Les principales conclusions comprennent :

75% des violations par des tiers ciblaient la chaîne d’approvisionnement en logiciels et technologies
Les vulnérabilités de la chaîne d’approvisionnement technologique permettent aux acteurs malveillants d’étendre leurs opérations avec un minimum d’effort. Alors que 75 % des organisations aux niveaux de maturité les plus élevés déclarent que leur programme de risque tiers est manuel à partir de 2021, les entreprises doivent s’efforcer d’automatiser l’identification des fournisseurs et la gestion des cyber-risques dans l’ensemble de leur écosystème numérique.

64% des failles tierces liées au C10p
Le groupe de cybercriminalité notoire C10p était responsable de 64 % des violations imputables à des tiers en 2023, suivi seulement par LockBit avec seulement 7 %. La domination du C10p a été alimentée par des attaques à grande échelle exploitant une vulnérabilité critique du jour zéro dans le logiciel MOVEit.

61% des violations de tiers attribuées à MOVEit (CVE-2023-34362)
Les trois vulnérabilités les plus largement exploitées (MOVEit, CitrixBleed et Proself) étaient impliquées dans 77 % de toutes les violations tierces impliquant une vulnérabilité spécifiée. L’une des raisons de l’impact généralisé du zero-day MOVEit était qu’il permettait des compromissions de tiers, de quatrièmes et même de cinquièmes parties.

Au moins 29% des violations ont des vecteurs d’attaque tiers
STRIKE a constaté qu’environ 29 % de toutes les violations survenues en 2023 étaient imputables à un vecteur d’attaque tiers. Ce chiffre sous-estime probablement le pourcentage réel, car de nombreux rapports sur les violations ne précisent pas de vecteur d’attaque.

35 des violations par des tiers ont touché des établissements de santé
Les soins de santé et les services financiers sont apparus comme les secteurs les plus lourdement touchés par les violations de tiers, les soins de santé représentant 35 % du total des violations et les services financiers 16 %.

64 % de toutes les violations par des tiers se sont produites en Amérique du Nord
Les États-Unis en représentent à eux seuls 63 %. Cependant, les variations géographiques peuvent être plus difficiles à détecter en raison de l’attention massive des médias et des fournisseurs de sécurité sur les violations aux États-Unis et dans d’autres pays anglophones.

48% de toutes les violations au Japon impliquaient un vecteur d’attaque tiers
Alors que les violations par des tiers sont courantes à l’échelle mondiale, le Japon se démarque avec un taux nettement plus élevé. En tant que plaque tournante des services automobiles, manufacturiers, technologiques et financiers, les entreprises japonaises sont confrontées à d’importants cyber-risques liés à la chaîne d’approvisionnement en raison de leur dépendance internationale.

Couvrant l’activité des adversaires en 2023, le rapport est le premier à utiliser la nouvelle solution de renseignement sur les menaces BreachDetails de SecurityScorecard. Avec BreachDetails, SecurityScorecard a augmenté le niveau de couverture des données de violation de 50% par rapport à d’autres fournisseurs d’avis de violation en utilisant l’IA pour analyser les articles de presse, les notifications de ransomwares et les sources internationales.

Ryan Sherstobitoff, vice-président senior de la recherche et du renseignement sur les menaces, a déclaré : "L’écosystème des fournisseurs est une cible hautement souhaitable pour les groupes de ransomwares. Les victimes de violations tierces ne sont souvent pas au courant d’un incident jusqu’à ce qu’elles reçoivent une note de ransomware, ce qui laisse le temps aux attaquants d’infiltrer des centaines d’entreprises sans être détectés.

Le cyber-risque tiers est un risque commercial
Comme cité dans les nouvelles exigences de divulgation des incidents de cybersécurité de la SEC, SecurityScorecard a découvert que 98% des organisations ont une relation avec un tiers qui a été violée. Selon Gartner® Research, "le coût d’une cyber-violation par un tiers est généralement 40% plus élevé que le coût de résolution d’une violation de cybersécurité interne." Le coût moyen d’une violation de données atteignant 4,45 millions de dollars en 2023, les organisations doivent prendre les devants de manière proactive. opérationnaliser la gestion des cyber-risques de la chaîne d’approvisionnement pour atténuer les risques commerciaux.

Le Dr Aleksandr Yampolskiy, PDG et co-fondateur de SecurityScorecard, a déclaré : "À l’ère du numérique, la confiance est synonyme de cybersécurité. Les entreprises doivent améliorer leur résilience en mettant en œuvre une gestion continue des cyber-risques, basée sur des mesures et alignée sur les activités, dans leurs écosystèmes numériques et tiers."