La moitié des organisations violées par l’intermédiaire d’un tiers en 12 mois

Selon un rapport récemment publié par SecureLink et l’Institut Ponemon, les entrepreneurs tiers et les entités apparentées ayant un accès privilégié à distance aux systèmes informatiques organisationnels sont de plus en plus à l’origine d’atteintes à la protection des données. Il met en évidence un décalage « alarmant » entre la façon dont les organisations perçoivent la menace de l’accès de tiers et les mesures de sécurité qu’elles déploient.

Le rapport, Une crise de la sécurité des accès à distance par des tiers, démontre que de nombreuses organisations ne prennent pas les bonnes précautions pour réduire le risque d’accès à distance par des tiers et exposent donc leurs systèmes à des atteintes à la protection des données, et se exposent à des sanctions en vertu de diverses normes de protection des données, telles que le Règlement général sur la protection des données (GDPR).

Au total, 44% des organisations ont subi une violation de tiers au cours des 12 derniers mois, et 74% d’entre elles ont déclaré que l’incident s’était produit parce qu’elles avaient renoncé à un accès trop privilégié.

« Les conclusions de ce rapport mettent en valeur le manque de sécurité, de gestion et de reddition de comptes nécessaire pour assurer adéquatement l’accès à distance par des tiers, ce qui est très inquiétant », a déclaré Joe Devine, chef de la direction de SecureLink.

« Bien que les récentes violations très médiatisées aient fait un bon travail pour mettre en évidence les risques graves de relations non sécurité avec les fournisseurs, il reste encore beaucoup de travail à faire pour changer l’état d’esprit des organisations lorsqu’il s’agit de protéger non seulement leurs données, mais aussi leurs données clients et partenaires », a-t-il déclaré.

SecureLink a déclaré que plus de la moitié des entreprises qui externalisent des processus d’affaires critiques affirment que leurs organisations n’évaluent pas les pratiques de sécurité et de confidentialité de tous les tiers avant de leur accorder l’accès à des données sensibles et confidentielles.

Le cabinet a ajouté que, bien qu’il semble que les organisations considèrent l’accès à distance par des tiers comme une source de cybermenace, peu d’entre elles la priorisent, 63 % affirmant qu’elles n’ont pas évalué les pratiques de sécurité et de protection de la vie privée de leurs partenaires tiers parce qu’elles comptaient sur la réputation du partenaire.

Selon Larry Ponemon, président et fondateur de l’Institut Ponemon, cela garantit effectivement une violation de données.

« Il est important que les organisations évaluent les pratiques en matière de sécurité et de protection de la vie privée des tiers qui ont accès à leurs réseaux et s’assurent qu’elles ont juste assez accès à leurs responsabilités désignées et rien de plus », a déclaré M. Ponemon.

Le rapport a également révélé que 54 % des organisations ne disposent pas d’un inventaire complet de tous les tiers ayant accès à leur réseau, et 65 % ne savent pas qui a accès à leurs données les plus sensibles. En outre, 63% ont admis que leur organisation n’avait pas de visibilité sur le niveau d’accès et les autorisations pour les utilisateurs internes et externes, laissant les équipes de sécurité dans l’obscurité quant à qui a accès au réseau, quand ils sont sur le réseau, et pourquoi ils sont là.

Quelque 54 % des répondants ont également déclaré qu’ils ne surveillaient pas les pratiques de sécurité et de protection de la vie privée de leurs fournisseurs de services, et 59 % ont dit qu’ils n’avaient pas centralisé le contrôle sur des tiers, principalement en raison de la complexité de leurs diverses relations.

« Les organisations doivent cesser d’aborder de plus haute main la sécurité des tiers », a déclaré M. Devine. « La vérité est que si vous n’avez pas les bons protocoles et outils en place, une violation de données est probablement inévitable.

« Définissez qui est responsable dans l’entreprise et commencez par donner la priorité à la transparence du réseau, à l’application de l’accès à un privilège ou à une confiance nulle, et évaluez constamment les pratiques de sécurité des tiers existantes pour vous assurer de faire face à la menace en constante évolution. »