Selon recherches récentes, 54 % des entreprises ont subi une violation de données de tiers au cours des 12 mois précédents seulement – et le coût de ces violations continue d'augmenter. Aujourd'hui le coût moyen d'une violation de données a atteint 4.45 millions de dollars aux États-Unis, soit une augmentation de plus de 15 % au cours des trois dernières années, et les données indiquent que l'implication de tiers est l'un des facteurs exacerbants les plus importants.
Le terme « violation par un tiers » laisse penser que la responsabilité d'un tel incident incombe au tiers, mais ce n'est pas toujours le cas. S’il est important d’examiner minutieusement les pratiques de sécurité des partenaires et fournisseurs potentiels, les organisations doivent également sécuriser et gérer efficacement les identités des non-employés pour éviter de s’exposer à des risques inutiles. Alors que le volume et la gravité des violations de tiers continuent de croître, la mise en œuvre efficace gestion des risques non-salariés les pratiques deviendront de plus en plus critiques pour les entreprises modernes.
Les identités des non-employés montent en flèche
Le volume d’identités utilisées par une organisation moyenne a explosé au cours des dernières années, et les identités des non-employés ne font pas exception. UN étude récente par McKinsey a révélé que 36 % de la main-d'œuvre américaine est désormais composée de travailleurs à la demande, sous contrat, indépendants et temporaires, contre 27 % en 2016. En plus des travailleurs contractuels, les entreprises d'aujourd'hui travaillent en étroite collaboration avec des organisations partenaires, des fournisseurs de la chaîne d'approvisionnement, des consultants et d'autres entités externes, qui nécessitent tous différents degrés d'accès aux environnements numériques de l'organisation.
Le volume d'identités non-employées est suffisamment important sans aborder les identités non humaines, telles que celles associées aux 130 applications SaaS (Software-as-a-Service) différentes que entreprise moyenne utilise aujourd'hui. Pour travailler dans l'environnement numérique d'une organisation, ces entités non-employées ont chacune besoin d'identités correctement provisionnées, et ces identités doivent être gérées efficacement tout au long de leur cycle de vie pour réduire leurs risques et éviter de devenir une menace potentielle.
Le cycle de vie de l’identité des non-employés
L’un des plus grands défis lorsqu’il s’agit de sécuriser et de gérer les identités des non-employés est le processus d’intégration. Les services informatiques et de sécurité ne disposent pas toujours des informations nécessaires sur les fonctions spécifiques qu'un travailleur non salarié peut devoir effectuer, ce qui rend le provisionnement difficile. Et comme les équipes de sécurité sont souvent sous pression pour éviter d’entraver les opérations commerciales, la solution la plus simple consiste souvent à accorder plus d’autorisations que nécessaire. Cela permet de rationaliser les opérations, mais c'est aussi dangereux : plus une identité dispose d'autorisations, plus un attaquant peut causer des dégâts si cette identité est compromise.
La nature transitoire des travailleurs non salariés rend également difficile la gestion du cycle de vie de l’identité. Les comptes orphelins constituent un problème important : si personne n'informe le service informatique ou la sécurité qu'un sous-traitant a quitté l'entreprise, son compte, avec toutes ses autorisations et droits, peut rester actif indéfiniment. Les autorisations héritées ou les comptes en double sont tout aussi dangereux. Il est important de réévaluer régulièrement les autorisations dont un travailleur contractuel a besoin, en éliminant les droits qui ne sont plus nécessaires. Cela semble simple, mais les organisations d’aujourd’hui gèrent souvent des centaines, voire des milliers de non-employés. Les maintenir correctement approvisionnés constitue un défi de taille, mais il est essentiel à la gestion des risques non liés aux employés.
Meilleures pratiques pour la gestion des risques liés aux non-employés
Les organisations ont besoin d'une solution capable de visualiser toutes les identités des non-employés à partir d'un seul tableau de bord, une solution qui puisse également illustrer clairement les autorisations et les droits dont bénéficie chaque identité. Cela signifie disposer d’une solution pouvant intégrer des fonctionnalités automatisées, facilitant ainsi le provisionnement de nouveaux comptes et la mise hors service des anciens.
La création de rôles prédéfinis pour certains postes peut rendre l'intégration plus rapide et plus sécurisée, et lorsqu'un nouveau non-employé commence à travailler, ses autorisations doivent avoir une date de fin. Il est également important d'attribuer un « parrain » interne à chaque travailleur non salarié, quelqu'un qui connaît les autorisations dont il a besoin pour effectuer son travail et qui est chargé d'alerter le service informatique de tout changement dans son statut. Par extension, il est également essentiel que la solution suive les changements de parrainage, par exemple lorsque le sponsor quitte l'organisation ou assume un nouveau rôle.
Une solution efficace de gestion des risques non-salariés devrait également faciliter le processus de revalidation. Les organisations doivent effectuer des contrôles réguliers pour vérifier si des non-employés travaillent toujours au sein de l'organisation. Cela peut inclure une notification mensuelle envoyée au sponsor de chaque non-employé pour confirmer son statut.
Le système doit également être capable de surveiller si les autorisations sont activement utilisées et d'avertir les équipes informatiques et de sécurité si une identité semble être soit inactive, soit surapprovisionnée en droits dont elle n'a pas besoin. Vérifier que les identités disposent uniquement des droits dont elles ont besoin et éviter le problème des comptes orphelins font partie des éléments les plus importants de la gestion des risques non-salariés.
Alors que les entreprises font appel à un nombre croissant de travailleurs contractuels, de fournisseurs tiers, d'applications SaaS et d'autres entités non-employées, l'adoption d'une approche moderne de la gestion des risques non-employés n'est plus facultative : elle est essentielle.
À propos de l’auteur
Ben Cody a plus de 30 ans d'expérience dans la création et la fourniture de produits logiciels d'entreprise, ainsi que dans la direction d'organisations de produits innovantes et efficaces. En tant que vice-président principal de la gestion des produits chez SailPoint, Ben supervise la stratégie produit, la feuille de route et la livraison de l'entreprise. Avant de rejoindre SailPoint, Ben a occupé des postes de direction produit chez Digital Guardian et McAfee. Son expertise couvre la gestion des identités et des accès, la protection des données, la détection des menaces, la sécurité du cloud et la gestion des services informatiques. Ben est titulaire d'un BAA en systèmes d'information de gestion de l'Université d'Oklahoma. Lorsqu’il ne fabrique pas des produits qui protègent les identités, il est un vigneron passionné.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- GraphiquePrime. Élevez votre jeu de trading avec ChartPrime. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/risk/facing-third-party-threats-with-non-employee-risk-management
- :possède
- :est
- :ne pas
- $UP
- 12
- 12 mois
- 15%
- 2016
- 30
- a
- A Propos
- accès
- Compte
- hybrides
- infection
- activement
- ajout
- L'adoption d'
- Tous
- seul
- aussi
- toujours
- parmi
- an
- ainsi que le
- tous
- apparaît
- applications
- une approche
- SONT
- AS
- associé
- At
- Automatisation
- moyen
- éviter
- en évitant
- BE
- car
- devenez
- devenir
- va
- CROYONS
- bien
- Le plus grand
- violation
- infractions
- Développement
- la performance des entreprises
- entreprises
- mais
- by
- CAN
- capable
- maisons
- certaines
- chaîne
- challenge
- globaux
- Modifications
- Contrôles
- clairement
- étroitement
- le cloud
- Cloud Security
- vient
- Société
- complet
- Compromise
- Confirmer
- consultants
- continuer
- continue
- contrat
- Entrepreneur
- Prix
- critique
- cycle
- dangereux
- tableau de bord
- données
- violation de données
- protection des données
- Date
- livrer
- page de livraison.
