Tendances en matière de phishing : vos fournisseurs présentent-ils un risque de sécurité inattendu ?
Préparer votre organisation contre tous les types de cyberattaques possibles n'est une tactique viable que si vos fournisseurs et partenaires respectent les mêmes normes élevées. Si un fournisseur SaaS, par exemple, est victime d'un piratage ou d'une violation de données, ses clients sont également en danger.
Un exemple récent du risque réel pour tout un écosystème a pu être observé à la fin de l’année 2020 et au début de l’année 2021. Lorsque le spécialiste de la sécurité FireEye a découvert une attaque d'un État-nation contre SolarWinds, les conséquences ont été considérables. Dans le monde entier, des entreprises et des gouvernements ont été mis en danger en raison des vulnérabilités de l'infrastructure de sécurité d'un fournisseur. Parmi les victimes les plus connues figurent Microsoft, MalwareBytes et le gouvernement des États-Unis.
Ce que vous pouvez faire
Se protéger du risque posé par les fournisseurs ou les partenaires peut s'avérer extrêmement difficile : il est impossible de contrôler ou de superviser leur infrastructure (critique) et une fois qu'une organisation a véritablement intégré, par exemple, une solution SaaS, elle n'a d'autre choix que de faire confiance à la solidité de la sécurité de son partenaire.
Néanmoins, il est toujours possible de discuter des mécanismes de défense d'un fournisseur. Il est du devoir de toute organisation de remettre en question les méthodes de travail de ses nouveaux partenaires en matière de cyber sécurité. Si un fournisseur utilise des protocoles dépassés, il doit être tenu responsable de la mise en danger de l'écosystème. Demandez toujours quelles certifications il suit ou s'il forme son personnel aux nouvelles procédures et techniques.
