Qu’est-ce qu’une violation de données tierces ? 5 exemples récents

Qu’est-ce qu’une violation de données par un tiers ?
Une violation de données par un tiers est un incident de sécurité où des données sensibles d’une organisation sont compromises ou volées en raison d’une vulnérabilité ou d’une cyberattaque ciblant l’un de ses fournisseurs tiers. Ce type de violation se produit en dehors de l’infrastructure informatique principale de l’organisation, mais a un impact direct sur celle-ci, car le fournisseur tiers, le sous-traitant ou le prestataire de services dispose d’un accès à ses données.
Les données volées peuvent inclure des informations sensibles, confidentielles ou exclusives, telles que des numéros de carte de crédit, des secrets commerciaux ou des données clientèles ou patients. Les violations par des tiers coûtent chaque année des millions de dollars aux entreprises de toutes tailles. Le coût moyen total d’une violation de données est de 4,35 millions de dollars, et aux États-Unis, ce chiffre atteint 9,44 millions de dollars.
Comme les attaquants ciblent un membre de la chaîne d’approvisionnement de la victime, une violation de données par un tiers peut également être appelée une attaque par la chaîne d’approvisionnement. Ces attaques réussissent souvent parce que les tiers, y compris les fournisseurs, sous-traitants ou partenaires commerciaux, disposent parfois de contrôles de sécurité moins rigoureux que les organisations qu’ils desservent.
5 violations de données récentes par des tiers
Les fournisseurs tiers sont essentiels pour votre entreprise, mais ils introduisent également des risques cyber. Les attaques par la chaîne d’approvisionnement sont devenues la méthode privilégiée des cybercriminels, et 62 % des intrusions réseau proviennent d’un tiers, souvent au sein de votre chaîne logistique logicielle.
Ce qui est alarmant dans une violation de données par un tiers, c’est l’ampleur de son impact. Les hackers ont la capacité de cibler des milliers d’organisations en une seule attaque. Selon une étude de KPMG, 73 % des organisations ont subi au moins une perturbation significative liée à un incident cyber impliquant un tiers au cours des trois dernières années.
La gestion des risques cyber liés aux tiers peut être complexe, mais la négliger expose à des risques considérables. Voici cinq des plus grandes violations de données par des tiers récentes, leur origine et leur impact. Nous proposerons également une approche par étapes pour améliorer votre programme de gestion des risques liés aux tiers (TPRM).
1. SolarWinds (2020)
En décembre 2020, SolarWinds, fournisseur de logiciels de surveillance réseau et système, a confirmé que son réseau avait été infiltré par un acteur malveillant. Un programme malveillant complexe avait été inséré dans les mises à jour de sa plateforme technologique, SolarWinds Orion®. Le programme comportait un processus en plusieurs étapes, explorant les réseaux clients pour détecter les outils de sécurité à éviter ou désactiver, et se connectant furtivement aux serveurs de commande et de contrôle des attaquants. Le malware est resté actif pendant des mois avant d’être détecté.
Impact
SolarWinds étant un acteur clé pour de nombreuses organisations, il représentait une cible idéale pour diffuser une attaque. Même les organisations ne utilisant pas directement les produits SolarWinds étaient exposées en raison de la prévalence de ses solutions dans la chaîne d’approvisionnement. On estime que 18 000 clients (y compris des agences gouvernementales et 14 % du Fortune 1000) ont été touchés. Les coûts liés à la réponse aux incidents et aux services de forensique ont représenté 11 % des revenus annuels des entreprises touchées, soit une moyenne de 12 millions de dollars.
Les répercussions financières ont été également significatives. Les services d’intervention et de forensic ont coûté aux entreprises 11% de leur chiffre d’affaires annuel (soit en moyenne 12 millions de dollars). De plus, l’analyse de Bitsight a chiffré les pertes assurées liées à l’attaque à 90 millions de dollars. Cette violation a également créé les conditions propices à d’autres attaques sur les chaînes d’approvisionnement.
