SecurityScorecard, leader mondial de l'évaluation en cybersécurité, et le Cyentia Institute, cabinet indépendant d'étude en cybersécurité, viennent de publier une étude qui montre que 98 % des organisations dans le monde entretiennent des relations de prestation avec au moins un tiers ayant subi une atteinte à la sécurité au cours des deux dernières années. L'étude (voir en anglais Close Encounters of the Third (and Fourth) Party Kind), a également déterminé que 50 % des organisations ont des relations indirectes avec au moins 200 prestataires dits de « quatrième partie » (tiers de tiers) concernés par une violation de sécurité au cours des deux dernières années.

« La surface de vulnérabilité d'une organisation va au-delà de la technologie qu'elle possède ou contrôle » affirme Aleksandr Yampolskiy, cofondateur et PDG de SecurityScorecard. « Les organisations ont besoin d'être renseignées sur le niveau de sécurité de leur écosystème de prestataires tiers et quarts afin de savoir en un instant si telle ou telle organisation mérite leur confiance et in fine de pouvoir prendre des mesures préventives pour en minimiser le risque ».

L'étude, qui a épluché les données de plus de 235 000 organisations (maisons mères) à travers la planète et plus de 73 000 prestataires auxquels elles font appel et produits qu'elles utilisent directement (tierces parties) ou bien que leurs prestataires eux-mêmes utilisent (quatrièmes parties), offre une vue détaillée de l'interdépendance des chaînes d'approvisionnement numériques modernes et de leur effet sur l'exposition des organisations aux cyber-risques.

Principaux enseignements du rapport :

Plus il y a de tierces et quatrièmes parties, plus la sécurité en pâtit

Pour chaque prestataire tiers dans leur chaîne d'approvisionnement, les organisations entretiennent des relations indirectes avec 60 à 90 fois plus de quatrièmes parties. Par ailleurs, l'étude montre que comparé à la maison mère, les prestataires tiers présentent 5 fois plus souvent une sécurité insuffisante. Environ 10 % des prestataires tiers reçoivent la note F parmi les entités qui obtiennent la note A pour leur situation de sécurité.



Les services d'information ont le plus grand nombre de tierces parties

L'étude indique également que le secteur des services d'information compte en moyenne 25 prestataires, soit 2,5 fois plus de relations tierces que la moyenne générale (10). La finance se trouve à l'autre bout du spectre, avec 6,5 relations tierces en moyenne. La santé compte quant à elle 15,5 prestataires par organisation et l'assurance 11 en moyenne. « Chacune de ces relations avec des tiers expose à un risque » reprend W. Baker. « Dans certains cas, cela provient de code tiers compromis, dans d'autres à un hébergeur non sécurisé ».



Exposer des données à des tiers internationaux augmente les exigences réglementaires et sécuritaires

S'agissant de la régionalité des relations tierces, SecurityScorecard estime que 59 % des organisations ont des prestataires présents dans 5 pays ou moins et 14 % travaillent avec des prestataires dans 10 pays ou plus.

« Les données de SecurityScorecard démontrent pourquoi la gestion du cyber-risque dans l'ensemble de la chaîne d'approvisionnement numérique est absolument déterminante, dans le sens où les acteurs de la menace tenteront d'exploiter toutes les vulnérabilités de l'organisation. Il est indispensable d'identifier et de surveiller continuellement les partenaires et clients au sein de la chaîne d'approvisionnement numérique pour anticiper les risques potentiels » a déclaré Wade Baker, partenaire et cofondateur du Cyentia Institute. « En ayant une visibilité pleine et entière sur la situation de sécurité de leurs tierces et quatrièmes parties, les organisations peuvent ensuite se rapprocher de leurs prestataires afin de combler avec eux les failles de cybersécurité dans leur infrastructure et réduire leur propre niveau de cyber-risque ».

À propos de SecurityScorecard

Financée par des investisseurs de classe internationale comme Evolution Equity Partners, Silver Lake Waterman, Sequoia Capital, GV, Riverwood Capital et d'autres, SecurityScorecard est le leader mondial des évaluations de cybersécurité avec plus de 12 millions d'entreprises évaluées en permanence. Fondée en 2013 par les Drs Aleksandr Yampolskiy et Sam Kassoumeh, experts en sécurité et en gestion des risques, SecurityScorecard propose une technologie de notation brevetée qui est utilisée par plus de 30 000 organisations pour la gestion des risques d'entreprise et de tiers, les rapports au conseil d'administration, la diligence raisonnable, la souscription d'assurances contre les risques informatiques et la supervision réglementaire. Première société d'évaluation de la cybersécurité à proposer des services d'informatique légale et de réponse aux incidents, SecurityScorecard offre à sa base mondiale de clients et de partenaires une approche à 360° de la prévention et de la réponse en matière de sécurité. SecurityScorecard continue de rendre le monde plus sûr en transformant la manière dont les entreprises comprennent, améliorent et communiquent à propos des risques de cybersécurité à leurs conseils d'administration, employés et fournisseurs. Toute organisation a le droit universel de bénéficier de la notation fiable et transparente Instant SecurityScorecard de la société. Pour en savoir plus, rendez-vous sur securityscorecard.com ou suivez-nous sur LinkedIn.

À propos du Cyentia Institute

Le Cyentia Institute est un cabinet de recherche et de science des données qui s'efforce d'améliorer la connaissance et les pratiques en matière de cybersécurité. Cyentia réalise des études étayées par des données comme celle présentée ici et propose un catalogue de services analytiques qui ne cesse de s'enrichir. Plus d'informations : www.cyentia.com.

