Gestion des risques liés à la cybersécurité par les tiers : un petit guide pour 2024

Fond bleu dégradé. Il y a un ovale orange clair avec le texte blanc « BLOG » à l'intérieur. En dessous se trouve le texte blanc : « Gestion des risques de cybersécurité par des tiers : un petit guide pour 2024 ». Il y a un texte blanc en dessous qui dit « En savoir plus » avec une flèche orange clair pointant vers le bas.

Les tiers constituent une partie importante de votre entreprise étendue. Ce sont vos vendeurs, vos partenaires et vos fournisseurs. Ils fournissent certains des services les plus critiques de votre entreprise : facturation, stockage de données ou ventes. Malheureusement, les vendeurs et les fournisseurs s'exposent également à des risques importants en matière de cybersécurité liés aux tiers.

Début janvier, Gartner a désigné la gestion des risques de cybersécurité par des tiers (TPCRM) comme une tendance majeure pour 2024. Cette année, on s'attend à ce que les équipes de sécurité mettent en œuvre de nouvelles techniques de gestion des risques de cybersécurité par des tiers afin d'adopter des mesures de gestion des risques plus proactives.

Quelle est la probabilité d’une violation liée à un tiers ?

Ces dernières années, les tiers sont devenus des cibles de plus en plus attractives pour les acteurs malveillants. Les raisons de cette popularité indésirable sont simples : les fournisseurs ont accès aux données et aux systèmes de leurs clients, et de nombreux tiers font affaire avec plusieurs entreprises. Si un criminel parvient à compromettre un fournisseur, il peut accéder à beaucoup plus de données pour une fraction du travail qu'il faudrait pour attaquer chaque entreprise séparément. Le fait que les attaques de tiers soient en augmentation montre que de nombreux criminels ont fait ce calcul eux-mêmes. 

De nombreuses organisations ont déjà été confrontées à des violations et à des attaques de tiers. Selon l'ITRC, les violations de la chaîne d’approvisionnement ont atteint un niveau record en 2023, y compris l’une des plus grandes violations jamais enregistrées par des tiers. Sur 3205 242 violations l'année dernière, 2769 étaient liées à des tiers, affectant 54 2023 organisations et 102 millions de victimes individuelles. Les violations de 1,271 comprenaient une attaque à grande échelle contre un tiers ; une attaque contre le logiciel de transfert de fichiers MOVEit a directement touché XNUMX organisations. Cependant, la violation de données a indirectement touché beaucoup plus d’entités ; XNUMX XNUMX organisations ont été indirectement touchées lorsque les informations stockées dans ou accessibles par un produit ou service MOVEit ont été compromises par leurs propres fournisseurs. 

Avec autant d'attaques, il n'est pas surprenant qu'autant d'équipes de sécurité aient déjà fait face à des attaques contre la chaîne d'approvisionnement ; une enquête Gartner menée à l’été 2023 a révélé que 45 % de tous les répondants ont déjà été confrontés à des compromissions liées à des tiers. 

En plus d’être courantes, les ruptures du côté de l’offre ont également tendance à avoir un impact plus important que d’autres types de succursales. Parce qu’ils sont plus difficiles à détecter, par exemple, ils ont tendance à durer plus longtemps et à coûter plus cher. Selon un rapport d'IBM et du Ponemon Institute, Les compromissions tierces coûtent en moyenne 12 % de plus qu'une violation classique, et prennent également 13 % plus de temps à trouver et à contenir. 

Nouvelles approches du risque tiers 

Jusqu'à récemment, les entreprises se concentraient sur la diligence raisonnable comme moyen de gérer les risques liés aux tiers : de longs questionnaires, des certifications exigeantes et une collaboration avec les fournisseurs pour confirmer les contrôles de sécurité faisaient tous partie des programmes de gestion des cyber-risques. 

L'enquête de Gartner a révélé que 65 % des responsables de la sécurité ont augmenté leurs budgets de gestion des risques liés aux tiers et 76 % consacrent plus de temps aux initiatives de gestion des risques liés à la cybersécurité liés aux tiers qu'il y a deux ans. Cependant, le temps et l'argent supplémentaires n'ont pas eu l'effet escompté ; 45 % des personnes interrogées ont constaté une augmentation des perturbations dues à des incidents liés à des tiers. 

C’est pour cette raison que les responsables de la sécurité se tournent vers de nouvelles façons de gérer les risques liés aux tiers, en mettant davantage l’accent sur une approche TPCRM axée sur la résilience et économe en ressources.

À quoi ressemble cette nouvelle approche de la gestion pour compte de tiers ? 

