Face à la multiplication des violations de données préjudiciables, les organisations cherchent à simplifier, automatiser et intégrer les données et les processus de gestion des risques stratégiques, opérationnels et informatiques afin de permettre une prise de décision plus efficace et plus globale. Cette approche centrée sur les risques étend les méthodologies traditionnelles axées sur la conformité des programmes de gouvernance, de gestion des risques et de conformité (GRC) afin de répondre aux exigences inévitables et en constante évolution en matière de sécurité et de confidentialité qui découlent de ces incidents de sécurité. Cette approche est communément appelée « gestion intégrée des risques » (IRM). Cette discipline n'est pas nouvelle ; il s'agit plutôt d'une évolution de la GRC visant à répondre à la tendance des organisations à rechercher des solutions qui fournissent des informations exploitables alignées sur leurs stratégies commerciales, et non pas principalement sur les exigences réglementaires.
Cependant, un élément clé que les organisations doivent prendre en compte lorsqu'elles élaborent leur stratégie IRM est l'impact des partenaires, fournisseurs et prestataires tiers sur les risques commerciaux. Ce blog a pour objectif de définir comment la gestion des risques liés aux tiers (TPRM) peut contribuer à l'élaboration d'une stratégie IRM holistique. L'IRM aligne les processus, les technologies et les personnes au sein d'une organisation grâce à un cadre reproductible pour la prise de décision basée sur les risques, et la TPRM joue un rôle essentiel dans cet alignement.
Amélioration des solutions IRM
Les solutions IRM sont essentielles pour gérer les risques organisationnels à des niveaux acceptables, mais certaines peuvent ne pas être adaptées pour obtenir une visibilité sur les risques liés aux fournisseurs, par exemple dans le cas d'une entreprise étendue. Afin de garantir que les programmes IRM répondent de manière adéquate aux exigences de conformité relatives aux tiers et de promouvoir une stratégie davantage axée sur les risques, nous recommandons de respecter un certain ensemble de bonnes pratiques.
Pour illustrer comment les capacités clés de la gestion des risques liés aux tiers s'intègrent dans un modèle commun, nous les avons mises en correspondance avec les capacités critiques de Gartner pour la gestion intégrée des risques dans le tableau ci-dessous. Utilisez ce tableau comme liste de contrôle pour évaluer si votre ensemble d'outils IRM existant peut répondre à vos besoins en matière de risques liés aux tiers. Veillez à consulter l'intégralité du rapport IRM de Gartner pour obtenir toutes les recommandations et le contexte relatifs aux meilleures pratiques, car ce tableau n'est qu'un résumé.
Principales capacités de gestion des risques liés aux tiers alignées sur le modèle IRM de Gartner
| Capacités critiques de Gartner pour la gestion des droits d'information (IRM) | Meilleures pratiques en matière de capacités TPRM pour renforcer l'IRM |
|---|---|
| Documentation/évaluation des risques et des contrôles – Documenter les risques et les contrôles associés afin de répondre aux exigences des audits internes/externes. | |
|
Contenu lié aux risques, y compris un cadre de gestion des risques, une taxonomie/bibliothèque, un catalogue d'indicateurs clés de risque (KRI) et les exigences légales, réglementaires et organisationnelles en matière de conformité. |
Bibliothèque de contenus/questionnaires standard préétablis, comprenant des informations spécifiques sur la conformité réglementaire et les performances des fournisseurs, avec la possibilité de créer votre propre évaluation personnalisée en fonction des besoins de votre organisation. |
|
Méthodologie d'évaluation des risques et capacités de calcul (par exemple, évaluation des risques selon la méthode « bow-tie ») |
Matrice des risques qui calcule les scores de risque en fonction de la probabilité de survenue et de l'impact sur l'activité ; complétée par une méthodologie FAIR. |
|
Documentation des politiques et cartographie des contrôles |
Un modèle de risque unifié qui relie automatiquement les informations recueillies à partir d'évaluations basées sur les contrôles aux cadres réglementaires afin de permettre la production de rapports clairs et exploitables. |
|
Flux de travail documentaire, y compris la rédaction, la gestion des versions et la validation |
Gestion bidirectionnelle des documents avec tâches, acceptation et fonctionnalités de téléchargement obligatoire |
|
Analyse d'impact sur les activités |
