En matière de cybersécurité des tiers, la petite taille peut être néfaste, selon une étude menée par CyberGRX

Les initiatives de transformation numérique impliquent souvent des relations plus étroites avec d'autres entreprises, mais celles-ci peuvent exposer une compagnie à un risque supplémentaire si la sécurité de l'autre partie n'est pas à la hauteur.

De nouvelles recherches de CyberGRX, basées sur les données collectées auprès des tiers lors de son échange, montrent que la taille des entreprises est en corrélation avec la maturité des programmes de cybersécurité. Plus précisément, plus les entreprises sont petites, moins elles ont de contrôles en place et moins les programmes sont matures.

Un rapport récent de Ponemon indique que 82 % des organisations ont subi une ou plusieurs violations de données causées par une tierce partie, dont le coût moyen de réparation s'élève à 7,5 millions de dollars.


Lorsqu'il y a de nombreux tiers dans l'écosystème des fournisseurs d'une entreprise, il devient difficile - mais plus important que jamais - de connaître la couverture de contrôle de chaque organisation. CyberGRX met en évidence quatre "groupes de contrôle" qui doivent être pris en compte :

  • Contrôles stratégiques qui portent sur les politiques, la planification et la gouvernance en matière de cybersécurité et de protection de la vie privée.
  • Les contrôles opérationnels qui couvrent les activités de sécurité quotidiennes telles que l'analyse des menaces, la réponse aux incidents et la gestion des vulnérabilités.
  • Des contrôles fondamentaux constitués de mesures de protection techniques comme le cryptage des données, la gestion des clés et la protection des points d'accès.
  • Les contrôles de gestion qui se concentrent sur les processus ou les fonctions liés à la sécurité tels que la gestion de la configuration et des changements ou la gestion des risques par des tiers.


L'étude montre que les entreprises dont le chiffre d'affaires est compris entre 1 et 10 millions de dollars ont une couverture plus faible dans tous les groupes de contrôle, en particulier dans les contrôles de base (82 %) et les contrôles de gestion (78 %). Cela souligne le fait qu'il est essentiel de faire preuve d'une diligence raisonnable complète à l'égard de tous les fournisseurs, quelle que soit leur taille.

Les auteurs du rapport concluent : "Le simple fait de prêter attention aux données de cybersécurité au niveau de la surface ou de procéder à un balayage extérieur-intérieur, par exemple, n'est que la partie émergée de l'iceberg. Pour avoir une visibilité complète de la cybersanté des tiers, les entreprises doivent connaître le niveau de maturité des programmes de sécurité des fournisseurs. En effet, avoir des programmes efficaces, évolutifs et adaptables signifie aussi plus de sécurité pour votre entreprise".

Source : CyberGRX

Et vous ?

Qu'en pensez-vous ?