Presque toutes les entreprises font affaire avec (ou utilisent les produits) d'un tiers qui a subi une compromission, augmentant ainsi leurs risques de sécurité.
C'est selon la société de science des données Cyentia Institute, qui a publié une analyse qui comprend des mesures externes de la sécurité de plus de 230,000 10 organisations fournies par la société de gestion des risques de cybersécurité SecurityScorecard. Il a constaté que l'entreprise moyenne avait environ 60 relations avec des tiers et des centaines de relations indirectes avec des quatrièmes parties, l'entreprise type ayant 90 à 98 fois plus de quatrièmes parties que de tierces parties. Presque toutes les entreprises (XNUMX%) avaient au moins un partenaire tiers qui avait subi une violation, indique le rapport.
Le secteur informatique compte le plus de tiers, avec une moyenne de 25, tandis que le secteur financier en compte le moins, à 6.5. Ces chiffres gonflent rapidement lorsque les relations avec des tiers sont incluses, tout comme leur risque. L'entreprise moyenne a une relation indirecte avec 200 quatrièmes parties qui ont eu une violation, selon l'analyse.
La recherche souligne la nature tentaculaire des relations avec des tiers et des quatrièmes parties pour les entreprises, et l'augmentation spectaculaire du risque qu'elles peuvent entraîner, déclare Wade Baker, fondateur et partenaire de l'Institut Cyentia.
«Le risque diminue», dit-il. « Les premières parties sont plus susceptibles d'avoir de bons scores de sécurité [risque] que leurs tierces parties, et avec les quatrièmes parties, les chiffres explosent vraiment. Vous devez vous attendre à ce que [ces entreprises et ces produits] ne soient pas à la hauteur de vos normes de sécurité.
En effet, alors que de nombreuses organisations sont devenues plus matures en ce qui concerne leurs propres cyber-risques, peu sont conscientes des risques étendus, Cyentia et SecurityScorecard indiqué dans l'analyse.
"De nombreuses organisations ne sont toujours pas conscientes des dépendances et des expositions inhérentes aux relations avec des tiers et se concentrent simplement sur la gestion de leur propre posture de sécurité", indique le rapport. « D'autres sont conscients de ces problèmes, mais ne prennent pas de décisions concernant les fournisseurs en fonction de la sécurité et/ou n'exigent pas que les fournisseurs respectent certaines normes. Même les entreprises qui établissent des exigences de sécurité tierces peuvent avoir du mal à surveiller en permanence la conformité et les progrès.
Les risques liés aux tiers et à la chaîne d'approvisionnement sont devenus des problèmes importants ces dernières années. Et les RSSI se méfient de plus en plus de leurs fournisseurs tiers, depuis le compromis d'un fournisseur de CVC à mené à violation du géant de la distribution Target.
Bien que l'analyse porte sur le risque de tiers, la définition de ce qu'est un tiers s'étend non seulement aux fournisseurs et aux partenaires, mais aussi aux fournisseurs de logiciels et aux projets open source. Attaques désormais tristement célèbres contre les fournisseurs de logiciels tels que SolarWinds, et les vulnérabilités des composants logiciels largement utilisés comme Log4J, ont accru la visibilité du risque que représente cette arène.
Les 5 principales technologies incluses dans les relations avec des tiers dans les données sont Google Analytics, Google Tag Manager, Amazon Web Hosting, PHP et les produits Facebook - qui ont tous été impliqués dans les deux tiers (68 %) des relations avec des tiers, dit le rapport.
"Beaucoup de ces relations avec des tiers et des quatrièmes parties [nous impliquent] acceptent tous les deux d'adhérer à certaines politiques simplement en utilisant un produit, et maintenant je m'expose à un certain degré de risque", déclare Baker.
Le risque augmente à chaque saut
L'analyse a également révélé que les tiers ont généralement une posture de sécurité plus faible que les entreprises qu'ils desservent. Dans l'ensemble, il y a une probabilité beaucoup plus élevée que des tiers aient des problèmes de sécurité, ce qui signifie que les entreprises ne peuvent pas supposer que tous leurs tiers sont aussi diligents en matière de sécurité.
"Je le vois de la même manière que nous savons tous que nous avons trop de privilèges - en général, les gens ont accès à plus de données qu'ils n'en ont besoin pour faire leur travail", déclare Baker. "Ce serait bien de réduire le nombre de tiers, surtout s'ils ne sont pas nécessaires, et aussi d'être un peu plus sélectif."
Les données, cependant, ne suggèrent pas une voie claire à suivre, à part une plus grande prise de conscience du problème. Baker ne recommande pas nécessairement, par exemple, que les organisations coupent les 25 % inférieurs de leurs tiers de leur activité. Cependant, les évaluer de plus près ou plus fréquemment pourrait être plus réaliste, dit-il.
« Si nous voulons vraiment protéger nos chaînes d'approvisionnement, nous devons renforcer le maillon le plus faible », déclare Baker. "Et je pense que l'analyse montre qu'il y a beaucoup de maillons faibles entre les tiers et les quatrièmes parties, et c'est là que réside le défi."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://www.darkreading.com/cloud/nearly-all-firms-have-ties-breached-third-parties
