fournisseur, tels que des pertes inattendues, des baisses de revenus, des dépôts de bilan ou des irrégularités comptables, peuvent indiquer des contraintes de ressources qui pourraient avoir une incidence sur leur capacité à investir dans des contrôles de cybersécurité ou entraîner des mesures de réduction des coûts qui compromettent la sécurité ou augmentent la probabilité de menaces internes.
Licenciements et conflits du travail
Les licenciements et les conflits sociaux peuvent créer des distractions et des perturbations au sein d'une organisation, détournant l'attention et les ressources des efforts de cybersécurité. Il peut en résulter des lacunes dans la surveillance de la sécurité, des retards dans la réponse aux incidents et une diminution générale de la résistance aux cyber-attaques.
Les licenciements ou les conflits sociaux peuvent également entraîner une réduction des effectifs ou le départ de professionnels compétents en matière de cybersécurité, laissant les organisations en sous-effectif et dépourvues de l'expertise essentielle pour gérer efficacement la sécurité. Cette situation peut accroître le risque que des incidents de sécurité ne soient pas détectés ou résolus, ce qui rend l'organisation plus vulnérable aux cybermenaces.
Menaces internes
Les employés mécontents qui se sentent injustement traités ou qui risquent de perdre leur emploi peuvent présenter un risque accru de devenir des menaces internes. Ils peuvent se venger en volant des données sensibles, en sabotant des systèmes ou en se livrant à d'autres activités malveillantes susceptibles de compromettre la cybersécurité.
Attaques d'ingénierie sociale
Les employés sont susceptibles d'être victimes d'attaques par ingénierie sociale, telles que le phishing ou le pretexting. Les attaquants peuvent exploiter leur état émotionnel ou leurs préoccupations financières pour les amener à divulguer des informations sensibles, à cliquer sur des liens malveillants ou à effectuer des actions non autorisées qui compromettent la sécurité.
Fusions et acquisitions
Il est essentiel de surveiller les activités de fusion et d'acquisition des fournisseurs. Les changements de propriétaire ou de stratégie d'entreprise peuvent avoir un impact sur la cybersécurité, par exemple en modifiant les politiques de sécurité, en posant des problèmes d'intégration de l'infrastructure ou en exposant les entités acquises à de nouveaux risques.
Pannes de système et temps d'arrêt
Les pannes de système inattendues ou les temps d'arrêt peuvent être des indicateurs de compromission, tels que les attaques par déni de service (DDoS), les incidents de ransomware ou les pannes d'infrastructure. Surveiller la disponibilité et les performances des systèmes et se tenir au courant des pannes critiques permet d'identifier et d'atténuer les cybermenaces potentielles qui pèsent sur les services et les infrastructures essentiels.
Violations de la réglementation
Les violations de la réglementation, telles que le non-respect des lois sur la protection des données ou des normes industrielles, peuvent indiquer un manque d'engagement envers les meilleures pratiques en matière de sécurité et de protection de la vie privée. La non-conformité peut entraîner des amendes, des sanctions juridiques et une perte de confiance de la part des clients qui comptent sur le fournisseur pour traiter leurs données sensibles en toute sécurité.
Réponse aux incidents
Les nouvelles négatives concernant les incidents de sécurité peuvent mettre en évidence la manière dont le fournisseur traite les incidents de sécurité, notamment par des réponses tardives ou inadéquates, et susciter des inquiétudes quant à sa capacité à détecter efficacement les cybermenaces, à en atténuer les effets et à s'en remettre. Une réponse mal exécutée peut exacerber l'impact des incidents de sécurité et éroder la confiance dans la capacité du fournisseur à protéger les données de ses clients.
Violations de données
Il arrive que les médias mettent en lumière des incidents avant qu'une entreprise n'ait officiellement révélé qu'une violation de données s'est produite. Cela peut permettre à une équipe de contacter de manière proactive les vendeurs et/ou les fournisseurs directement touchés ou susceptibles d'être touchés par une attaque de la chaîne d'approvisionnement en logiciels.
Participation à des activités de cyberespionnage ou de piratage informatique à l'initiative d'un État
S'il s'avère qu'un fournisseur est associé à des activités de cyberespionnage ou de piratage parrainé par un État, ou qu'il est sanctionné pour ce type d'activités, cela peut indiquer des risques importants pour la sécurité. De telles actions peuvent compromettre la confidentialité, l'intégrité et la disponibilité des données et des systèmes, ce qui constitue une menace pour les clients et les partenaires du fournisseur.
