vendredi, 29 mars 2024

Le côté obscur de l’externalisation : comment arrêter la vague d’attaques contre la chaîne d’approvisionnement

C’est une circonstance très familière. Une entreprise réputée fournissant un service en ligne populaire révèle qu’elle a été victime d’une violation de données. Les cyberattaquants ont en fait volé les noms de clients, les numéros de téléphone et les données de carte de paiement, et peu de choses peuvent être faites pour remédier à la situation.

Des entreprises de premier plan telles que DoorDash, Plex et LastPass ont toutes récemment été victimes. des attaques de tiers sur la chaîne d’approvisionnement, mais ils ne sont certainement pas les seuls. Selon « Treading Water : The State of Cybersecurity and Third-Party Remote Access Risk » – un rapport de plus de 600 experts américains en sécurité dans 5 secteurs publié par le Poneman Institute – les attaques de tiers sont passées de 44 % à 49 % depuis l’année dernière.

La variété réelle des attaques est probablement plus grande, car seulement 39 % des personnes interrogées ont déclaré être convaincues qu’un partenaire tiers les alerterait d’une violation . Pour arrêter la vague de telles attaques, nous devons examiner de près les conditions du marché et les facteurs culturels à l’origine de ces tendances et pourquoi de nombreuses entreprises arrêtent de travailler pour mettre en œuvre des solutions contemporaines pour surmonter l’obstacle.

Piratage paradis : amélioration numérique rapide et externalisation

Qu’est-ce qui se cache derrière cette augmentation des attaques sur la chaîne d’approvisionnement ? En 2 mots : Modification culturelle. De nombreux marchés qui fonctionnaient auparavant hors ligne arrivent à maturité dans l’ère numérique avec l’aide des innovations SaaS et cloud, un schéma qui s’est en fait accéléré en raison de la pandémie et du passage au travail à distance. Alors que les entreprises se précipitent pour améliorer leurs systèmes, les attaquants destructeurs voient des cibles parfaites.

Ajoutez à cela une autre tendance du marché : l’externalisation. Une vingtaine d’années plus tôt, il était inconnu pour les organisations d’externaliser le contrôle d’un service de base, mais à mesure que les industries traversent la transformation numérique et gèrent simultanément les pénuries de main-d’œuvre, en partie grâce à la grande démission, il est encore plus courant de s’appuyer sur fournisseurs et fournisseurs tiers.

Bien que le transfert vers l’utilisation de tiers pour l’efficacité et l’efficience et l’exploitation de l’innovation cloud pour fournir une nouvelle valeur convaincante au marché reste en soi des décisions ou des développements acceptables, mais il implique que la surface d’attaque des pirates malveillants augmente de manière presque exponentielle.

Aujourd’hui, les spécialistes informatiques chargés de résoudre les failles tierces ressentent la pression. Les entreprises improvisent avec différents degrés de succès, produisant dans certains cas plus de vulnérabilités tout en essayant d’en corriger d’autres. Malgré d’excellentes intentions, de nombreuses organisations n’ont en fait fait aucun progrès en matière de sécurité tierce ces dernières années, et elles en paient le prix fort.

Les failles de cybersécurité laissent un énorme préjudice financier : plus de 9 millions de dollars pour réparer les dommages, selon le rapport Poneman. La plupart des entreprises se sont endormies au volant en ce qui concerne les menaces de la chaîne d’approvisionnement de tiers.

L’espoir n’est pas une stratégie : ne pas s’occuper des risques de sécurité de tiers

Les services informatiques traitent avec la nécessité de méthodes de sécurité plus complexes pour faire face aux menaces tierces, mais de nombreuses entreprises n’ont pas acheté les outils ou les employés nécessaires pour protéger l’accès à distance et les identités tierces.

Selon l’étude Poneman, la majorité des organisations investissent environ 20 % de leur budget dans la cybersécurité, mais 35 % citent toujours le plan budgétaire comme un obstacle à une sécurité renforcée. Les entreprises résistent également à l’achat des services technologiques idéaux. 64 % des entreprises s’appuient encore sur des traitements de suivi manuels, qui coûtent en moyenne 7 heures par semaine pour surveiller l’accès des tiers.

48 % des personnes interrogées dans l’étude Poneman manquent également des employés compétents nécessaires pour prendre en charge les solutions technologiques. Il existe une corrélation apparente entre le nombre de membres qualifiés de l’équipe d’une entreprise et sa posture de sécurité. Pour réussir, vous avez besoin à la fois de l’innovation idéale et des travailleurs pour l’utiliser avec succès.

L’espoir et la confiance aveugle ne sont pas des méthodes

Parallèlement aux retards d’investissement, les programmes de cybersécurité de nombreuses entreprises ont effectivement pris du retard. Aucune mesure appropriée n’est prise pour sécuriser l’accès à distance, ce qui entraîne un trop grand nombre de tiers accédant aux réseaux internes sans aucune surveillance.

