Malgré des locaux et des terminaux numériques bien défendus (s’ouvre dans un nouvel onglet)de nombreuses entreprises sont exposées au risque de cyberattaques car elles travaillent avec différents fournisseurs et tiers qui ne sont pas aussi sécurisés.
C’est selon un nouveau rapport de la société d’évaluation de la cybersécurité SecurityScorecard, qui a analysé plus de 235 000 organisations dans le monde, ainsi que 73 000 fournisseurs et produits qu’elles utilisent, pour constater que pratiquement toutes les entreprises (98 %) ont des relations avec au moins un tiers. qui a subi une violation de données au cours des deux dernières années.
De plus, la moitié des organisations ont des relations indirectes (comme celles utilisées par les fournisseurs tiers) avec au moins 200 entreprises qui ont subi une cyberattaque au cours des deux dernières années.
F pour la sécurité
Pour chaque fournisseur tiers dans une chaîne d’approvisionnement, les entreprises ont généralement des relations indirectes avec 60 à 90 fois ce nombre de relations avec des quatrièmes parties, selon les chercheurs. Les tiers étant jusqu’à cinq fois plus susceptibles de faire preuve d’une sécurité médiocre, le risque s’aggrave rapidement.
Environ un dixième (10%) de tous les tiers analysés pour le rapport ont été notés F pour la sécurité.
Si l’on examine différentes industries, le secteur des services d’information compte en moyenne 25 fournisseurs, tandis que le secteur financier en compte 6,5 en moyenne. Les soins de santé comptent en moyenne 15,5 fournisseurs, tandis que l’assurance en compte 11. Chacun pose un risque important pour l’organisation d’origine.
Les cybercriminels semblent bien conscients de ces faits, car les attaques de la chaîne d’approvisionnement sont devenues l’une des formes les plus dévastatrices de la cybercriminalité ces derniers temps. L’attaque de SolarWinds, dans laquelle une seule entreprise a vu son logiciel compromis et qui a touché des dizaines de milliers d’organisations dans le monde, en est probablement le meilleur exemple.
« La surface d’attaque d’une organisation s’étend au-delà de la technologie qu’elle possède ou contrôle », a déclaré Aleksandr Yampolskiy, co-fondateur et PDG de SecurityScorecard.
« Les organisations ont besoin de visibilité sur les cotes de sécurité de l’ensemble de leur écosystème tiers et quatrième afin de savoir en un instant si une organisation mérite leur confiance et de pouvoir prendre des mesures proactives pour atténuer les risques. »