Lisez notre analyse sur l’avenir de la gestion des risques cyber dans les chaînes d’approvisionnement après SolarWinds et les enseignements tirés des failles qui ont mené à l’attaque.
2. Microsoft (2021)
En mars 2021, une série d’attaques appelées HAFNIUM ont compromis les serveurs Microsoft Exchange locaux de 30 000 organisations à travers le monde. Les hackers ont accédé aux comptes de messagerie des employés et installé des programmes malveillants pour faciliter un accès à long terme.
Impact
Illustrant la recrudescence des attaques sur les chaînes logicielles, quelques mois plus tard, une vulnérabilité dans Microsoft Power Apps (un outil populaire de business intelligence low-code) a exposé 38 millions de dossiers. Les auteurs de l’attaque ont accédé à des données relatives aux tests, au traçage et à la vaccination contre la COVID-19, ainsi qu’aux informations des employés de grandes organisations utilisant l’outil, comme Ford Motor Company, American Airlines et la Metropolitan Transportation Authority de New York.
3. Toyota (2022)
Selon McKinsey, un constructeur automobile compte environ 250 fournisseurs de premier rang, mais ce nombre s’étend à 18 000 sur l’ensemble de la chaîne de valeur, ce qui rend ces entreprises particulièrement vulnérables à une violation de données par un tiers.
En mars 2022, Toyota a suspendu sa production dans 14 usines au Japon suite à une cyberattaque contre un fournisseur de pièces plastiques, Kojima Industries. Cette suspension a impacté un tiers de la production mondiale de Toyota.
Toujours selon McKinsey, même une interruption de moins de 30 jours peut menacer de trois à cinq pour cent la marge EBITDA.
4. Uber (2022)
En décembre 2022, Uber a subi une violation de données via un fournisseur tiers, Teqtivity, exposant les adresses e-mail et d’autres informations de plus de 77 000 employés.
Cette attaque rappelle un incident similaire visant DoorDash, où des acteurs malveillants ont utilisé les identifiants volés d’un fournisseur connecté pour accéder aux systèmes internes du géant de la livraison alimentaire et compromettre des informations clients, notamment des détails de cartes bancaires.
5. Districts scolaires américains (2022)
Les districts scolaires sont une cible lucrative pour les hackers en raison du volume d’informations personnelles identifiables (PII) sur leurs réseaux et de leurs ressources limitées en sécurité. De plus, à mesure que les outils EdTech gagnent en popularité, les chaînes logicielles deviennent une voie d’attaque privilégiée.
En 2022, une attaque contre Illuminate Education a résulté en des violations de données dans les deux plus grands systèmes scolaires américains : New York City Public Schools et Los Angeles Unified School District. Près de 495 000 dossiers étudiants à Chicago ont également été compromis.
Comment prévenir une violation de données par un tiers : meilleures pratiques en VRM
Les fournisseurs tiers sont essentiels à toute entreprise dans une économie interconnectée. Mais comment s’assurer que vos fournisseurs ne créent pas de risques inutiles ?
La réponse n’est pas d’éviter les relations avec des tiers, mais de collaborer uniquement avec des fournisseurs qui présentent une posture de sécurité robuste. Cela peut être facilement réalisé grâce à des évaluations approfondies des risques fournisseurs et une surveillance continue, dans le cadre des programmes de gestion des risques fournisseurs (VRM) et de gestion holistique des risques tiers (TPRM). Voici quelques manières dont un programme de gestion des risques tiers peut contribuer à sécuriser votre chaîne d'approvisionnement et à prévenir une violation de données par un tiers :
- Rationaliser les processus de diligence raisonnable et d’évaluation des risques des fournisseurs afin d’évaluer les fournisseurs avant leur intégration.
- Automatiser le processus d’intégration et de réévaluation pour une atténuation des risques plus agile.
- Faciliter la surveillance continue basée sur des flux de données et des analyses en temps réel.
- Accroître la visibilité des risques liés aux relations avec les tiers et les quatrièmes parties.
