Comment répondre aux exigences ISO en matière de gestion des risques liés aux tiers

ISO 27001 et gestion des risques liés aux tiers

La norme ISO 27001 est une norme internationale qui évalue de manière rigoureuse les pratiques en matière de cybersécurité et de sécurité de l'information. Elle fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer en permanence les systèmes de gestion de la sécurité de l'information. Basée sur un ensemble d'exigences internationales, elle décrit une approche systématique pour gérer en toute sécurité les informations sensibles des entreprises.

Il existe deux suppléments à considérer comme des corollaires importants de la norme ISO 27001 en matière de gestion des risques liés aux tiers, notamment :

ISO/IEC 27002:2022 Sécurité de l'information, cybersécurité et protection de la vie privée — Contrôles de sécurité de l'information
ISO/IEC 27036-2:2022 Cybersécurité – Relations avec les fournisseurs — Partie 2 : Exigences

ISO 27002 et gestion des risques liés aux tiers

La norme ISO 27002 est une norme complémentaire qui fournit des conseils sur la manière de mettre en œuvre les contrôles de sécurité énumérés à l'annexe A de la norme ISO 27001. Elle aide les organisations à déterminer les mesures à mettre en place pour satisfaire à ces exigences.

Ensemble, les normes ISO 27001 et 27002 constituent le fondement de la plupart des normes ISO relatives à la cybersécurité. En ce qui concerne la gestion de la sécurité de l'information dans les relations avec les fournisseurs, la section 15 des normes ISO 27001 et ISO 27002 résume les exigences relatives à la sécurité des relations avec divers types de tiers.

ISO 27036-2 et gestion des risques liés aux tiers

La norme ISO 27036-2 spécifie les exigences fondamentales en matière de sécurité de l'information pour définir, mettre en œuvre, exploiter, surveiller, examiner, maintenir et améliorer les relations avec les fournisseurs et les acquéreurs. Cette norme est particulièrement pertinente pour la gestion des risques liés aux tiers, car les exigences couvrent l'approvisionnement et la fourniture de produits et de services.

Les clauses 6 et 7 de la norme ISO 27036-2 définissent les exigences fondamentales et de haut niveau en matière de sécurité de l'information applicables à la gestion de chaque étape du cycle de vie de la relation avec les fournisseurs.

Exigences ISO en matière de gestion des risques liés aux tiers

En utilisant une approche descendante basée sur les risques, les normes ISO fournissent les conseils suivants pour la gestion des fournisseurs :

Élaborez une politique de sécurité de l'information pour les relations avec les fournisseurs qui décrit les politiques et procédures spécifiques et impose la mise en place de contrôles spécifiques pour gérer les risques.
Établir des accords contractuels avec les fournisseurs pour tout tiers susceptible d'accéder, de traiter, de stocker, de communiquer ou de fournir une infrastructure informatique aux données d'une organisation.
Inclure des exigences visant à traiter les risques liés à la sécurité de l'information associés aux services des technologies de l'information et de la communication et à la chaîne d'approvisionnement des produits.
Surveiller, examiner et contrôler la prestation des services des fournisseurs.
Gérer les changements apportés aux services des fournisseurs, en tenant compte de la réévaluation des risques.

Mitratech aide à répondre à chacune de ces exigences.

Respecter les directives ISO relatives aux tiers grâce à la plateforme TPRM de Mitratech

Voici comment Mitratech peut vous aider à répondre aux normes de gestion des risques liés aux tiers dans les normes ISO 27001, 27002 et 27036-2.

Contrôles ISO 27001	Comment nous aidons
5 Contrôles organisationnels
5.1 Politiques de sécurité de l'information "La politique de sécurité de l'information et les politiques spécifiques doivent être définies, approuvées par la direction, publiées, communiquées et reconnues par le personnel concerné et les parties intéressées, et réexaminées à intervalles planifiés et en cas de changements importants." 5.2 Rôles et responsabilités en matière de sécurité de l'information "Les rôles et responsabilités en matière de sécurité de l'information doivent être définis et attribués en fonction des besoins de l'organisation.	Mitratech s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) conforme à vos programmes plus larges de sécurité de l'information, de cybersécurité et de protection de la vie privée, basé sur des pratiques éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques, et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers (de l'approvisionnement et la diligence raisonnable à la résiliation et au départ), en fonction de la propension au risque de votre organisation. Dans le cadre de ce processus, Mitratech peut vous aider à définir : Rôles et responsabilités clairement définis (par exemple, RACI) Inventaires de tiers Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation Méthodes d'évaluation et de suivi basées sur la criticité des tiers Cartographie quadripartite Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière) Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) Politiques, normes, systèmes et processus régissant la protection des données les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service Exigences en matière de réponse aux incidents Rapports sur les risques et les parties prenantes internes Stratégies d'atténuation des risques et de remédiation
5.7 Renseignements sur les menaces « Les informations relatives aux menaces pour la sécurité de l'information doivent être collectées et analysées afin de produire des renseignements sur les menaces. »	Mitratech assure un suivi et une analyse continus menaces externes envers des tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Les sources de surveillance comprennent plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises. Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier. Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.
5.11 Rendement des actifs "Le personnel et les autres parties intéressées, le cas échéant, doivent restituer tous les biens de l'organisation en leur possession en cas de changement ou de cessation de leur emploi, de leur contrat ou de leur accord.	Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Mitratech utilise des enquêtes et des flux de travail personnalisables pour générer des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité aux lois applicables, les paiements finaux, etc. La solution suggère également des mesures à prendre en fonction des réponses aux évaluations de départ et transmet les tâches aux réviseurs si nécessaire.
5.19 Sécurité de l'information dans les relations avec les fournisseurs "Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques de sécurité de l'information liés à l'utilisation des produits ou services du fournisseur."	Mitratech propose une bibliothèque de plus de 200 modèles prédéfinis, y compris des questionnaires ISO dédiés, pour évaluation des risques liés à la sécurité de l'information associé à des tiers. Les évaluations sont gérées de manière centralisée dans la plateforme TPRM de Mitratech. Elles s'appuient sur des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin d'assurer la visibilité des risques liés aux tiers tout au long de la relation avec les fournisseurs. Il est important de noter que Mitratech fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que les tiers traitent les risques de manière rapide et satisfaisante. Pour les organisations disposant de ressources et d'une expertise limitées, Mitratech peut gérer le cycle de vie des risques liés aux tiers à votre place, depuis l'intégration des fournisseurs et la collecte de preuves jusqu'à la fourniture de conseils en matière de remédiation et la création de rapports sur les accords de niveau de service (SLA) contractuels. Vous réduisez ainsi les risques liés aux fournisseurs et simplifiez la conformité sans alourdir la charge de travail de votre personnel interne.
5.20 Prise en compte de la sécurité de l'information dans les accords avec les fournisseurs "Les exigences pertinentes en matière de sécurité de l'information sont établies et convenues avec chaque fournisseur en fonction du type de relation qu'il entretient avec lui."	Mitratech centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il offre également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la sortie. Les principales capacités sont les suivantes Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles. Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats Discussion centralisée des contrats et suivi des commentaires Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.
5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des technologies de l'information et de la communication (TIC) "Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques liés à la sécurité de l'information dans la chaîne d'approvisionnement des produits et services TIC.	Mitratech normalise les évaluations par rapport aux meilleures pratiques ISO et à d'autres cadres de contrôle de la sécurité de l'information, fournissant aux équipes d'audit interne et de sécurité informatique une plateforme centrale pour mesurer et démontrer le respect des pratiques de développement logiciel sécurisé et du cycle de vie du développement logiciel (SDLC).
5.22 Suivi, révision et gestion des changements des services des fournisseurs "L'organisme doit régulièrement contrôler, examiner, évaluer et gérer les changements apportés aux pratiques de sécurité de l'information des fournisseurs et à la prestation de services.	Mitratech suit et analyse en permanence les menaces externes pesant sur les tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Les sources de surveillance comprennent plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises. Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier. Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.
5.23 Sécurité de l'information pour l'utilisation des services en nuage "Les processus d'acquisition, d'utilisation, de gestion et de sortie des services en nuage doivent être établis conformément aux exigences de l'organisation en matière de sécurité de l'information."	Mitratech normalise les évaluations par rapport à SOC 2, Cyber Essentials, ISO et d'autres cadres de contrôle de la sécurité de l'information, fournissant des évaluations des contrôles clés par rapport aux exigences des services cloud. Ces mêmes évaluations sont également utilisées pour évaluer les contrôles de sécurité de l'information lors de l'abandon des services en nuage.
5.24 Planification et préparation de la gestion des incidents de sécurité de l'information "L'organisme doit planifier et préparer la gestion des incidents de sécurité de l'information en définissant, en établissant et en communiquant les processus, les rôles et les responsabilités en matière de gestion des incidents de sécurité de l'information. 5.25 Évaluation et décision concernant les événements liés à la sécurité de l'information "L'organisme doit évaluer les événements liés à la sécurité de l'information et décider s'ils doivent être classés dans la catégorie des incidents de sécurité de l'information. 5.26 Réponse aux incidents liés à la sécurité de l'information "Les incidents de sécurité de l'information font l'objet d'une réponse conformément aux procédures documentées. 5.28 Collecte de preuves "L'organisme doit établir et mettre en œuvre des procédures pour l'identification, la collecte, l'acquisition et la conservation des preuves relatives aux événements liés à la sécurité de l'information.	Mitratech permet à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact des incidents liés aux fournisseurs tiers en centralisant la gestion des fournisseurs, en évaluant les événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance cybernétique continue et en accédant à des conseils de remédiation. Les principales capacités sont les suivantes Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables Suivi en temps réel de l'état d'avancement du questionnaire Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais. Rapports proactifs des fournisseurs Des vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur. Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise. Recommandations de remédiation intégrées pour réduire les risques Modèles de rapports intégrés Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.
5.30 Préparation des TIC à la continuité des activités "L'état de préparation des TIC doit être planifié, mis en œuvre, maintenu et testé sur la base des objectifs de continuité des activités et des exigences en matière de continuité des TIC.	Mitratech automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mappant automatiquement les résultats aux normes ISO et autres cadres de contrôle. Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Mitratech : Automatisation de la surveillance cybernétique continue permettant de prévoir les éventuels impacts sur les activités de tiers Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur. Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels. Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité. La plateforme Mitratech comprend une évaluation complète de la résilience opérationnelle basée sur les pratiques standard ISO 22301 qui permet aux organisations : Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise. Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO) Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers. Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités
5.31 Exigences légales, statutaires, réglementaires et contractuelles "Les exigences légales, statutaires, réglementaires et contractuelles relatives à la sécurité de l'information et l'approche de l'organisme pour répondre à ces exigences doivent être identifiées, documentées et tenues à jour."	Mitratech centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Il offre également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la résiliation. Les principales capacités sont les suivantes Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles. Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats Discussion centralisée des contrats et suivi des commentaires Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.
5.34 Vie privée et protection des informations personnelles identifiables (IPI) "L'organisation doit identifier et satisfaire les exigences relatives à la préservation de la vie privée et à la protection des IPI conformément aux lois et réglementations applicables et aux exigences contractuelles.	Mitratech fournit une plateforme centralisée et collaborative pour mener à bien évaluations de confidentialité et atténuer les risques liés à la confidentialité, tant externes qu'internes. Les principales capacités d'évaluation de la sécurité et de la confidentialité des données comprennent : Évaluations régulières et cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès - le tout résumé dans un registre des risques qui met en évidence les expositions critiques. Évaluations de l'impact sur la vie privée pour découvrir les données commerciales à risque et les informations personnelles identifiables (PII) Évaluations des fournisseurs par rapport au RGPD et à d'autres réglementations en matière de confidentialité via le cadre de conformité Mitratech – révèle les points sensibles potentiels en associant les risques identifiés à des contrôles spécifiques. Cartographie des risques et des réponses GDPR en fonction des contrôles. Inclut des notes de conformité en pourcentage et des rapports spécifiques aux parties prenantes. Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications de violation de données des fournisseurs en temps réel. La centralisation de l'intégration, de la distribution, de la discussion, de la conservation et de l'examen des contrats avec les fournisseurs garantit que les dispositions relatives à la protection des données sont appliquées dès le début de la relation.
5.36 Respect des politiques, règles et normes en matière de sécurité de l'information "Le respect de la politique de sécurité de l'information de l'organisme, des politiques spécifiques, des règles et des normes doit être régulièrement vérifié.	Avec Mitratech, les auditeurs peuvent mettre en place un programme permettant d'atteindre et de démontrer efficacement la conformité. La solution automatise audit de conformité en matière de gestion des risques liés aux tiers en collectant des informations sur les risques liés aux fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels. Mitratech mappe automatiquement les informations recueillies à partir d'évaluations basées sur des contrôles aux normes ISO 27001, NIST, RGPD, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et autres cadres réglementaires, vous permettant ainsi de visualiser et de traiter rapidement les exigences de conformité importantes.
Contrôles ISO 27002	Comment nous aidons
5.19 Sécurité de l'information dans les relations avec les fournisseurs "Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques de sécurité de l'information associés à l'utilisation des produits ou services du fournisseur.
5.19 a) « identifier et documenter les types de fournisseurs (par exemple, services TIC, logistique, services publics, services financiers, composants d'infrastructure TIC) qui peuvent avoir une incidence sur la confidentialité, l'intégrité et la disponibilité des informations de l'organisation ; » 5.19 e) "définir les types de composants de l'infrastructure TIC et les services fournis par les fournisseurs qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation ;"	La plateforme Mitratech permet aux organisations de classer automatiquement les fournisseurs en fonction de leur iScores de risque inhérents, définir des niveaux de diligence appropriés et déterminer la portée des évaluations continues. Les organisations peuvent également classer les fournisseurs selon une logique fondée sur des règles, en se basant sur divers critères liés aux interactions de données, aux aspects financiers, réglementaires et à la réputation.
5.19 b) « établir comment évaluer et sélectionner les fournisseurs en fonction de la sensibilité des informations, des produits et des services (par exemple, à l'aide d'analyses de marché, de références clients, d'examens de documents, d'évaluations sur site, de certifications) ; »	Mitratech centralise et automatise la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'informations (RFI) dans le cadre de sélection des fournisseurs décisions. Mitratech fait passer chaque fournisseur sélectionné aux phases de diligence raisonnable relatives à la passation de contrat et/ou à l'intégration, faisant automatiquement progresser le fournisseur tout au long du cycle de vie des tiers. Mitratech propose une bibliothèque de plus de 200 modèles prédéfinis pour les évaluations continues des risques liés aux tiers. Ceux-ci sont intégrés à des fonctionnalités natives de surveillance des risques cybernétiques, commerciaux, réputationnels et financiers, qui valident en permanence les résultats des évaluations et comblent les lacunes entre les évaluations. Les recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.
5.19 c) « évaluer et sélectionner les produits ou services des fournisseurs qui disposent de contrôles adéquats en matière de sécurité de l'information et les examiner ; en particulier, l'exactitude et l'exhaustivité des contrôles mis en œuvre par le fournisseur qui garantissent l'intégrité des informations et du traitement des informations du fournisseur et, par conséquent, la sécurité des informations de l'organisation ; »	Le profil de risque instantané de Mitratech vous permet de comparer et de surveiller les données démographiques, les technologies tierces, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. Grâce au profil instantané, vous pouvez consulter les résultats correspondant aux réponses RFx afin d'obtenir une vue d'ensemble des fournisseurs, leur adéquation à vos besoins et leur adéquation à l'appétit pour le risque de votre organisation.
