SecurityScorecard : 90 % des sociétés énergétiques ont subi une violation par un tiers au cours de la dernière année
décembre 2023 par SecurityScorecard
SecurityScorecard a publié une étude révélant que 90 % des plus grandes sociétés énergétiques mondiales ont été victimes d’une violation de données par des tiers au cours des 12 derniers mois. L’étude montre à quel point le secteur de l’énergie est confronté à une menace importante liée aux risques liés aux tiers, dans lesquels les attaquants ciblent l’écosystème des fournisseurs d’une organisation.
Grâce à des renseignements sur les violations de données alimentés par l’IA et à des chercheurs d’élite sur les menaces, SecurityScorecard identifie, mesure et gère activement les risques de menaces émergentes tout au long de la chaîne d’approvisionnement.
Les principales conclusions de cette recherche comprennent :
• 90 % des plus grandes sociétés énergétiques mondiales ont été victimes d’une violation de données par un tiers au cours des 12 derniers mois.
• 100 % des 10 plus grandes sociétés énergétiques américaines ont été victimes d’une violation de données par un tiers.
• 92 % des entreprises énergétiques évaluées ont été exposées à une violation par une quatrième partie.
• 33 % des entreprises énergétiques avaient une note de sécurité C ou inférieure, ce qui indique une probabilité plus élevée de violation.
• Au cours des 90 derniers jours, SecurityScorecard a identifié 264 incidents de violation liés à des compromissions tierces.
• MOVEit était la vulnérabilité tierce la plus répandue au cours des six derniers mois, touchant des centaines d’entreprises dans le monde.
Ryan Sherstobitoff, vice-président principal de la recherche et du renseignement sur les menaces chez SecurityScorecard, a déclaré : « Plus de deux ans après l’incident majeur du ransomware du pipeline américain, le monde manque toujours d’un cadre commun pour mesurer les cyber-risques. La transparence et le partage d’informations sur la cybersécurité sont essentiels à la sécurité nationale.
SecurityScorecard a analysé plus de 2 000 fournisseurs tiers et a découvert que seulement 4 % d’entre eux avaient eux-mêmes subi des violations. Cependant, pas moins de 90 % des entreprises évaluées ont été victimes de violations de la part de tiers. Lorsque des attaquants parviennent à compromettre un logiciel largement utilisé, ils peuvent potentiellement accéder à toutes les organisations qui s’appuient sur ce logiciel.
La majorité sous-estime les cyberattaques contre l’écosystème tiers
Comme cité dans les nouvelles exigences de divulgation des cyberincidents de la SEC, l’étude SecurityScorecard a révélé que 98 % des organisations font appel à au moins un fournisseur tiers qui a subi une violation au cours des deux dernières années.
Jim Routh, RSSI Fortune 500 et conseiller principal et président du conseil consultatif sur la cybersécurité SecurityScorecard, a ajouté : « L’espoir et la prière peuvent être utiles mais ne sont clairement pas des stratégies durables. Empêcher la vague d’attaques sur la chaîne d’approvisionnement nécessite d’appliquer systématiquement des données en temps réel déclenchant un flux de travail automatisé pour gérer les risques dans l’écosystème numérique.
Méthodologie
SecurityScorecard a analysé les profils de cybersécurité des 48 plus grandes sociétés énergétiques aux États-Unis, au Royaume-Uni, en France, en Allemagne et en Italie. Ces entreprises comprenaient les secteurs du charbon, du pétrole, du gaz naturel et de l’électricité. Au total, SecurityScorecard a examiné plus de 21 000 domaines et l’analyse a inclus à la fois leurs fournisseurs tiers et quatrièmes. Les 48 principales entreprises ont été classées en fonction de leurs revenus actuels.