Comprendre les risques liés aux tiers en matière de cybersécurité est primordial à l'ère du numérique. Alors que les entreprises dépendent de plus en plus de prestataires externes pour la fourniture de leurs services essentiels, les cyber-risques associés se multiplient. Aujourd'hui, nous nous concentrerons sur l'analyse de la nature de ces risques et sur les enseignements tirés d'exemples concrets.
Un risque cybernétique lié à un tiers survient lorsque vos données, ou celles de vos clients, sont exposées en raison de failles de sécurité chez un fournisseur tiers. Examinons maintenant ces scénarios plus en détail afin de mieux comprendre ces risques.
Exemple 1 : La violation de données de la société cible
L'un des exemples les plus marquants de risques liés à des tiers pouvant entraîner des incidents majeurs de cybersécurité est la fuite de données de Target Corporation en 2013. Des pirates informatiques ont infiltré le réseau de Target via un fournisseur de systèmes de chauffage, de ventilation et de climatisation, ce qui a entraîné la fuite des informations de cartes de crédit et de débit de 40 millions de clients.
Cette faille de sécurité est due non seulement à une vulnérabilité chez un prestataire externe de Target, mais aussi à un manque de cloisonnement et de contrôle des accès au réseau interne. Après remboursement par les assurances, les pertes sont estimées à 162 millions de dollars. Cet incident illustre l'ampleur que peut prendre un risque cybernétique lié à un tiers, tant en termes de pertes financières que d'atteinte à la réputation.
Exemple 2 : Le scandale Facebook-Cambridge Analytica
Le scandale des données de Facebook en 2018, impliquant Cambridge Analytica, a été l'un des cas les plus médiatisés d'utilisation abusive de données par des tiers. Cambridge Analytica, une société de conseil politique, a obtenu les informations personnelles d'environ 87 millions d'utilisateurs de Facebook et les a utilisées à des fins de publicité politique sans leur consentement explicite. Facebook a ainsi autorisé des applications tierces à accéder collectivement à d'immenses quantités de données utilisateur, ce qui a entraîné une grave atteinte à la vie privée.
Cet incident souligne la nécessité pour les entreprises de contrôler les données auxquelles accèdent leurs fournisseurs tiers, en veillant à mettre en place des mesures de sécurité et de confidentialité rigoureuses. Le suivi des activités des fournisseurs est essentiel pour atténuer les risques liés aux tiers.
Exemple 3 : L’attaque par saut de nuage
Cloud Hopper était une campagne de cyberespionnage découverte en 2016 qui ciblait les fournisseurs de services informatiques gérés (MSP) afin d'accéder aux réseaux de leurs clients. Une fois infiltrés, les pirates pouvaient accéder aux informations des clients des MSP et les dérober, mettant ainsi en lumière les risques liés aux services cloud tiers et la nécessité de mettre en place des mesures de cybersécurité robustes.
Cette faille souligne l'importance d'une vérification rigoureuse et d'une surveillance continue des fournisseurs de services cloud tiers. Elle rappelle également que tous les acteurs malveillants ne recherchent pas un gain financier immédiat ; certains se livrent plutôt à l'espionnage industriel et au vol de propriété intellectuelle.
Exemple 4 : L’attaque SolarWinds
La cyberattaque de 2020 contre SolarWinds illustre le risque d'attaque de la chaîne d'approvisionnement et met en garde les entreprises contre les dangers liés aux vulnérabilités des systèmes tiers. Un groupe de menaces persistantes avancées, soupçonné d'être d'origine étatique, a injecté du code malveillant dans les mises à jour logicielles du produit Orion de SolarWinds.
En conséquence, environ 18 000 organisations ont téléchargé et installé la mise à jour compromise, ce qui a entraîné des violations de données majeures, touchant notamment des agences gouvernementales américaines et d’autres multinationales. Cet incident souligne à quel point une vulnérabilité mineure dans un logiciel tiers peut avoir des conséquences désastreuses.
En conclusion, il est essentiel de comprendre les risques liés aux tiers et leurs conséquences concrètes pour gérer efficacement sa cybersécurité. Si vous n'avez aucun contrôle sur les mesures de cybersécurité mises en place par un tiers, vous avez en revanche la maîtrise totale du choix de vos partenaires, du niveau d'accès réseau que vous leur accordez et de la manière dont vous surveillez leurs opérations. Tirer les leçons des expériences de Target, Facebook, Cloud Hopper et SolarWinds ouvre la voie à une meilleure gestion des risques et à des stratégies de protection proactives.