5,19 g) « contrôler le respect des exigences établies en matière de sécurité de l'information pour chaque type de fournisseur et chaque type d'accès, y compris l'examen par des tiers et la validation des produits » ; 5.19 h) atténuer la non-conformité d'un fournisseur, qu'elle ait été détectée par surveillance ou par d'autres moyens ;	Avec Mitratech, les auditeurs peuvent mettre en place un programme permettant d'atteindre et de démontrer efficacement la conformité. La solution automatise l'audit de conformité en matière de gestion des risques liés aux tiers en collectant des informations sur les risques liés aux fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels. Mitratech mappe automatiquement les informations recueillies à partir d'évaluations basées sur des contrôles aux normes ISO et autres cadres réglementaires, puis les valide grâce à une surveillance continue, ce qui vous permet de visualiser et de traiter rapidement les exigences de conformité importantes.
5.19 i) " gérer les incidents et les imprévus liés aux produits et services des fournisseurs, y compris les responsabilités de l'organisation et des fournisseurs ;"	Le service de réponse aux incidents tiers de Mitratech vous permet d'identifier et d'atténuer rapidement l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés et en accédant à des conseils de remédiation.
5.19 j) "la résilience et, si nécessaire, les mesures de récupération et d'urgence pour assurer la disponibilité des informations et du traitement de l'information du fournisseur et, par conséquent, la disponibilité de l'information de l'organisation ;"	Mitratech automatise l'évaluation, la surveillance continue, l'analyse et la correction des résilience commerciale des tiers et la continuité, tout en mappant automatiquement les résultats aux normes ISO et autres cadres de contrôle. Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Mitratech : Automatisation de la surveillance cybernétique continue permettant de prévoir les éventuels impacts sur les activités de tiers Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur. Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels. Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité. La plateforme Mitratech comprend une évaluation complète de la résilience opérationnelle basée sur les pratiques standard ISO 22301 qui permet aux organisations : Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise. Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO) Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers. Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités.
5,19 m) « les exigences visant à garantir une résiliation sécurisée de la relation avec le fournisseur, notamment : 1) la suppression des droits d'accès ; 2) le traitement de l'information 3) la détermination de la propriété intellectuelle développée au cours de la mission ; 4) la portabilité des informations en cas de changement de fournisseur ou d'externalisation ; 6) la gestion des dossiers 7) la restitution des actifs 8) l'élimination sécurisée des informations et des autres actifs associés ; 9) les exigences permanentes en matière de confidentialité"	La plateforme Mitratech automatise les évaluations de contrats et les procédures de départ afin de réduire les risques liés à l'exposition post-contractuelle de votre organisation. Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement. Utilisez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore. Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les accords de service (SOW) et les contrats. Tirez parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte. Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation. Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.
5.20 Prise en compte de la sécurité dans les accords avec les fournisseurs "Les exigences pertinentes en matière de sécurité de l'information doivent être établies et convenues avec chaque fournisseur en fonction du type de relation qu'il entretient avec ce dernier.
5.20 d) « les exigences légales, réglementaires et contractuelles, y compris en matière de protection des données, de traitement des informations personnelles identifiables (PII), de droits de propriété intellectuelle et de droits d'auteur, ainsi qu'une description des mesures prises pour garantir leur respect » ;	Mitratech centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs, en veillant à ce que les dispositions clés soient incluses dans les contrats avec les fournisseurs et fassent l'objet d'un suivi continu. Les principales capacités sont les suivantes Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles. Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats Discussion centralisée des contrats et suivi des commentaires Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.
5.20 e) « obligation de chaque partie contractante de mettre en œuvre un ensemble convenu de contrôles, notamment le contrôle d'accès, l'évaluation des performances, la surveillance, la communication d'informations et l'audit, ainsi que les obligations du fournisseur de se conformer aux exigences de l'organisation en matière de sécurité de l'information » ;	La solution Mitratech permet de réaliser des évaluations internes basées sur des contrôles (selon le cadre normatif ISO et/ou des questionnaires personnalisés). La plateforme intègre des fonctionnalités de workflow qui permettent aux évaluateurs d'interagir efficacement avec les tiers pendant les périodes de collecte et d'examen des informations de diligence raisonnable. De solides fonctionnalités de reporting et d'audit fournissent à chaque niveau de la direction les informations dont il a besoin pour évaluer correctement les performances des tiers. Les entreprises peuvent évaluer les tiers en fonction de la cybersécurité, des accords de niveau de service et d'autres aspects, et corréler les résultats avec ceux de la surveillance externe continue pour obtenir une vue d'ensemble des risques.
5,20 h) « les exigences en matière de sécurité de l'information concernant l'infrastructure TIC du fournisseur ; en particulier, les exigences minimales en matière de sécurité de l'information pour chaque type d'information et chaque type d'accès, qui serviront de base aux accords individuels avec les fournisseurs en fonction des besoins commerciaux et des critères de risque de l'organisation ; » 5.20 i) « indemnités et mesures correctives en cas de non-respect des exigences par l'entrepreneur » ;	Mitratech fournit un cadre permettant de mesurer de manière centralisée indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) tiers en fonction de vos besoins et en réduisant les lacunes dans la surveillance des fournisseurs grâce à des informations intégrées issues du machine learning (ML) et à des rapports personnalisables basés sur les rôles. Ces fonctionnalités peuvent aider votre équipe à découvrir les tendances en matière de risques et de performances, à déterminer le statut des risques pour les tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie. Les recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.
5.20 j) « exigences et procédures en matière de gestion des incidents (en particulier la notification et la collaboration pendant la résolution des incidents) » ;	Mitratech permet à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact des incidents de sécurité liés à des fournisseurs tiers dans le cadre de votre stratégie de gestion des incidents. Grâce à ces informations, votre équipe peut mieux comprendre l'ampleur et l'impact de l'incident, les données concernées, l'impact éventuel sur les opérations du tiers et la date à laquelle les mesures correctives ont été mises en œuvre, le tout en s'appuyant sur les experts de Mitratech.
5.20 l) « dispositions pertinentes en matière de sous-traitance, y compris les contrôles à mettre en œuvre, tels que l'accord sur le recours à des sous-traitants (par exemple, leur imposer les mêmes obligations que celles du fournisseur, exiger une liste des sous-traitants et une notification avant tout changement) ; »	Mitratech peut identifier les relations de sous-traitance de quatrième et n-ième partie en réalisant une évaluation basée sur un questionnaire ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le dépistage des sanctions/PEP. Cette approche permet de mieux appréhender les risques potentiels de concentration technologique ou géographique.