70 % des entreprises interrogées ont déclaré qu’une violation de la part d’un tiers provenait d’un accès trop important à. La moitié d’entre eux ne surveillent pas du tout l’accès, même pour les données sensibles et personnelles, et seulement 36 % des fichiers sont accessibles par toutes les parties. Ils adoptent simplement une méthode « en espérant que cela n’aura pas lieu », en s’appuyant sur des accords avec des vendeurs et des fournisseurs pour gérer les risques. La majorité des organisations déclarent faire confiance à des tiers avec leurs informations sur la seule base de la crédibilité de l’entreprise.

L’espoir et la confiance aveugle ne sont pas des techniques. De nombreuses mauvaises stars jouent un long match. Même si les fournisseurs ne cassent pas vos systèmes maintenant, cela ne signifie pas que les pirates ne sont pas associés à des activités nuisibles non détectées, recueillant des informations et étudiant les flux de travail pour une date ultérieure.

Toutes les entreprises n’ont pas négligé les risques. L’industrie de la santé est devenue un chef de file dans la résolution des problèmes de sécurité des tiers en raison de l’obligation de se conformer aux audits des organismes de réglementation. Malheureusement, le processus d’audit qui a pris naissance dans les soins de santé et qui a été adopté par d’autres marchés n’a en fait pas abouti à une amélioration généralisée.

Confrontés à la difficulté constante de résoudre les failles de sécurité tierces ou à l’objectif plus réalisable de réussir les audits, de nombreux services informatiques se concentrent sur le simple gain. Ils restent une action derrière les pirates, essayant de ranger après les violations plutôt que de les empêcher.

Du rattrapage à la tête du peloton : cinq actions tactiques pour éviter les menaces de tiers

Quoi qu’il en soit du pronostic inquiétant, il y a une excellente nouvelle. Il existe des méthodes pour atténuer les dommages causés par les attaques de tiers et commencer à les éviter. Reconnaître la nécessité d’une bonne gestion est la première étape. Plutôt que d’espérer le meilleur, les entreprises doivent s’engager dans des recherches et des investissements considérables dans les outils et les ressources. Ils peuvent commencer par exécuter certaines étapes tactiques standard pour prévenir les risques de la chaîne d’approvisionnement.

  • Faites l’inventaire de tous les tiers ayant accès aux réseaux. Définissez et classez les niveaux de risque jusqu’aux détails délicats et exigez l’enregistrement de tous les accès au réseau. Aujourd’hui, la moitié de toutes les entreprises ont une exposition insuffisante des personnes et des procédures de service, ce qui suggère que les organisations ne comprennent pas le niveau d’accès et les approbations au sein d’un système donné. Une règle fondamentale de sécurité est que vous ne pouvez pas protéger ce que vous ne comprenez pas.
  • Équipé de la connaissance de qui a accès à quelles informations, examinez les autorisations, puis provisionnez et déprovisionnez ce qui est nécessaire. Modifiez l’accès ouvert avec des contrôles d’accès sans confiance et des traitements de surveillance stricts. Réduisez la complexité des installations et améliorez la gouvernance interne.
  • Lorsque vous faites des choix difficiles pour donner accès à, pensez à la fois au risque et à la valeur apportée par chaque fournisseur et chaque fournisseur. Concentrez-vous sur la sécurisation de l’accès pour vos fournisseurs essentiels, en vous frayant un chemin jusqu’à des tiers moins importants.
  • Sachez que lorsque vous restreignez l’accès aux fournisseurs et aux fournisseurs, il peut y avoir un certain recul car ils ont initialement l’impression qu’ils ne le sont pas compté sur autant qu’ils l’étaient autrefois. S’assurer que les fournisseurs critiques se sentent appréciés tout en modifiant le statu quo peut être une sorte de danse ou de règlement. Les célébrations peuvent être rendues essentielles du point de vue de l’organisation, même si des procédures de sécurité plus strictes sont maintenues.
  • Il est essentiel de découvrir les ressources et les employés pour effectuer ces changements. Certaines entreprises peuvent choisir de réaffecter l’informatique aux salaires du plan de dépenses pour les nouvelles recrues. Si vous commencez par la base, affectez quelqu’un pour superviser la gestion des tiers, en donnant à cette personne le pouvoir de mettre en œuvre un programme de gestion des risques d’accès des tiers.

Quelle que soit l’action qu’une entreprise choisit de prendre , il est essentiel de commencer le plus tôt possible. Les entreprises peuvent s’attendre à attendre de nombreux mois à un an avant de commencer à voir des résultats mesurables. Avec un investissement en temps, en énergie et en ressources, il n’est pas trop tard. Les organisations intelligentes et proactives peuvent transformer des connexions risquées avec des tiers en relations saines et sûres avec des fournisseurs et des prestataires de confiance. Ils peuvent arrêter de rattraper leur retard et commencer à mener le peloton.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici