Le problème de cybersécurité des tiers pour les organisations financières (Terry Olaes)

Les institutions financières d'aujourd'hui subissent une transformation pour moderniser leurs organisations, s'appuyant de plus en plus sur l'externalisation des tâches opérationnelles à des tiers pour gagner en efficacité. De nombreuses grandes organisations financières disposent de vastes réseaux tiers composés de nombreux fournisseurs et vendeurs. En fait, Gartner a constaté que

60% d'organisations travaillent avec plus de 1,000 XNUMX tiers, et ce nombre ne fera qu'augmenter à mesure que les entreprises deviennent plus complexes.

Alors que les organisations financières continuent de s'appuyer sur des tiers, on ne saurait trop insister sur l'importance de maintenir un solide plan de gestion des risques pour gérer les risques plus efficacement et assurer la conformité réglementaire. Grâce à cette approche, les organisations financières peuvent obtenir une meilleure compréhension de leurs vulnérabilités aux cyberattaques et concentrer leurs efforts de remédiation en conséquence, économisant ainsi des ressources précieuses en identifiant avec précision les menaces les plus percutantes.

Le risque des réseaux tiers

Bien que les partenariats avec des tiers contribuent à simplifier les fonctions commerciales essentielles, ils augmentent également les enjeux pour les institutions financières en termes de cyber-risque. Cela peut devenir particulièrement compliqué avec autant d'entités et de services à sécuriser et à surveiller, ainsi que des organisations tierces susceptibles d'être connectées à des entités supplémentaires qui pourraient également être la source de risques de cybersécurité. Le catalogue de problèmes de sécurité potentiels de tiers peut être catastrophique, menaçant les informations sensibles des employés et des clients, les données financières, ainsi que les opérations au sein de la chaîne d'approvisionnement de l'organisation et d'autres entités externes ayant accès à des systèmes privilégiés. Un rapport du
Ponemon Institute ont constaté que 51 % des entreprises ont subi une violation de données causée par un tiers.

Pour protéger les systèmes et les données sensibles contre les risques de tiers, de nombreuses organisations de services financiers investissent dans des processus d'assurance qui, à des degrés divers, nécessitent une évaluation indépendante de la cyberconformité de tiers par le biais de tests d'intrusion ou d'une certification SOC 2 Type 2. Bien que cette approche soit pratique, ce type d'évaluation est coûteux, présente des lacunes de visibilité et ne représente toujours qu'une approximation du risque à un moment donné.

Une nouvelle approche de la gestion du risque tiers

La complexité croissante des réseaux tiers a rendu la visibilité sur l'impact causé par les vulnérabilités particulièrement difficile, en particulier pour les grandes organisations. Les organisations financières ont besoin d'une approche moderne de la cybersécurité, capable d'identifier, de mesurer, de hiérarchiser et de gérer tous les risques. Pour créer une approche axée sur les risques capable de lutter contre les risques de tiers, les organisations financières devraient envisager de mettre en œuvre quelques stratégies essentielles :

• Évaluation des risques: La notation des risques cyber fournit un cadre objectif pour évaluer la posture de sécurité qui prend en compte un large éventail de facteurs de risque internes et externes à une organisation. En convertissant ces évaluations en une représentation facile à saisir du cyber-risque quantitatif, les organisations peuvent mieux comprendre le degré de sécurité de leurs actifs et les points à améliorer.
• Hiérarchisation des vulnérabilités: cette stratégie prend automatiquement en compte les renseignements sur les menaces, le contexte des actifs et l'analyse du chemin d'attaque. Les organisations avec des environnements complexes et des ressources limitées peuvent cibler leurs efforts là où cela compte en priorisant et en atténuant les vulnérabilités qui présentent le risque le plus important.
• Analyse de l'exposition: L'analyse de l'exposition identifie les vulnérabilités exploitables et corrèle les données avec les configurations réseau et les contrôles de sécurité d'une organisation pour déterminer si un système est vulnérable aux cyberattaques. Cette stratégie détermine quels vecteurs d'attaque ou chemins réseau pourraient être utilisés pour accéder aux systèmes vulnérables. Il permet également des options plus granulaires lorsqu'un tiers présente un risque inacceptable en identifiant ses points d'accès au réseau et en fournissant une option « kill switch » pour mettre le partenaire hors ligne sans affecter les autres partenaires.

Des stratégies de cybersécurité efficaces doivent fournir une assurance continue des risques et vulnérabilités de tiers. Une approche moderne et basée sur les risques de la cybersécurité permet la simulation d'attaque, la conformité et la visibilité qui permettent aux organisations de voir tous les points d'entrée et d'accès et d'effectuer une analyse du chemin et de l'exposition. En mettant en œuvre une approche de la cybersécurité basée sur les risques, les organisations financières peuvent réellement atténuer les risques de cybersécurité des tiers.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
• Frapper l'avenir avec Adryenn Ashley. Accéder ici.
• La source: https://www.finextra.com/blogposting/24140/the-third-party-cybersecurity-problem-for-financial-organizations?utm_medium=rssfinextra&utm_source=finextrablogs