Si vous recherchez « violations de données tierces » sur Google, vous trouverez de nombreux rapports récents de violations de données qui ont été causées par une attaque contre un tiers ou des informations sensibles stockées dans un emplacement tiers ont été exposées. Les violations de données de tiers ne font pas de distinction par secteur, car presque toutes les entreprises opèrent avec une sorte de relation avec un fournisseur – qu’il s’agisse d’un partenaire commercial, d’un entrepreneur ou d’un revendeur, ou de l’utilisation d’un logiciel ou d’une plate-forme informatique, ou d’un autre fournisseur de services. Les organisations partagent désormais des données avec une moyenne de 730 fournisseurs tiers, selon un rapport d’Osanoet avec l’accélération de la transformation numérique, ce nombre ne fera qu’augmenter.
L’importance de la gestion des risques liés aux tiers
Avec de plus en plus d’organisations partageant des données avec davantage de fournisseurs tiers, il n’est pas surprenant que plus de 50 % des incidents de sécurité au cours des deux dernières années proviennent d’un tiers disposant de privilèges d’accès, selon un Rapport de la CyberRisk Alliance.
Malheureusement, alors que la plupart des équipes de sécurité conviennent que la visibilité de la chaîne d’approvisionnement est une priorité, le même rapport note que seulement 41 % des organisations ont une visibilité sur leurs fournisseurs les plus critiques et seulement 23 % ont une visibilité sur l’ensemble de leur écosystème tiers.
Les raisons du manque d’investissement dans la gestion des risques tiers (TPRM) sont les mêmes que celles que nous entendons constamment : manque de temps, d’argent et de ressources, et c’est un besoin commercial de travailler avec le fournisseur. Alors, comment pouvons-nous faciliter le dépassement des obstacles à la gestion du cyber-risque tiers ? Automatisation.
Les avantages de l’automatisation
L’automatisation permet aux organisations de faire plus avec moins. Du point de vue de la sécurité, voici quelques-uns des avantages que l’automatisation offre, comme mise en valeur par Graphus:
- 76 % des cadres informatiques dans une enquête sur la cybersécurité a déclaré que l’automatisation maximise l’efficacité du personnel de sécurité.
- L’automatisation de la sécurité peut économisez plus de 80% sur le coût de la sécurité manuelle.
- 42% des entreprises ont cité l’automatisation de la sécurité comme un facteur majeur dans leur réussite à améliorer leur position en matière de cybersécurité.
En ce qui concerne la TPRM, l’automatisation peut transformer votre programme en :
Étape 1 – Évaluez vos fournisseurs avec la gestion continue de l’exposition aux menaces (CTEM)
Les évaluations continues de l’exposition aux menaces comprennent des évaluations complètes qui intègrent les éléments suivants :
- Découverte automatisée des ressources
- Évaluations externes de l’infrastructure/du réseau
- Évaluation de la sécurité des applications Web
- Analyse éclairée par les renseignements sur les menaces
- Découvertes du dark web
- Cote de sécurité plus précise
Il s’agit d’une analyse plus complète des tiers par rapport au simple envoi de questionnaires. Un processus de questionnaire manuel peut prendre entre 8 et 40 heures par fournisseur, à condition que le fournisseur réponde rapidement et avec précision. Mais cette approche ne permet pas de voir les vulnérabilités ou de valider l’efficacité des contrôles requis dans un questionnaire.
L’incorporation d’une capacité d’évaluation automatisée de l’exposition aux menaces et son intégration avec des questionnaires peuvent réduire le temps d’examen des fournisseurs, et nous avons constaté que la combinaison peut réduire le temps d’évaluation et d’intégration de nouveaux fournisseurs de 33 %.
Étape 2 – Utilisez un échange de questionnaires
Les organisations qui gèrent de nombreux questionnaires, ou les fournisseurs qui répondent à de nombreux questionnaires, devraient envisager d’utiliser un échange de questionnaires. En termes simples, il s’agit d’un référentiel hébergé de questionnaires standard ou personnalisés remplis qui peuvent être partagés avec d’autres parties intéressées après approbation.
Si vous sélectionnez une plate-forme qui effectue l’automatisation décrite ci-dessus, les deux parties bénéficient d’une approche vérifiée et automatisée des questionnaires les plus récents qui sont automatiquement validés par des évaluations continues. Encore une fois, cela peut faire gagner du temps à votre équipe en demandant l’accès aux questionnaires existants ou en réduisant leur temps dans la réponse d’un nouveau questionnaire qui peut être réutilisé sur demande.
Étape 3 – Combinez en permanence les résultats de l’exposition aux menaces avec l’échange de questionnaires
Les cotes de sécurité seules ne fonctionnent pas. Utiliser uniquement des questionnaires pour évaluer des tiers ne fonctionne pas. La gestion de l’exposition aux menaces, qui intègre des cotes de sécurité précises issues des évaluations directes, combinées à des questionnaires validés – où le questionnaire interroge l’évaluation et met à jour la cote de sécurité – vous offre une solution puissante pour une gestion continue des risques liés aux tiers. Les plates-formes qui utilisent des évaluations actives et passives, et ne s’appuient pas uniquement sur les données OSINT historiques, offrent la visibilité de la surface d’attaque la plus précise – puisqu’il s’agit d’un tiers à ce moment-là.
Ces informations peuvent être exploitées pour valider automatiquement les contrôles applicables dans le questionnaire pour les exigences du cadre de sécurité et de conformité et signaler toute divergence entre la réponse du client et le résultat de l’évaluation technologique. Cela donne aux organisations une véritable approche de « confiance mais vérification » vis-à-vis des avis de tiers. Comme cela peut être fait rapidement, vous pouvez être averti lorsque des tiers deviennent non conformes à des contrôles techniques spécifiques.
Les organisations qui cherchent à maximiser l’efficacité de leur programme tiers de gestion des risques cybernétiques devraient envisager d’ajouter une automatisation à leurs processus. Dans des environnements macro-économiques plus difficiles, les entreprises peuvent se tourner vers l’automatisation pour réduire le travail de leur équipe, tout en réalisant des progrès et des résultats, en échange de la possibilité pour les membres de l’équipe de se concentrer sur d’autres initiatives.
Note: Victor Gamra, CISSP, ancien CISO, a rédigé et fourni cet article. Il est également fondateur et PDG de FortifyData, une société de gestion continue de l’exposition aux menaces (CTEM) leader du secteur. FortifyData permet aux entreprises de gérer les cyber-risques au niveau organisationnel en intégrant des évaluations automatisées de la surface d’attaque, la classification des actifs, la gestion des vulnérabilités basée sur les risques, les cotes de sécurité et gestion des risques tiers en une plateforme tout-en-un de gestion des cyber-risques. Pour en savoir plus, veuillez visiter www.fortifydata.com.