  1. Collaboratif: Les entreprises considèrent de plus en plus les tiers comme leurs alliés plutôt que comme des risques à contenir. Il y a des avantages à s'associer avec des fournisseurs clés pour créer des contrôles de sécurité qui fonctionnent pour tout le monde. L'établissement de relations solides avec les fournisseurs signifie également une plus grande transparence et une meilleure collaboration en cas de violation. 
  2. Aligné sur les objectifs commerciaux : Un TPCRM efficace commence au sommet. Sans champions au sein de la C-Suite, il est impossible de créer un programme capable de protéger de manière globale vos données et vos systèmes. Cela signifie également que les chefs d’entreprise doivent être clairement informés des risques associés aux relations commerciales avec un tiers. En impliquant les dirigeants de l'entreprise dans la gestion des risques liés aux tiers, les responsables de la sécurité sont en mesure de lier la gestion des risques aux objectifs commerciaux et de prendre plus rapidement de meilleures décisions basées sur les risques. Il est important de suivre efficacement toutes les décisions liées à tous les tiers avec lesquels votre organisation fait affaire, afin que les équipes de cybersécurité puissent ajuster les contrôles pour les fournisseurs particulièrement risqués.
  3. Cohérent: Disposer d'un ensemble cohérent de politiques et de processus au sein de votre organisation est essentiel pour un programme TPCRM solide. Par exemple, la création d'un processus de départ clair pour les fournisseurs afin de garantir que les autorisations sont révoquées et que les données sont détruites peut aider tous les départements à limiter les risques liés aux partenaires et fournisseurs précédents.
  4. Efficace: Depuis longtemps, les entreprises tentent de maîtriser le risque tiers en créant des questionnaires de plus en plus longs et complexes. Cela n'était pas efficace pour les vendeurs (qui devaient les remplir) ni pour les entreprises (qui devaient examiner les réponses). Dernièrement, les responsables de la sécurité abandonnent les longs questionnaires et choisissent plutôt d'utiliser des questionnaires standard, tels que le questionnaire standardisé de collecte d'informations (SIG). Cette approche canalise l'énergie qui aurait pu être consacrée à la diligence raisonnable vers des activités à plus forte valeur ajoutée, telles que la planification de la réponse aux incidents et l'amélioration des contrôles. 
  5. Adapté à chaque fournisseur : Plutôt que de s'appuyer uniquement sur la diligence raisonnable, il est recommandé aux responsables de la sécurité de créer des documents basés sur des scénarios, en utilisant des manuels de jeu et des exercices sur table spécifiques au fournisseur pour planifier d'éventuelles violations. Les équipes de sécurité devraient également travailler avec des fournisseurs moins matures pour améliorer leurs contrôles de sécurité. 
  6. Automate Your Threat Exposure Management

    Integrate the world’s easiest to use and most comprehensive cybercrime database into your security program in 30 minutes.

À quoi ressemble cette nouvelle approche de la gestion pour compte de tiers ? 

  1. Collaboratif: Les entreprises considèrent de plus en plus les tiers comme leurs alliés plutôt que comme des risques à contenir. Il y a des avantages à s'associer avec des fournisseurs clés pour créer des contrôles de sécurité qui fonctionnent pour tout le monde. L'établissement de relations solides avec les fournisseurs signifie également une plus grande transparence et une meilleure collaboration en cas de violation. 
  2. Aligné sur les objectifs commerciaux : Un TPCRM efficace commence au sommet. Sans champions au sein de la C-Suite, il est impossible de créer un programme capable de protéger de manière globale vos données et vos systèmes. Cela signifie également que les chefs d’entreprise doivent être clairement informés des risques associés aux relations commerciales avec un tiers. En impliquant les dirigeants de l'entreprise dans la gestion des risques liés aux tiers, les responsables de la sécurité sont en mesure de lier la gestion des risques aux objectifs commerciaux et de prendre plus rapidement de meilleures décisions basées sur les risques. Il est important de suivre efficacement toutes les décisions liées à tous les tiers avec lesquels votre organisation fait affaire, afin que les équipes de cybersécurité puissent ajuster les contrôles pour les fournisseurs particulièrement risqués.
  3. Cohérent: Disposer d'un ensemble cohérent de politiques et de processus au sein de votre organisation est essentiel pour un programme TPCRM solide. Par exemple, la création d'un processus de départ clair pour les fournisseurs afin de garantir que les autorisations sont révoquées et que les données sont détruites peut aider tous les départements à limiter les risques liés aux partenaires et fournisseurs précédents.
  4. Efficace: Depuis longtemps, les entreprises tentent de maîtriser le risque tiers en créant des questionnaires de plus en plus longs et complexes. Cela n'était pas efficace pour les vendeurs (qui devaient les remplir) ni pour les entreprises (qui devaient examiner les réponses). Dernièrement, les équipes de sécurité abandonnent les longs questionnaires et choisissent plutôt d'utiliser des questionnaires standard, tels que le questionnaire standardisé de collecte d'informations (SIG). Cette approche canalise l'énergie qui aurait pu être consacrée à la diligence raisonnable vers des activités à plus forte valeur ajoutée, telles que la planification de la réponse aux incidents et l'amélioration des contrôles. 
  5. Adapté à chaque fournisseur : Plutôt que de s'appuyer uniquement sur la diligence raisonnable, il est recommandé aux responsables de la sécurité de créer des documents basés sur des scénarios, en utilisant des manuels de jeu et des exercices sur table spécifiques au fournisseur pour planifier d'éventuelles violations. Les équipes de sécurité devraient également travailler avec des fournisseurs moins matures pour améliorer leurs contrôles de sécurité.

Gestion des cyber-risques tiers avec Flare

La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement le Clear & Dark Web et les canaux Telegram illicites 24h/7 et XNUMXj/XNUMX pour découvrir des événements inconnus, hiérarchiser les risques et fournir des informations exploitables sur la surface d'attaque étendue de votre organisation, que vous pouvez utiliser instantanément pour améliorer la sécurité. Utilisez ces informations exploitables pour travailler avec vos partenaires/fournisseurs/vendeurs tiers afin d’améliorer leurs contrôles de sécurité.

With Flare Supply Chain Ransomware Exposure Monitoring, gain unique visibility and proactive security across your extended supply chain to efficiently mitigate threat exposures that exist within ransomware data leaks. Learn more by signing up for our essai gratuit.

Partagez cet article

Contenu similaire