5,20 o) « les mécanismes de preuve et d'assurance des attestations de tiers pour les exigences pertinentes en matière de sécurité de l'information liées aux processus des fournisseurs et un rapport indépendant sur l'efficacité des contrôles ; » 5.20 q) « obligation du fournisseur de remettre périodiquement un rapport sur l'efficacité des contrôles et accord sur la correction en temps opportun des problèmes pertinents soulevés dans le rapport ; »	Le Mitratech Service de validation des contrôles examine les réponses et la documentation issues d'évaluations tierces par rapport aux protocoles de test établis afin de vérifier que les contrôles indiqués sont en place. Les experts de Mitratech examinent d'abord les réponses aux évaluations, qu'elles proviennent de questionnaires personnalisés ou standardisés. Nous mettons ensuite en correspondance les réponses avec les normes ISO et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour élaborer des plans de correction et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Mitratech vous apporte son expertise pour vous aider à réduire les risques avec vos ressources existantes.
5,20 x) « clauses de résiliation à la fin du contrat, y compris la gestion des dossiers, la restitution des actifs, la destruction sécurisée des informations et autres actifs associés, ainsi que toute obligation de confidentialité continue » ; 5.20 y) mise en place d'une méthode permettant de détruire de manière sécurisée les informations de l'organisation stockées par le fournisseur dès qu'elles ne sont plus nécessaires ; » 5.20 z) assurer, à la fin du contrat, le transfert des tâches à un autre fournisseur ou à l'organisation elle-même ; »	Les fonctionnalités de gestion du cycle de vie des contrats de Mitratech garantissent que les dispositions clés sont incluses dans les contrats fournisseurs et font l'objet d'un suivi continu. Les évaluations automatisées des contrats et les procédures de sortie telles que les rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois applicables et les paiements finaux réduisent le risque d'exposition post-contractuelle de votre organisation.
5.21 Gérer la sécurité de l'information dans la chaîne d'approvisionnement en TIC "Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques liés à la sécurité de l'information dans la chaîne d'approvisionnement des produits et services TIC.
5.21 b) « exiger des fournisseurs de services TIC qu'ils diffusent les exigences de sécurité de l'organisation tout au long de la chaîne d'approvisionnement s'ils sous-traitent une partie des services TIC fournis à l'organisation » ; 5.21 c) « exiger des fournisseurs de produits TIC qu'ils diffusent des pratiques de sécurité appropriées tout au long de la chaîne d'approvisionnement si ces produits comprennent des composants achetés ou acquis auprès d'autres fournisseurs ou d'autres entités (par exemple, des développeurs de logiciels sous-traitants et des fournisseurs de composants matériels) ; » 5.21 f) « mettre en œuvre un processus de surveillance et des méthodes acceptables pour vérifier que les produits et services TIC fournis sont conformes aux exigences de sécurité énoncées. Ces méthodes d'évaluation des fournisseurs peuvent notamment inclure des tests de pénétration et la vérification ou la validation des attestations de tiers concernant les opérations de sécurité de l'information du fournisseur » ;	Mitratech peut identifier relations de sous-traitance de quatrième et n-ième partie en menant une évaluation à l'aide d'un questionnaire ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le dépistage des sanctions/PEP. Cette approche permet de mieux appréhender les risques potentiels de concentration technologique ou géographique.
5.21 g) « mettre en œuvre un processus permettant d'identifier et de documenter les composants des produits ou services qui sont essentiels au maintien de la fonctionnalité et qui nécessitent donc une attention accrue, un examen minutieux et un suivi supplémentaire lorsqu'ils sont fabriqués à l'extérieur de l'organisation, en particulier si le fournisseur sous-traite certains aspects des composants des produits ou services à d'autres fournisseurs ; »	Mitratech vous permet d'évaluer et de surveiller les tiers en fonction de la criticité ou de l'ampleur des menaces pesant sur leurs actifs informationnels en capturant, suivant et quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent : Type de contenu requis pour valider les contrôles Criticité pour les performances et les opérations de l'entreprise Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration) Expérience des processus opérationnels ou en contact avec les clients Interaction avec les données protégées Situation financière et santé Réputation À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.
5.22 Suivi, révision et gestion des changements des services des fournisseurs "L'organisme devrait régulièrement surveiller, examiner, évaluer et gérer les changements dans les pratiques de sécurité de l'information des fournisseurs et dans la prestation de services.
5.22 a) « surveiller les niveaux de performance des services afin de vérifier le respect des accords » ;	Grâce à la plateforme Mitratech, les organisations peuvent personnaliser leurs enquêtes afin de faciliter la collecte et l'analyse des données nécessaires relatives aux performances et aux contrats dans un registre des risques unique. Mitratech identifie les attributs clés des contrats liés aux accords de niveau de service (SLA) ou aux performances, renseigne ces exigences dans la plateforme et vous attribue, à vous et à votre tiers, des tâches à des fins de suivi.
5,22 b) « surveiller les modifications apportées par les fournisseurs, notamment : 1) l'amélioration des services actuellement offerts ; 2) le développement de nouvelles applications et de nouveaux systèmes ; 3) les modifications ou mises à jour des politiques et procédures du fournisseur ; 4) des contrôles nouveaux ou modifiés pour résoudre les incidents de sécurité de l'information et pour améliorer la sécurité de l'information ;" 5.22 c) « surveiller les changements dans les services des fournisseurs, notamment : 1) les modifications et l'amélioration des réseaux 2) l'utilisation de nouvelles technologies 3) l'adoption de nouveaux produits ou de nouvelles versions ; 4) nouveaux outils et environnements de développement 5) les modifications de l'emplacement physique des installations de service ; 6) changement de sous-fournisseurs 7) la sous-traitance à un autre fournisseur ;"	Mitratech suit et analyse en permanence les menaces externes pesant sur les tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les sources de surveillance comprennent plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises. Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier. Comme toutes les menaces ne sont pas des cyberattaques directes, Mitratech intègre également des données provenant des sources suivantes afin d'ajouter du contexte aux résultats cybernétiques : 550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc. Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc. 30 000 sources d'information mondiales Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées Listes de sanctions mondiales et plus de 1 000 listes d'application de la loi au niveau mondial et dépôts auprès des tribunaux
5.22 e) « réaliser des audits des fournisseurs et sous-traitants, en conjonction avec l'examen des rapports des auditeurs indépendants, si disponibles, et assurer le suivi des problèmes identifiés » ;	Le service de validation des contrôles Mitratech examine les réponses et la documentation des évaluations tierces par rapport aux protocoles de test établis afin de vérifier que les contrôles indiqués sont bien en place. Les experts de Mitratech examinent d'abord les réponses aux évaluations, qu'elles proviennent de questionnaires personnalisés ou standardisés. Nous mettons ensuite en correspondance les réponses avec les normes ISO et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour élaborer des plans de correction et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Mitratech vous apporte son expertise pour vous aider à réduire les risques avec vos ressources existantes.
