Les attaques de la chaîne d’approvisionnement se multiplient, ce qui coûte plus cher aux entreprises d’année en année, car les organisations ne parviennent pas à mettre en œuvre des stratégies de confiance zéro.

C’est selon la nouvelle version d’IBM Coût d’un rapport de violation de donnéesqui a révélé qu’une violation sur cinq se produisait en raison d’un compromis chez un partenaire commercial, une violation de la chaîne d’approvisionnement prenant en moyenne 26 jours de plus à identifier et à contenir que la moyenne mondiale.

Le coût total d’une compromission de la chaîne d’approvisionnement était de 4,46 millions de dollars, soit 2,5 % de plus que la moyenne.

Le rapport a également révélé que le coût moyen mondial d’une violation de données a atteint un niveau record de 4,35 millions de dollars, soit une hausse de près de 13 % au cours des deux dernières années.

« Dix-sept pour cent des violations dans les organisations d’infrastructures critiques se sont produites en raison de la compromission initiale d’un partenaire commercial – cela nous montre que les organisations doivent se concentrer davantage sur les contrôles de sécurité qui régissent l’accès des tiers », John Hendley, responsable de la stratégie chez IBM Security X-Force a dit.

Zéro confiance, zéro problème ?

Les organisations d’infrastructures critiques telles que les services financiers, les entreprises industrielles, de transport et de santé sont une cible croissante de ces attaques, déclare IBM, et la confiance zéro est le meilleur moyen de se prémunir contre les attaques.

« Les entreprises doivent être plus vigilantes que jamais et examiner de près ces points d’accès externes à leur environnement, que ce soit via un accès direct au réseau, des applications ou même un accès physique », déclare Hendly.

« Les attaques de la chaîne d’approvisionnement sont très préoccupantes, à la fois en raison de leur caractère insidieux et de l’ampleur de leurs impacts. Nous avons vu cela se jouer avec SolarWinds, et nous verrons sûrement plus de ces attaques à l’avenir.

Les organisations qui avaient mis en place une approche de sécurité Zero Trust ont vu les violations leur coûter moins cher, avec une économie moyenne de 1,5 million de dollars.

Cependant, les organisations d’infrastructures critiques en particulier ne parviennent pas à le faire, avec seulement une personne sur cinq ayant adopté un modèle de confiance zéro, contre une moyenne mondiale globale de 41 %.

Javvad Malik, principal défenseur de la sensibilisation à la sécurité chez KnowBe4, déclare qu’une plus grande transparence est nécessaire tout au long de la chaîne d’approvisionnement, ainsi qu’une plus grande assurance technique que tous les composants sont correctement sécurisés.

«Nous avons vu de nombreuses organisations violées, non pas pour l’organisation elle-même, mais parce qu’elle ouvrira une voie vers une autre. Des exemples populaires de ceux-ci incluent Target, RSA et, plus récemment, SolarWinds », a-t-il déclaré.

« Alors que de nombreuses organisations tentent d’atténuer les risques en envoyant de longs questionnaires aux tiers avec lesquels elles traitent pour déterminer le niveau de sécurité qu’elles emploient, cela n’est souvent pas suffisant pour couvrir l’ensemble de la chaîne d’approvisionnement, et même si c’était le cas, cela ne suffit pas. fournir une assurance technique.