Quantifier l'évolution des risques au fil du temps, avec et sans application des mesures correctives requises. |
|
Documentation d'audit et gestion des tests |
Piste d'audit complète de toutes les communications internes et externes grâce à la fonctionnalité de workflow documentaire. |
|
Validation du contrôle par un tiers |
Bibliothèque d'évaluations basées sur les contrôles standard de l'industrie qui correspondent à n'importe quel cadre de contrôle (par exemple CoBiT, ISO, NIST, etc.) utilisé. |
| Gestion des incidents – Fournir un registre des incidents afin d'éclairer le processus d'évaluation des risques et de faciliter l'identification des causes des événements. | |
|
Saisie des données relatives aux incidents |
Surveiller en permanence les événements cybernétiques et commerciaux liés à des tiers afin de fournir des informations immédiates et des évaluations supplémentaires. |
|
Gestion des incidents et rapports |
Attribuer des tâches à l'un des nombreux intervenants internes afin de faciliter la poursuite de l'enquête. |
|
Analyse des causes profondes |
Inclure plusieurs flux de données externes afin d'enrichir la collecte de données et d'obtenir une vision plus complète des risques. |
|
Gestion de crise |
Identifier le flux de travail permettant de traiter en temps réel tout risque susceptible d'avoir un impact sur l'activité. |
|
Gestion des dossiers d'enquête |
Conserver une trace de toutes les communications et de tous les documents liés à un risque identifié afin de pouvoir y remédier. |
| Planification des mesures d'atténuation des risques – Élaborer des plans pour garantir que des mesures d'atténuation appropriées sont prises afin de répondre à l'appétit pour le risque de l'organisation. | |
|
Fonctionnalité de gestion de projet permettant de suivre l'avancement des initiatives, audits ou enquêtes liés aux risques |
Workflow de remédiation bidirectionnel permettant les discussions sur les registres des risques et la définition des dates d'achèvement/coûts |
|
Capacités de test de contrôle des risques, telles que la surveillance continue des contrôles |
Effectuer des évaluations récurrentes et intégrer les résultats des analyses cybernétiques externes du réseau. |
|
Contrôle de la cartographie des risques, des processus métier et des actifs technologiques |
Bibliothèque d'évaluations basées sur les contrôles standard de l'industrie qui correspondent à n'importe quel cadre de contrôle (par exemple CoBiT, ISO, NIST, etc.) utilisé. |
|
Contrôle de la conformité aux exigences légales et aux obligations réglementaires |
Un modèle de risque unifié qui met automatiquement en correspondance les informations recueillies à partir d'évaluations basées sur les contrôles avec les cadres réglementaires. |
| Surveillance/rapports KRI – Agrégation et rapport sur les niveaux de risque et les indicateurs de risque clés. | |
|
Fonctionnalités du tableau de bord/de la fiche d'évaluation des risques |
Le registre des risques est automatiquement alimenté à partir des enquêtes, avec une piste d'audit complète et la responsabilité des mesures correctives. |
|
Intégration de données externes (par exemple, données d'évaluation des vulnérabilités en matière de sécurité de l'information) |
Surveillance instantanée et continue des risques cybernétiques et commerciaux des fournisseurs, y compris les flux provenant de sources externes, avec hiérarchisation intelligente et enregistrement des risques. |
|
La capacité à relier les KRI aux indicateurs de performance |
Visualisez tous les fournisseurs et triez-les par niveau, score de risque, catégorie et importance pour l'entreprise afin d'améliorer la visibilité. |
| Quantification et analyse des risques – Réalisez une quantification et une analyse conformes aux exigences réglementaires. | |
|
Apprentissage automatique ou autres analyses basées sur l'intelligence artificielle (IA) |
|
|
Capacités d'analyse de scénarios de risques hypothétiques |
|
|
Capacités de modélisation statistique (par exemple, simulation Monte Carlo, valeur à risque et inférence statistique bayésienne) |
|
|
Analyse prédictive |
|
|
Allocation/calcul du capital |
|
|
Capacités de détection des fraudes |
|
Si votre stratégie IRM ne tient pas compte de ces meilleures pratiques en matière de TPRM, agissez dès maintenant. Téléchargez le guide des meilleures pratiques, Naviguer dans le cycle de vie des risques liés aux fournisseurs : les clés du succès à chaque étape, pour un examen complet des capacités requises pour prendre en compte les risques liés aux tiers dans votre programme IRM.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