- départements
- Détection
- différent
- difficile
- numérique
- do
- Don
- pendant
- chacun
- plus facilement
- Efficace
- de manière efficace
- efficace
- non plus
- éléments
- l'élimination
- fin
- assez
- Entreprise
- logiciels d'entreprise
- entités
- Environment
- environnements
- également
- essential
- exception
- d'experience
- nous a permis de concevoir
- extension
- facteurs
- plus rapide
- Fonctionnalités:
- Pour
- trouvé
- freelance
- De
- fonctions
- obtention
- subvention
- Croître
- tuteur
- Vous avez
- ayant
- he
- Tenue
- aide
- sa
- détient
- HTTPS
- Des centaines
- IBM
- identités
- Identite
- if
- la mise en œuvre
- important
- in
- incident
- comprendre
- intégrer
- Améliore
- croissant
- de plus en plus
- indique
- d'information
- Systèmes D'Information
- technologie innovante
- interne
- développement
- participation
- ISN
- IT
- Service informatique
- SES
- Emploi
- joindre
- en gardant
- conduisant
- Conduit
- au
- à gauche
- Legacy
- se trouve
- VIE
- plus long
- LES PLANTES
- a prendre une
- FAIT DU
- Fabrication
- gérer
- gérés
- gestion
- Solution de gestion
- les gérer
- de nombreuses
- largeur maximale
- Mai..
- Mcafee
- McKinsey
- veux dire
- pourrait
- million
- Villas Modernes
- Stack monitoring
- mensuel
- mois
- PLUS
- (en fait, presque toutes)
- Nature
- nécessaire
- Besoin
- Besoins
- Nouveauté
- aucune
- déclaration
- notification
- maintenant
- nombre
- of
- souvent
- Oklahoma
- on
- Onboarding
- ONE
- et, finalement,
- uniquement
- Opérations
- or
- organisation
- organisations
- Autre
- au contrôle
- plus de
- les partenaires
- partenaires,
- fête
- passé
- chemin
- Effectuer
- autorisations
- Platon
- Intelligence des données Platon
- PlatonDonnées
- positions
- défaillances
- pratiques
- président
- la parfaite pression
- précédent
- Avant
- Problème
- processus
- Produit
- gestion des produits
- Produits
- correctement
- protéger
- protection
- disposition
- Putting
- réduire
- Standard
- régulièrement
- rester
- exigent
- Résistance
- responsables
- Augmenter
- Ressuscité
- Analyse
- la gestion des risques
- feuille de route
- Rôle
- rôle
- s
- SaaS.
- sécurisé
- sécurisation
- sécurité
- supérieur
- envoyé
- service
- plusieurs
- devrait
- significative
- étapes
- unique
- Logiciels
- sur mesure
- Quelqu'un
- travées
- groupe de neurones
- parrainer
- Sponsorisé
- parrainé
- départs
- États
- Statut
- Encore
- de Marketing
- rationaliser
- succès
- tel
- souffert
- la quantité
- chaîne d'approvisionnement
- combustion propre
- Système
- prend
- équipes
- raconte
- temporaire
- terme
- que
- qui
- La
- leur
- Les
- se
- Ces
- l'ont
- Troisièmement
- des tiers.
- données de tiers
- this
- complètement
- ceux
- milliers
- menace
- des menaces
- trois
- tout au long de
- à
- aujourd'hui
- suivre
- oui
- sous
- Uni
- États-Unis
- université
- inutile
- us
- utilisé
- d'utiliser
- Usages
- utiliser
- VALIDER
- fournisseurs
- vérifier
- VET
- vice
- Vice-président
- le volume
- WELL
- Quoi
- quand
- que
- qui
- tout en
- WHO
- sera
- comprenant
- dans les
- sans
- activités principales
- travailleur
- ouvriers
- Nos inspecteurs
- de travail
- années
- zéphyrnet