Les entreprises se tournent de plus en plus vers des prestataires tiers pour économiser sur les coûts de maintien du personnel à temps plein pour des fonctions commerciales spécifiques telles que la comptabilité, le marketing, la gestion informatique, l'expédition et la logistique et le service client. Cependant, même si les sous-traitants tiers peuvent vous aider à améliorer vos résultats, vous risquez d'augmenter votre risque de cyberattaques.
En tant que propriétaire d'entreprise, vous avez accès à différents types de données : des secrets d'entreprise aux informations personnelles et de paiement des clients, en passant par les profils des fournisseurs. Pour préserver la fiabilité et la réputation de votre organisation, vous devez protéger les informations sensibles pour qu'elles ne tombent pas entre de mauvaises mains. Malheureusement, les données sensibles de votre organisation sont toujours en danger, même avec le cadre de cybersécurité le plus robuste mis en œuvre au sein de votre propre entreprise. Pourquoi ? Parce que les pirates informatiques ne vous ciblent pas seulement, mais recherchent également les faiblesses des fournisseurs tiers que vous avez autorisés à entrer dans votre cercle.
La montée en flèche des violations de données par des fournisseurs tiers
Le problème est que de nombreux fournisseurs tiers manquent encore de pratiques de cybersécurité, ce qui conduit à des attaques de ransomware et à des violations de données majeures. En 2019, Facebook a vu 540 millions d'enregistrements d'utilisateurs exposés publiquement sur les services de cloud computing d'Amazon lorsque deux développeurs d'applications Facebook tiers ont publié les enregistrements, y compris les noms, les identifiants et même les commentaires et réactions des utilisateurs aux publications. De même, en 2019, First American Financial Corp a vu 885 millions d'enregistrements exposés en ligne en raison d'une erreur de configuration sur son site Web.
Les tiers se révèlent souvent être le maillon faible de la cybersécurité IoT. Citons par exemple la tristement célèbre menace du botnet Mirai IoT en 2016, qui a transformé les appareils en réseau en « bots » contrôlés à distance après avoir été touché par un malware.
En 2022, KeyBank a subi une violation de données causée par son fournisseur de services d'assurance, tandis que LastPass a été victime d'une violation de données à cause de son fournisseur de services de vérification de numéro de téléphone. En août 2022, près de trente organisations, dont l'Armée du Salut, St. Joseph's Medical et Syracuse Pediatrics, ont été victimes d'une violation à cause de leur fournisseur de services de gestion des soins de santé.
Les violations de données par des tiers se produisent toujours de tous côtés et les entreprises se demandent comment atténuer leurs risques. Les entreprises ne peuvent pas éliminer complètement leurs partenariats avec des fournisseurs tiers, car elles dépendent d'eux pour leur réussite commerciale. Mais en cas de violation de données causée par un fournisseur tiers, qui est tenu responsable des conséquences coûteuses ?
Ce que disent les régulateurs de la protection des données
Dans l'Union européenne, le règlement général sur la protection des données (RGPD) confère aux entreprises qui collectent, traitent et stockent les données la responsabilité de préserver la sécurité de ces dernières. En cas de violation de données, l'entreprise a le devoir d'en informer ses clients et l'Autorité européenne de surveillance, même si la violation a été causée par un fournisseur tiers. Le Cyber Resillience Act (CRA) impose des exigences de sécurité essentielles aux fabricants de produits comportant des éléments numériques (HW et SW), couvrant notamment la sécurité dès la conception et les capacités de gestion des vulnérabilités, avec des pénalités considérables en cas de non-conformité.
Aux États-Unis, les entreprises sont également responsables de la protection de leurs données. À New York, en particulier, les compagnies d’assurance, les banques et les autres institutions de services financiers réglementées sont soumises au règlement sur la cybersécurité du NYDFS, qui couvre les fournisseurs tiers. Les entreprises proposant des services financiers doivent quant à elles s’assurer que leurs partenaires tiers disposent de programmes et de politiques de cybersécurité adéquats.
Les fournisseurs tiers fournissent des fonctionnalités et des produits essentiels, les entreprises ne doivent donc pas rejeter la faute sur leurs partenaires commerciaux. Elles doivent plutôt travailler uniquement avec des fournisseurs qui correspondent à leurs propres objectifs de cybersécurité. Elles doivent être prêtes à être proactives et diligentes dans l'évaluation et l'audit des capacités de cybersécurité de leurs fournisseurs tiers.
En raison de l’interconnexion des appareils IoT, les entreprises doivent se méfier des produits IoT qu’elles acquièrent auprès de tiers. En attendant l’adoption de réglementations plus strictes en la matière, les organisations doivent tenir un inventaire de leurs actifs IoT et procéder régulièrement à des évaluations de vulnérabilité. Il devient alors indispensable de faire appel à une société d’évaluation tierce spécialisée et à des solutions sur mesure telles que CyberPass .
Comment le projet A4CEF aide-t-il à sécuriser les violations des fournisseurs tiers grâce aux certifications cloud ?
Le projet A4CEF a renforcé les capacités, contribuant notamment au cadre européen de certification de cybersécurité (ECCF) et au système de services cloud de l'UE (EUCS) .
Ce projet a été conçu pour répondre directement aux objectifs du texte de l'appel à propositions CEF-TC-2020-2 , au titre de l'objectif 4 - « Soutien à la coopération et au renforcement des capacités pour la certification en cybersécurité conformément à la loi sur la cybersécurité ».
Le schéma définit 22 catégories harmonisées d'exigences de sécurité sur les contrôles qui seront appliquées dans le cadre des certifications européennes une fois adoptées. Le consortium a travaillé entre autres sur le renforcement des capacités internes de tous les partenaires du consortium, grâce à un nouveau matériel de formation sur la certification du cloud computing et à l'application pratique des processus de certification précédemment définis et développés au sein de la NSAI, avec la conduite de certifications pilotes de cloud computing connexes. Ces exigences incluent des thèmes liés à la manière de gérer la chaîne d'approvisionnement des services cloud et à la manière dont les fournisseurs de services cloud doivent relever ces défis et sous quelles responsabilités.
Si vous souhaitez en savoir plus sur le projet A4CEF et ses activités, veuillez visiter ce site Web : https://www.a4cef.eu