Sanctions
Les nouvelles négatives liées à des violations des contrôles à l'exportation ou des réglementations sur le transfert de technologie indiquent des faiblesses potentielles dans les pratiques de conformité et de gestion des risques du vendeur. Ces violations peuvent impliquer le transfert non autorisé de technologies sensibles ou de propriété intellectuelle à des entreprises ou des individus sanctionnés, ouvrant la porte à des failles de sécurité et à des sanctions réglementaires. Les listes de sanctions les plus courantes sont celles tenues par l'Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis et la liste des sanctions du Royaume-Uni.
Propriétaire d'entreprise ultime
Si le fournisseur entretient des relations d'affaires ou des partenariats avec des entités connues pour leur participation à des activités cybernétiques malveillantes ou pour leur soutien à des cyberadversaires, il y a lieu de s'inquiéter des risques de sécurité associés à ces liens. Ces liens peuvent exposer le fournisseur et ses clients à l'espionnage, au sabotage ou à d'autres cybermenaces. La liste des ressortissants spécialement désignés (SDN) et des personnes bloquées, publiée par le département du Trésor des États-Unis, contient une liste de personnes et d'entreprises détenues ou contrôlées par des pays ciblés, ou agissant pour le compte ou au nom de ces pays.
Cibles des cyberattaques
Les personnes politiquement exposées (PPE) sont souvent des cibles de premier plan pour les cyberattaques en raison de leur accès à des informations sensibles et de leur capacité à influencer les décisions politiques ou économiques. Les cybercriminels peuvent cibler les PPE par des attaques de phishing, des campagnes de logiciels malveillants ou d'autres tactiques visant à obtenir un accès non autorisé à leurs systèmes, à voler des données sensibles ou à compromettre leurs communications. Plusieurs agences gouvernementales, organismes de réglementation et bibliothèques d'information telles que la FFIEC et LexisNexis tiennent à jour des listes de PPE pour contrer ce type d'activité.
Évolution géopolitique et instabilité politique
Le suivi des tensions géopolitiques, des conflits internationaux, des différends commerciaux et de l'instabilité politique aide les organisations à évaluer les risques géopolitiques, la volatilité des marchés et les changements réglementaires susceptibles d'avoir une incidence sur les opérations, les chaînes d'approvisionnement et les stratégies d'investissement à l'échelle mondiale. Les événements géopolitiques peuvent également accroître les risques en matière de cybersécurité, tels que les cyberattaques ou les activités d'espionnage soutenues par des États.
Comment intégrer les connaissances cybernétiques et commerciales dans la gestion des risques liés aux tiers ?
Vous pouvez surveiller ces sujets d'actualité à l'aide d'une myriade d'outils différents et de flux d'informations décousus, mais les méthodes manuelles de ce type ne permettront pas à votre équipe d'établir une corrélation entre les informations et les exploits réels dans la nature. Seule une approche automatisée qui centralise, normalise, corrèle et analyse les informations provenant d'évaluations des risques internes et de multiples sources de surveillance externes fournira ces informations.
La plateforme de gestion des risques des tiers Prevalent peut vous aider. En plus des renseignements sur les cybermenaces, la plateforme Prevalent intègre des informations telles que :
- Couverture médiatique négative de 30 000 sources mondiales
- Sanctions réglementaires et juridiques mondiales provenant de plus de 1 000 listes d'application de la loi et de dossiers judiciaires.
- Entreprises d'État et entreprises liées à l'État
- Base de données mondiale des PPE contenant plus de 1,8 million de profils de personnes politiquement exposées, y compris leur famille et leurs associés
- Des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations opérationnelles, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les changements de direction et de leadership, les nouvelles concurrentielles, les nouvelles offres, les mises à jour opérationnelles, et plus encore.
- Un réseau mondial de millions d'entreprises dans plus de 160 pays qui comprend 5 années de données sur les performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, les cotes de crédit, l'historique des paiements, les faillites, les investissements, et plus encore.
- Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde, y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications de violation de données en temps réel.
Le suivi des nouvelles négatives permet aux professionnels de la cybersécurité de rester informés des risques potentiels liés à la sécurité des fournisseurs, de déclencher des vérifications préalables supplémentaires, d'avoir une meilleure visibilité sur les problèmes de conformité potentiels, de gérer les risques de réputation et d'améliorer la planification de la réponse aux incidents. Une approche proactive et complète de la surveillance des risques liés aux tiers - y compris les facteurs cybernétiques, commerciaux, financiers et de réputation - renforce la posture de sécurité des organisations et réduit l'impact des incidents provenant de fournisseurs tiers.
Pour en savoir plus sur la façon dont Prevalent peut aider à unifier la surveillance des informations cybernétiques, commerciales, financières et de réputation et à établir une corrélation avec les résultats de l'évaluation, demandez une démonstration dès aujourd'hui.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