- Personnaliser et mettre à jour les exigences de sécurité en fonction des nouvelles menaces et vulnérabilités découvertes.
- Identifier les fournisseurs qui ne respectent plus les normes de sécurité et faciliter leur désengagement sans compromettre la continuité des activités.
Gestion des risques tiers : TPRM
Ces violations de données par des tiers mettent en lumière l’importance de gérer ces risques. Pourtant, une étude de KPMG révèle que 61% des entreprises sous-estiment l’importance du TPRM. Elles éprouvent également des difficultés à maintenir un modèle opérationnel adapté, citant deux raisons principales :
- Les investissements technologiques ne permettent pas d’avoir une visibilité suffisante sur les risques tiers.
- Le manque de ressources rend difficile la compréhension et la mitigation des risques tiers à grande échelle – avec des centaines, voire des milliers de fournisseurs.
En effet, la plupart des entreprises reconnaissent que c’est la chance, et non leurs programmes TPRM, qui les a aidées à éviter une violation majeure par des tiers au cours des dernières années.
À mesure que votre portefeuille de fournisseurs s’élargit (la plupart des entreprises collaborent en moyenne avec 1 000 fournisseurs), vous avez besoin d’un moyen de faire évoluer votre programme TPRM tout en réduisant la charge pesant sur les équipes de sécurité et de gestion des risques. Voici quelques éléments essentiels pour y parvenir, quel que soit le niveau de maturité de votre programme TPRM :
1. Classer les fournisseurs ou sous-traitants
Il n’est pas nécessaire d’analyser chaque fournisseur avec la même profondeur. Compte tenu des ressources et du temps limités, concentrez-vous sur les tiers qui a) fournissent les services les plus critiques, et b) ont accès à des systèmes et des données sensibles. Notre service de recommandation par niveaux peut vous aider à regrouper vos fournisseurs en fonction de leur risque et de leur importance pour votre entreprise. Au fur et à mesure que votre programme TPRM évolue, vous pouvez élargir son champ d’application pour couvrir une gamme plus large de tiers et d’autres domaines de risques.
2. Définir des seuils de tolérance au risque pour les fournisseurs
Les informations exploitables de Bitsight facilitent l’établissement d’un seuil de risque acceptable qu’un fournisseur doit atteindre pour être considéré comme un partenaire potentiel – puis de les évaluer en conséquence.
3. Surveiller en continu et automatiquement la posture de sécurité des tiers
Avec Bitsight pour le TPRM, vous bénéficiez de vues sur tableau de bord de la santé cyber de chaque fournisseur (pendant la diligence raisonnable et tout au long du contrat) et d’alertes automatiques dès qu’un risque est détecté.
4. Collaborer avec les partenaires pour réduire les risques et l’exposition
Pour garantir une prise en charge rapide, partagez les conclusions de Bitsight avec vos fournisseurs afin qu’ils puissent visualiser les risques cachés dans leurs réseaux.
5. Étendre les informations sur les risques cyber aux quatrièmes parties
Comme les risques peuvent rapidement se propager à travers la chaîne d’approvisionnement, utilisez Bitsight pour la gestion des risques des quatrièmes parties pour une vue sans précédent des vulnérabilités de sécurité dans l’ensemble de votre écosystème de fournisseurs.
6. Unifier les données et évaluations des fournisseurs
Organisez les données relatives à la sécurité et à la gestion des risques des fournisseurs dans un outil unifié. Par exemple, Bitsight Vendor Risk Management (VRM) couvre tous les aspects de la gestion des risques fournisseurs avec une solution complète et intégrée. Vous pouvez ainsi prendre des décisions informées sur la prioritisation des ressources sans devoir passer d’un outil disparate à un autre.
Ces meilleures pratiques ne doivent pas être isolées. Vous pouvez automatiser l’évaluation, la validation, la détection des vulnérabilités et le reporting des tiers à grande échelle grâce à une solution TPRM de bout en bout qui s’intègre à vos outils existants de gestion des risques fournisseurs, afin de toujours rester en avance sur les menaces.