5,22 f) « fournir des informations sur les incidents liés à la sécurité de l'information et examiner ces informations conformément aux accords et à toutes les directives et procédures connexes ; » 5.22 g) « examiner les pistes d'audit des fournisseurs et les registres des incidents liés à la sécurité de l'information, des problèmes opérationnels, des défaillances, du traçage des pannes et des perturbations liés au service fourni » ; 5.22 h) « répondre à tout événement ou incident identifié lié à la sécurité de l'information et le gérer » ;	Mitratech permet à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact des incidents liés à des fournisseurs tiers en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance cybernétique continue et en accédant à des conseils de remédiation. Les principales capacités sont les suivantes Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables Suivi en temps réel de l'état d'avancement du questionnaire Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais. Rapports proactifs des fournisseurs Des vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur. Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise. Recommandations de remédiation intégrées pour réduire les risques Modèles de rapports intégrés Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.
5.22 i) « identifier les vulnérabilités en matière de sécurité de l'information et les gérer » ;	Mitratech suit et analyse en permanence les menaces externes pesant sur les tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, corrèle les données de surveillance avec les résultats des évaluations et les centralise dans un registre des risques unifié pour chaque fournisseur, rationalisant ainsi les initiatives d'examen, de reporting et de réponse aux risques. Les sources de surveillance comprennent plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises. Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.
5.22 j) « examiner les aspects liés à la sécurité de l'information dans les relations du fournisseur avec ses propres fournisseurs »	Mitratech peut identifier les relations de sous-traitance de quatrième et n-ième partie en réalisant une évaluation basée sur un questionnaire ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le dépistage des sanctions/PEP.
5.22 k) veiller à ce que le fournisseur dispose d'une capacité de service suffisante et mette en place des plans réalisables visant à garantir le maintien des niveaux de continuité de service convenus à la suite de pannes majeures ou de catastrophes ; »	Mitratech automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mappant automatiquement les résultats aux normes ISO et autres cadres de contrôle. La plateforme Mitratech comprend une évaluation complète de la résilience opérationnelle basée sur les pratiques standard ISO 22301 qui permet aux organisations : Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise. Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO) Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers. Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.
5.22 m) « évaluer régulièrement que les fournisseurs maintiennent des niveaux adéquats de sécurité de l'information » ;	Mitratech automatise les évaluations des risques afin d'améliorer la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers. Avec une bibliothèque de plus de 200 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et l'analyse des enquêtes à l'évaluation des risques et la création de rapports. Avec Mitratech, vous pouvez facilement recueillir et corréler des informations sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pesant sur la gestion des informations, en fonction de l'importance cruciale du tiers telle que déterminée par l'évaluation des risques inhérents. Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.
ISO 27036-2 Contrôles	Comment nous aidons
6 Sécurité de l'information dans la gestion des relations avec les fournisseurs
6.1.1.1 Processus d'accord / Processus d'acquisition / Objectif Établir une stratégie de relations avec les fournisseurs qui : est basé sur la tolérance au risque de sécurité de l'information de l'acquéreur ; définit les fondements de la sécurité de l'information à utiliser lors de la planification, de la préparation, de la gestion et de la clôture de l'acquisition d'un produit ou d'un service. 6.1.2.1 Processus d'accord / Processus d'approvisionnement / Objectif Établir une stratégie de relations avec les acquéreurs qui : est basé sur la tolérance au risque de sécurité de l'information du fournisseur ; définit le référentiel de sécurité de l'information à utiliser lors de la planification, de la préparation, de la gestion et de la clôture de la fourniture d'un produit ou d'un service.	Mitratech s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) conforme à vos programmes plus généraux en matière de sécurité de l'information, de gouvernance, de risques et de conformité, sur la base de bonnes pratiques éprouvées et d'une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation. Dans le cadre de ce processus, Mitratech peut vous aider à définir : Rôles et responsabilités clairement définis (par exemple, RACI) Inventaires de tiers Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation Méthodes d'évaluation et de suivi basées sur la criticité des tiers Cartographie quadripartite Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière) Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) Politiques, normes, systèmes et processus régissant la protection des données les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service Exigences en matière de réponse aux incidents Rapports sur les risques et les parties prenantes internes Stratégies d'atténuation des risques et de remédiation
6.2.1 Processus organisationnels permettant la réalisation du projet / Processus de gestion du modèle de cycle de vie a) L'acquéreur et le fournisseur établissent le processus de gestion du modèle de cycle de vie lors de la gestion de la sécurité de l'information dans les relations avec les fournisseurs.	Mitratech aide à éliminer les risques liés à la sécurité et à la conformité qui découlent de la collaboration avec des fournisseurs, des prestataires et d'autres tiers tout au long du cycle de vie des risques liés aux fournisseurs, depuis la recherche et la sélection jusqu'au départ, en passant par toutes les étapes intermédiaires.
6.2.2.1 Processus organisationnels permettant la réalisation des projets / Processus de gestion de l'infrastructure / Objectif a) Fournir l'infrastructure nécessaire pour aider l'organisation à gérer la sécurité de l'information dans le cadre des relations avec les fournisseurs.	Mitratech fournit une plateforme SaaS centralisée qui permet aux acquéreurs et aux fournisseurs de collaborer à la réduction des risques en automatisant les évaluations des risques par rapport à plus de 200 normes industrielles, dont les normes ISO. Grâce à cette plateforme, les acquéreurs bénéficient d'un flux de travail et de mesures correctives intégrés, ainsi que d'analyses et de rapports automatisés.
6.2.2.2 Processus organisationnels permettant la réalisation du projet / Processus de gestion de l'infrastructure / Activités b) Définir, mettre en œuvre, maintenir et améliorer les dispositifs d'urgence afin de garantir que l'acquisition ou la fourniture d'un produit ou d'un service puisse se poursuivre en cas d'interruption due à des causes naturelles ou anthropiques.	Mitratech automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mappant automatiquement les résultats aux normes ISO et autres cadres de contrôle. Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Mitratech : Automatisation de la surveillance cybernétique continue permettant de prévoir les éventuels impacts sur les activités de tiers Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur. Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels. Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité. La plateforme Mitratech comprend une évaluation complète de la résilience opérationnelle basée sur les pratiques standard ISO 22301 qui permet aux organisations : Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise. Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO) Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers. Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités
6.2.3.2 Processus / activités de gestion du portefeuille de projets a) Définir, mettre en œuvre, maintenir et améliorer un processus permettant d'identifier et de classer les fournisseurs ou acquéreurs en fonction de la sensibilité des informations qui leur sont communiquées et du niveau d'accès qui leur est accordé aux actifs de l'acquéreur ou du fournisseur, tels que les informations et les systèmes d'information ;	Mitratech vous permet d'évaluer et de surveiller les tiers en fonction de la criticité ou de l'ampleur des menaces pesant sur leurs actifs informationnels en capturant, suivant et quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent : Type de contenu requis pour valider les contrôles Criticité pour les performances et les opérations de l'entreprise Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration) Expérience des processus opérationnels ou en contact avec les clients Interaction avec les données protégées Situation financière et santé Réputation À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.
6.3.4.1 Processus de projet / Processus de gestion des risques / Objectif a) Traiter en permanence les risques liés à la sécurité de l'information dans les relations avec les fournisseurs et tout au long de leur cycle de vie, y compris en les réexaminant périodiquement ou lorsque des changements importants surviennent sur le plan commercial, juridique, réglementaire, architectural, politique et contractuel.	Mitratech suit et analyse en permanence les menaces externes pesant sur les tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. Les sources de surveillance comprennent plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises. Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier. Comme toutes les menaces ne sont pas des cyberattaques directes, Mitratech intègre également des données provenant des sources suivantes afin d'ajouter du contexte aux résultats cybernétiques : 550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc. Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc. 30 000 sources d'information mondiales Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées Listes de sanctions mondiales et plus de 1 000 listes d'application de la loi au niveau mondial et dépôts auprès des tribunaux Une politique de sélection des fournisseurs fondée sur les pratiques en matière de sécurité de l'information devrait être mise en place.
6.3.7.1 Processus de projet / Processus de mesure / Objectif a) Recueillir, analyser et communiquer les mesures de sécurité de l'information liées à l'acquisition ou à la fourniture d'un produit ou d'un service afin de démontrer la maturité de la sécurité de l'information dans une relation avec un fournisseur et de soutenir une gestion efficace des processus.	Mitratech automatise les évaluations des risques afin d'améliorer la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers. Avec une bibliothèque de plus de 200 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et l'analyse des enquêtes à l'évaluation des risques et la création de rapports. Avec Mitratech, vous pouvez facilement recueillir et corréler des informations sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pesant sur la gestion des informations, en fonction de l'importance cruciale du tiers telle que déterminée par l'évaluation des risques inhérents. Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.
7 Sécurité de l'information dans une relation avec un fournisseur
7.2.1 Processus de sélection des fournisseurs / Objectifs a) Choisir un fournisseur qui offre une sécurité de l'information adéquate pour le produit ou le service qui peut être acheté.	Le profil de risque instantané de Mitratech vous permet de comparer et de surveiller les données démographiques, les technologies tierces, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. Grâce au profil instantané, vous pouvez consulter les résultats correspondant aux réponses RFx afin d'obtenir une vue d'ensemble des fournisseurs, leur adéquation à vos besoins et leur adéquation à l'appétit pour le risque de votre organisation.
7.3.1 Processus de gestion des relations avec les fournisseurs / Objectif Établir et approuver un accord sur les relations avec les fournisseurs portant sur les points suivants : - les rôles et responsabilités de l'acquéreur et du fournisseur en matière de sécurité de l'information ; - les contrôles de sécurité requis en matière de sécurité de l'information, de sécurité des TIC, de sécurité du personnel et de sécurité physique ; - un processus de transition lorsque le produit ou le service a été précédemment exploité ou fabriqué par une partie différente du fournisseur ; - la gestion des changements en matière de sécurité de l'information ; - la gestion des incidents liés à la sécurité de l'information ; - le contrôle et l'application de la conformité - un processus de résiliation.	La plateforme Mitratech automatise les flux de travail nécessaires pour évaluer, gérer, surveiller en permanence et remédier aux risques liés à la sécurité, à la confidentialité, à la conformité et à la chaîne d'approvisionnement/d'achat des tiers à chaque étape du cycle de vie des fournisseurs. La solution : Automatisation de l'intégration et de la désintoxication des fournisseurs Profils, niveaux, scores de risque inhérent pour tous les fournisseurs Automatisation de la cartographie des tiers et des données démographiques des fournisseurs dans un profil central Fournit la plus grande bibliothèque d'évaluations des risques standardisées et personnalisées avec gestion intégrée des flux de travail, des tâches et des preuves. intègre la surveillance des risques cybernétiques, commerciaux, financiers et de réputation afin de corréler les risques avec les résultats de l'évaluation et de valider les conclusions Inclut des analyses d'apprentissage automatique pour normaliser et corréler les résultats provenant de sources multiples. Fournit des rapports sur la conformité et les risques en fonction du cadre ou de la réglementation Améliore la gestion des mesures correctives grâce à des conseils intégrés Inclut la gestion des contrats et des appels d'offres pour permettre une gestion plus complète des risques avant l'intégration. Automatisation de la réponse aux incidents par des tiers
7.4.1 Processus de gestion des relations avec les fournisseurs / Objectifs a) Maintenir la sécurité de l'information pendant la période d'exécution de la relation avec le fournisseur conformément à l'accord sur la relation avec le fournisseur et en tenant particulièrement compte des éléments suivants : 4) Contrôler et faire respecter par le fournisseur les dispositions relatives à la sécurité de l'information définies dans l'accord de relation avec le fournisseur.	Grâce à la plateforme Mitratech, les acquéreurs peuvent automatiquement mettre en correspondance les informations recueillies à partir d'évaluations basées sur des contrôles avec les cadres réglementaires, notamment ISO et bien d'autres, afin de visualiser et de traiter rapidement les exigences de conformité importantes à chaque étape du cycle de vie des fournisseurs.
7.5.1 Processus de rupture des relations avec les fournisseurs / Objectifs a) Protéger la fourniture du produit ou du service pendant la résiliation afin d'éviter tout impact sur la sécurité de l'information, la législation et la réglementation après la notification de la résiliation ; b) Mettre fin à la fourniture du produit ou du service conformément au plan de résiliation.	La plateforme Mitratech automatise les évaluations de contrats et les procédures de départ afin de réduire les risques liés à l'exposition post-contractuelle de votre organisation. Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement. Utilisez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore. Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les accords de service (SOW) et les contrats. Tirez parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte. Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation. Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.

