Les violations de données par des tiers sont de plus en plus fréquentes, soulignant le rôle essentiel des programmes de cybersécurité englobant la gestion des risques cybernétiques des tiers, tels que les commerçants, les fournisseurs et les filiales. Les origines de ces violations remontent aux débuts d'Internet, lorsque l'augmentation des transactions en ligne a incité les entreprises à accumuler d'énormes quantités de données clients, y compris des noms, des adresses et des informations de paiement.
Dans le paysage actuel, les entreprises dépendent fortement des fournisseurs tiers pour divers services tels que le traitement des paiements, l'infrastructure cloud, les intégrations d'API, le support client et le marketing. Ces fournisseurs ont un accès accru aux données sensibles des clients, devenant ainsi des cibles privilégiées pour les cybercriminels, des cibles privilégiées qui sont durement touchées.
L'institut Ponemon souligne que 54 % des entreprises ont subi des violations de données résultant de leurs tiers, tandis que 61 % des entreprises ne disposent pas d'un inventaire complet de leurs tiers.
Ces dernières années, des violations de données notables se sont produites, impliquant des entités telles que SolarWinds et Marriott. Ces violations ont exposé des données critiques telles que les détails de cartes de crédit, les numéros de sécurité sociale et les pièces d'identité, alimentant le vol d'identité, la manipulation financière et la cybermalveillance.
De fin 2022 à mi-2023, de nombreuses autres violations de données par des tiers ont émergé, compromettant les données personnelles d'innombrables individus, et entraînant des coûts incommensurables et des dommages à la réputation.
Voici les points saillants de certaines des dernières violations de données importantes par des tiers.
Août
Discord, une plateforme sociale de messagerie instantanée et de VoIP, a subi une violation de données par un tiers via Discord.io, un service permettant aux propriétaires de serveurs de créer des invitations personnalisées à leurs canaux.
La fuite a exposé les informations de 760 000 membres. Les informations divulguées comprennent le nom d'utilisateur d'un membre, l'adresse e-mail, l'adresse de facturation (pour un petit nombre de personnes), le mot de passe salé et haché (pour un petit nombre de personnes) et l'ID Discord.
Discord.io a confirmé la violation de données et a fermé ses services en réponse.
Juin
-Taiwan Semiconductor Manufacturing Company (TSMC), le plus grand fabricant de puces sous contrat au monde et l'un des plus grands fournisseurs d'Apple, a reconnu une violation liée à son fournisseur Kinmax. Le groupe de rançongiciels LockBit exige une rançon de 70 millions de dollars pour ne pas divulguer les données volées. Il s'agit de l'une des plus grosses demandes de rançon de l'histoire.
- Des rapports ont confirmé des intrusions affectant diverses organisations, y compris des agences gouvernementales américaines, exploitant une vulnérabilité dans l'outil MOVEit Transfer de Progress Software. Le gang de rançongiciels CLP exploite cela à des fins lucratives, affectant des tiers dans le cadre de l'évaluation en cours de l'ampleur de l'attaque.
- Le gouvernement suisse a confirmé qu'un fournisseur de logiciels, Xplain, a été infecté par des logiciels malveillants. Les cybercriminels ont publié certaines données sur le dark web. L'ensemble de données contient plus de 425 000 adresses.
Mai-Avril
– Luxottica, la plus grande entreprise mondiale de lunetterie, a confirmé la fuite d'informations personnelles de 70 millions de clients après une violation de données survenue en 2021. L'entreprise possède des marques telles que Ray-Ban, Chanel, Prada, Versace, Dolce and Gabbana, Burberry, Giorgio Armani, Michael Kors et Oakley, entre autres.
L'entreprise a confirmé que les données divulguées résultaient d'un incident de sécurité qui a touché un sous-traitant tiers détenant des données clients.
Mars
- AT&T a divulgué une violation affectant environ 9 millions de comptes sans fil. Une personne non autorisée a pénétré dans le système d'un fournisseur tiers fournissant des services de marketing. Bien que des données telles que les noms, adresses e-mail, numéros de téléphone, lignes de compte et forfaits sans fil aient été consultées, aucun numéro de sécurité sociale, mot de passe ou donnée financière n'a été pris.
LinkedIn a révélé une violation affectant 700 millions d'utilisateurs. En exploitant une vulnérabilité d'une bibliothèque logicielle tierce, des pirates ont accédé à des données telles que les noms et les e-mails. LinkedIn a demandé la mise à jour des mots de passe et a pris des mesures de sécurité supplémentaires.
Janvier (23) - Décembre (22)
T-Mobile a subi une violation affectant 40 millions de clients. Des pirates sont entrés via un fournisseur tiers, volant des données telles que les noms, numéros de téléphone, adresses, numéros de sécurité sociale et forfaits. T-Mobile a offert une surveillance de crédit gratuite et a renforcé sa sécurité.
Uber a confirmé une violation en décembre 2022. Des acteurs malveillants ont accédé aux e-mails des employés, aux actifs informatiques et aux données d'entreprise. Via le fournisseur Teqtivity, ils ont mené des attaques de phishing. Les informations divulguées pourraient alimenter des campagnes ciblées.
Ces violations soulignent les périls liés aux fournisseurs tiers, soulignant l'impératif de mesures de cybersécurité robustes.
Conclusion
Pour atténuer les risques de violation de données par des tiers, les entreprises doivent aller au-delà de la lecture des SOC2 et de la distribution de questionnaires. Malgré des processus d'examen des fournisseurs solides, certaines entreprises en ont tout de même été victimes. Cela inclut l'examen des politiques de sécurité, des accords et des limites d'accès. Une tendance émerge : les évaluations externes des risques de vulnérabilité périodiques. Cela offre la même vision des risques cybernétiques que celle des attaquants et favorise des discussions proactives sur les risques.
Onlayer se concentre sur la sécurité de la chaîne d'approvisionnement pour les entreprises de divers secteurs, des institutions financières à l'énergie et à l'assurance, en évaluant et en gérant périodiquement les risques des fournisseurs, commerçants, filiales et autres tiers des organisations principales. En détectant, priorisant et remédiant à ces risques, Onlayer minimise les risques de violation de données et prévient les dommages financiers et à la réputation.
Contactez-nous et demandez une démo pour découvrir comment nous pouvons atténuer et remédier à vos risques tiers.
