Le paysage actuel de la cybersécurité nécessite une stratégie de gestion des risques agile et basée sur les données pour faire face à la surface d’attaque tierce en constante expansion.
Lorsqu’une entreprise externalise des services en partageant des données et un accès au réseau, elle hérite du cyber-risque de ses fournisseurs à travers leurs employés, leurs processus, leur technologie et les tiers de ce fournisseur. L’entreprise typique travaille avec en moyenne près de 5 900 tiers, ce qui signifie que les entreprises sont confrontées à une énorme quantité de risques, quelle que soit la couverture de leurs propres bases.
Par exemple, 81 incidents individuels de tiers ont conduit à plus de 200 violations divulguées publiquement et à des milliers de violations à effet d’entraînement tout au long de 2021, selon un rapport de Black Kite.
L’approche actuelle de l’extérieur vers l’intérieur pour gérer le risque lié aux tiers est inadéquate. Au lieu de cela, l’industrie doit évoluer vers une nouvelle approche de gestion des risques par des tiers en lançant des conversations au-delà des évaluations de l’extérieur vers l’intérieur. Plus précisément, les entreprises doivent établir des principes de confiance zéro pour tous les fournisseurs, évaluer les risques sur les actifs externes et internes avec des évaluations de l’intérieur vers l’extérieur et mesurer le cyber-risque en temps réel.
Le principe de confiance zéro « Ne jamais faire confiance, toujours vérifier » a été largement adopté pour gérer les environnements internes, et les organisations devraient étendre cette notion à la gestion des risques de tiers.
Pour lutter contre cela, les entreprises doivent considérer les fournisseurs comme des sous-ensembles de leur activité.
La menace imminente
La quantité de données et d’informations critiques qu’une entreprise partage avec ses fournisseurs est stupéfiante. Par exemple, une entreprise peut partager la propriété intellectuelle avec des partenaires de fabrication, stocker des informations personnelles sur la santé (PHI) sur des serveurs cloud pour les partager avec les assureurs et permettre aux agences de marketing d’accéder aux données des clients et aux informations personnellement identifiables (PII).
Ce n’est que la pointe de l’iceberg, et la plupart des entreprises ne savent souvent pas quelle est la taille réelle de l’iceberg. Dans une enquête menée par le Ponemon Institute, 51 % des entreprises interrogées ont déclaré qu’elles n’évaluaient pas la posture de cyber-risque des tiers avant de leur permettre d’accéder à des informations confidentielles. De plus, 63 % des entreprises interrogées ont déclaré ne pas avoir de visibilité sur les données et les configurations système auxquelles les fournisseurs peuvent accéder, pourquoi ils y ont accès, qui dispose des autorisations et comment les données sont stockées et partagées.
Ce vaste réseau d’entreprises partageant des informations en temps réel se traduit par une vaste surface d’attaque qui devient de plus en plus difficile à gérer. Pour surmonter ce défi, les entreprises utilisent des initiatives de cybersécurité telles que des enquêtes d’intégration basées sur des questionnaires et des services d’évaluation de la sécurité dans leurs stratégies de gestion des risques tiers.
Bien que ces outils aient des cas d’utilisation définis, ils ont également de sérieuses limites.
Les services d’évaluation de la cybersécurité constituent une approche rapide et économique des évaluations des risques par des tiers. Leur simplicité – représentant le cyber-risque d’un fournisseur sous forme de score, comme les cotes de crédit dans les services financiers – en fait un choix populaire, malgré les limites.