Les risques de Nth-Party identifiés dans le rapport RiskRecon et Cyentia soulignent le besoin d’un réseau de contenu privé
Risques de la chaîne d’approvisionnement soulignés dans un nouveau rapport
Comprendre l’entrelacs complexe des relations avec les tiers et les risques qu’ils posent n’a jamais été aussi crucial. Le nouveau rapport de Riskrecon et Cyentia, intitulé “Risque au degré Nth-Party : Démêler la toile enchevêtrée,” met en lumière un aspect crucial souvent négligé dans la gestion des risques : l’extension du risque fournisseur au-delà des tiers immédiats. Ce billet de blog vise à guider les responsables de la sécurité, de la gestion des risques et de la conformité à travers les principales conclusions et perspectives de ce rapport complet.
Vous croyez que votre organisation est sécurisée. Mais Pouvez-vous le vérifier?
Au cœur de ce rapport se trouve le concept de risque “nth-party”. Les approches traditionnelles de gestion des risques se concentrent souvent sur les relations directes avec les tiers. Cependant, les entreprises sont enchevêtrées dans un réseau d’organisations interconnectées beaucoup plus complexe. Ce risque “nth-party” s’étend bien au-delà des fournisseurs directs, est souvent invisible, mais recèle un potentiel de conséquences significatives et étendues. Le rapport souligne que les attaques sur n’importe quel segment de ce réseau complexe peuvent déclencher un effet domino, impactant plusieurs organisations simultanément.
Étonnamment, l’étendue du risque nth-party est souvent sous-estimée. Le rapport se penche sur la prévalence stupéfiante de ces risques, soulignant à quel point les chaînes d’approvisionnement sont profondément et intrinsèquement interconnectées. Cette interconnexion signifie que les risques augmentent à mesure que l’on s’éloigne des fournisseurs centraux. Plus la distance est grande, plus les organisations deviennent diverses et potentiellement plus risquées.
Nature expansive du risque de chaîne d’approvisionnement
Le rapport RiskRecon révèle une réalité frappante : les chaînes d’approvisionnement ne sont pas linéaires mais forment une vaste toile qui s’étend souvent jusqu’à la huitième partie et au-delà. De manière remarquable, 87% des chaînes d’approvisionnement analysées dans le rapport atteignent ce niveau, signifiant un réseau complexe où le risque n’est pas seulement une question de tiers, mais une préoccupation nth-party.
De plus, le rapport souligne que la plupart des risques fournisseurs sont concentrés dans les quatrième et cinquième niveaux. Cette découverte est cruciale. Cela signifie que si les effets en cascade d’un incident de la chaîne d’approvisionnement peuvent s’étendre à des niveaux éloignés, le cœur du risque se situe souvent plus près, au sein de ces couches intermédiaires.
Le volume pur et simple de ces connexions est stupéfiant. Les chiffres médians du rapport montrent qu’une organisation typique traite avec 45 fournisseurs de troisième niveau, 328 entités de quatrième niveau, et 301 organisations de cinquième niveau supplémentaires. Cette augmentation exponentielle du nombre de tiers au quatrième et cinquième niveau (près de 14 fois plus), souligne l’insuffisance des stratégies traditionnelles de gestion des risques de la chaîne d’approvisionnement qui se concentrent uniquement sur les fournisseurs directs.
Décrypter la Toile d’Interdépendance
Le rapport met également en lumière le réseau complexe de relations récurrentes et interdépendantes au sein des chaînes d’approvisionnement. Plus de 80% des entreprises ont des connexions récurrentes avec des tiers, où leurs fournisseurs servent également d’autres partenaires. Cette interdépendance signifie qu’un incident dans une partie de la chaîne d’approvisionnement peut rapidement se propager à travers plusieurs couches, impactant les opérations bien au-delà du point initial de perturbation.
Une représentation visuelle frappante dans le rapport illustre cette interdépendance au sein de la chaîne d’approvisionnement d’une organisation échantillon. Elle démontre de manière vivante comment les incidents chez les fournisseurs de troisième et quatrième niveau peuvent multiplier l’exposition au risque en raison de ces connexions superposées.
Des Couches Plus Profondes de la Chaîne d’Approvisionnement et des Menaces en Augmentation
En nous enfonçant plus profondément dans la chaîne d’approvisionnement, le rapport révèle une tendance inquiétante : une diminution de la supervision et une augmentation de la vulnérabilité. On note une diminution notable du niveau de discrétion et de rigueur appliqué aux partenariats à mesure que nous nous éloignons des relations directes avec les tiers. Ce relâchement de la vigilance est en corrélation avec une augmentation significative du risque de violation.
La posture de risque cybernétique à travers ces couches est révélatrice. Alors que 21% des tiers ont subi une violation au cours des trois dernières années, ce chiffre diminue pour les relations plus profondes. Cependant, à partir des niveaux de cinquième et sixième partie, de nombreux fournisseurs ne reçoivent que des notes C ou inférieures en termes de sécurité, avec 14,6% des cinquièmes parties obtenant des notes D et F.
En termes de diversité de la chaîne d’approvisionnement, la plus grande variance émerge aux niveaux de cinquième et sixième partie. Cette diversité, bien que bénéfique à certains égards, est en corrélation avec une probabilité accrue de violations de la part des n-ièmes parties. Cette constatation souligne un point crucial : la diversité dans la chaîne d’approvisionnement peut être une épée à double tranchant, offrant une résilience d’une part, mais introduisant des pratiques variées et des vulnérabilités potentielles de l’autre.
