Crédit : Dreamstime
HackerOne, un fournisseur de plate-forme de primes de bogues, a fourni un plan pour augmenter dans un rapport publié jeudi.
Les organisations inspectent progressivement les pratiques de leurs fournisseurs, fondent leurs décisions d’approvisionnement sur des informations d’identification de sécurité et changent de fournisseur si l’entreprise doit avoir effectivement connu un événement de sécurité, le rapport a gardé à l’esprit. Démontrer les meilleures pratiques sécurisées est désormais un différenciateur concurrentiel.
Pour démontrer qu’une entreprise s’en tient aux meilleures pratiques, le rapport recommande qu’elle se consacre aux 4 locataires de l’obligation de sécurité des entreprises : ouverture, collaboration, innovation et distinction.
Méfiance entre les organisations et les chercheurs tiers
Selon les données d’une enquête recueillies pour le rapport auprès de 800 responsables de la sécurité, 64 % entretiennent une culture de la sécurité dans l’obscurité. Ne pas admettre les faiblesses et demander de l’aide pour les corriger peut causer des dommages importants à un nom de marque si une vulnérabilité « truquée » est utilisée, le rapport discuté.
Pour créer une plus grande transparence, le rapport conseille de construire une culture d’ouverture, d’empêcher d’attribuer le blâme lorsque des incidents se produisent, de fournir aux chercheurs tiers un processus clair pour signaler les vulnérabilités et d’adopter une approche ouverte envers les parties prenantes en cas de violation.
Le rapport a également révélé beaucoup de choses d’interrogation entre les organisations et les scientifiques tiers. Soixante-sept pour cent ont déclaré qu’ils préféraient accepter les vulnérabilités logicielles plutôt que de traiter avec des pirates, tandis que 50 % des pirates ont admis qu’ils n’avaient pas révélé de bogue en raison d’une expérience négative antérieure ou de l’absence de canal pour le signaler.
Un manque de confiance fait de chacun un cyber-ennemi potentiel, selon le rapport. Pour éviter cela et promouvoir la coopération, HackerOne a suggéré de motiver les tiers à signaler les vulnérabilités, de mettre en place des sessions régulières d’instructions de sécurité avec les responsables de l’entreprise et de traduire le risque de sécurité en risque pour l’entreprise.
Le meilleur de la cybersécurité des fournisseurs des pratiques aussi importantes que les dépenses
Une critique courante de la sécurité est qu’elle ralentit le développement en augmentant le temps nécessaire aux équipes d’avancement pour produire une application logicielle. Cela n’a pas besoin d’être vrai, selon le rapport. Le dépistage précoce et les tests continus tout au long du cycle de vie de l’avancement sont des moyens d’éviter les problèmes de sécurité. « Les équipes de sécurité doivent aider au développement, et non l’entraver », indique le rapport.
Pour minimiser les frictions entre les équipes de sécurité et les concepteurs, le rapport conseille d’impliquer les groupes d’avancement dans la procédure de sécurité, en récompensant les développeurs pour avoir corrigé la sécurité. et organiser des sessions de sensibilisation à la cybersécurité dans toute l’organisation.
Les bonnes pratiques en matière de cybersécurité peuvent être un facteur de différenciation important pour une entreprise et un facteur essentiel à prendre en compte lors de la sélection des fournisseurs, selon le rapport. Soixante-trois pour cent des organisations ont informé les chercheurs de HackerOne que les meilleures pratiques en matière de cybersécurité sont aussi importantes que le coût lorsqu’elles choisissent un fournisseur, et 62 % ont déclaré qu’elles emmèneraient leur organisation ailleurs si un fournisseur subissait une violation de données. Cinquante-trois pour cent des organisations ont avoué avoir perdu des clients à la suite d’une violation d’informations.
Le rapport recommandait que des contrôles de sécurité rigoureux soient effectués sur les fournisseurs, consistant en des preuves de conformité aux lois sur la vie privée, un un audit tiers d’un cadre de sécurité, des tests d’intrusion, une authentification multifacteur, une politique de divulgation des vulnérabilités et une authentification unique. Il est également recommandé de suivre les normes minimales viables de produit sécurisé de Google.
» [ T]il n’y a pas de méthode infaillible pour prouver vos qualifications en matière de sécurité ou pour comprendre si l’un de vos fournisseurs pourrait être la prochaine victime d’une violation de données, » note le rapport. « Motiver votre organisation et votre chaîne d’approvisionnement à se consacrer aux principes de l’obligation de sécurité commerciale renforcera la confiance dans la marque et distinguera votre organisation comme celle qui montre son engagement actif envers la sécurité. «
Toute l’actualité en temps réel, est sur L’Entrepreneur