Démêler l’Effet de Cascade dans les Perturbations de la Chaîne d’Approvisionnement
Le rapport fournit une analyse convaincante de la manière dont les perturbations dans la chaîne d’approvisionnement se propagent comme un feu de forêt. Un seul incident chez un fournisseur de troisième ou quatrième partie peut déclencher un effet domino, impactant une portion significative du réseau interconnecté.
Les statistiques sont révélatrices : une violation chez un fournisseur de troisième partie affecte, en moyenne, 29% des fournisseurs interconnectés. L’impact d’une violation de quatrième partie est également significatif, touchant en moyenne 12,8% des tiers. Les simulations du rapport suggèrent qu’au cours d’une période de trois ans, une violation au niveau d’une quatrième partie pourrait potentiellement affecter chaque fournisseur de troisième partie dans le réseau.
Cette propagation “virale” des incidents souligne l’impraticabilité des approches qui se concentrent sur le confinement ou l’isolement dans un environnement où les partenaires sont intrinsèquement liés. Elle souligne la nécessité d’une perspective globale qui reconnaît le potentiel d’impact généralisé de toute violation dans la chaîne d’approvisionnement.
Mise en œuvre de stratégies efficaces de gestion des risques de la chaîne d’approvisionnement
Reconnaissant la complexité et l’étendue du risque de la nième partie, les méthodes traditionnelles de gestion des risques sont insuffisantes. Le rapport suggère plusieurs étapes pratiques pour une approche plus complète :
1. Identification des fournisseurs à haute valeur
Identifiez et évaluez les fournisseurs qui, s’ils sont compromis, pourraient avoir un impact significatif sur vos opérations ou la sécurité de vos données. Étendez ces évaluations à leurs réseaux de quatrième et cinquième partie pour obtenir une image plus complète des risques potentiels.
2. Cartographie des intersections critiques
Identifiez les points clés où un seul fournisseur sert plusieurs partenaires. Ces nœuds sont cruciaux car ils représentent des points chauds potentiels pour la propagation des risques.
3. Surveillance automatisée des risques
Lors de la formation de nouveaux partenariats avec des fournisseurs, mettez en place des systèmes de surveillance automatisés. Cette approche dynamique permet une visibilité et une réactivité en temps réel à mesure que la surface d’attaque évolue.
4. Allocation des ressources
Répartissez les ressources de supervision de la sécurité de manière plus équilibrée entre les niveaux de la chaîne d’approvisionnement. Se concentrer uniquement sur les fournisseurs directs primaires laisse des vulnérabilités significatives non traitées dans les niveaux inférieurs.
Utilisez un réseau de contenu privé pour réduire les risques de la chaîne d’approvisionnement
Les réseaux de contenu privé activés par Kiteworks facilitent la réduction des risques de sécurité des données dans les chaînes d’approvisionnement en fournissant un partage de fichiers sécurisé et une collaboration, des contrôles de politique robustes et des journaux d’audit détaillés. La capacité de partage de fichiers sécurisé de la plateforme est essentielle pour atténuer les vulnérabilités de la chaîne d’approvisionnement, surtout lors du transfert d’informations sensibles. En utilisant le chiffrement, il garantit la confidentialité et l’intégrité des données pendant le transit et le stockage.
La gestion de la politique de confiance zéro dans Kiteworks permet aux organisations de faire respecter la conformité à diverses réglementations, telles que NIST 800-171, renforçant ainsi davantage la posture de sécurité contre les risques de tiers. De plus, les journaux d’audit détaillés fournis par Kiteworks offrent transparence et traçabilité, permettant aux organisations de surveiller et d’analyser les activités d’échange de données. Cette approche globale de la sécurité des données protège non seulement contre les violations, mais améliore également la conformité réglementaire au sein de la chaîne d’approvisionnement.
Les informations du rapport exigent des actions
Si l’on peut dire quelque chose, le rapport de RiskRecon et Cyentia comprend que le risque de la chaîne d’approvisionnement est bien plus complexe et interconnecté qu’on ne le reconnaissait auparavant. Les informations du rapport servent d’appel à une approche plus étendue et nuancée de la gestion des risques de la chaîne d’approvisionnement. En adoptant une stratégie globale qui comprend une surveillance et une atténuation continues des menaces sur l’ensemble de l’écosystème de la chaîne d’approvisionnement et une gouvernance complète des communications de contenu sensible, les organisations peuvent améliorer considérablement leur résilience et leur fiabilité opérationnelle face aux perturbations inévitables.
Pour plus d’informations sur le réseau de contenu privé Kiteworks, planifiez une démonstration personnalisée aujourd’hui.
Ressources supplémentaires
- Brief Exploitez l’évolution de l’IA et combattez les fuites de données avec Kiteworks
- Brief Obtenez un échange de données renforcé avec SFTP et SMTP dans Kiteworks
- eBook Sécurisez les données en mouvement avec SFTP
- eBook Découvrez le rôle critique de la conformité FIPS 140-2 dans la protection de vos données sensibles
- Brief Renforcez votre entreprise avec des intégrations Kiteworks sur mesure et sécurisées