Contrôles ISO 27001

Comment nous aidons

5 Contrôles organisationnels

5.1 Politiques de sécurité de l'information

"La politique de sécurité de l'information et les politiques spécifiques doivent être définies, approuvées par la direction, publiées, communiquées et reconnues par le personnel concerné et les parties intéressées, et réexaminées à intervalles planifiés et en cas de changements importants."

5.2 Rôles et responsabilités en matière de sécurité de l'information

"Les rôles et responsabilités en matière de sécurité de l'information doivent être définis et attribués en fonction des besoins de l'organisation.

Mitratech s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) conforme à vos programmes plus larges de sécurité de l'information, de cybersécurité et de protection de la vie privée, basé sur des pratiques éprouvées et une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques, et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers (de l'approvisionnement et la diligence raisonnable à la résiliation et au départ), en fonction de la propension au risque de votre organisation.

Dans le cadre de ce processus, Mitratech peut vous aider à définir :

Rôles et responsabilités clairement définis (par exemple, RACI)
Inventaires de tiers
Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
Méthodes d'évaluation et de suivi basées sur la criticité des tiers
Cartographie quadripartite
Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
Politiques, normes, systèmes et processus régissant la protection des données
les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
Exigences en matière de réponse aux incidents
Rapports sur les risques et les parties prenantes internes
Stratégies d'atténuation des risques et de remédiation

5.7 Renseignements sur les menaces

« Les informations relatives aux menaces pour la sécurité de l'information doivent être collectées et analysées afin de produire des renseignements sur les menaces. »

Mitratech assure un suivi et une analyse continus menaces externes envers des tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Les sources de surveillance comprennent

plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

5.11 Rendement des actifs

"Le personnel et les autres parties intéressées, le cas échéant, doivent restituer tous les biens de l'organisation en leur possession en cas de changement ou de cessation de leur emploi, de leur contrat ou de leur accord.

Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Mitratech utilise des enquêtes et des flux de travail personnalisables pour générer des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité aux lois applicables, les paiements finaux, etc. La solution suggère également des mesures à prendre en fonction des réponses aux évaluations de départ et transmet les tâches aux réviseurs si nécessaire.

5.19 Sécurité de l'information dans les relations avec les fournisseurs

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques de sécurité de l'information liés à l'utilisation des produits ou services du fournisseur."

Mitratech propose une bibliothèque de plus de 200 modèles prédéfinis, y compris des questionnaires ISO dédiés, pour évaluation des risques liés à la sécurité de l'information associé à des tiers.

Les évaluations sont gérées de manière centralisée dans la plateforme TPRM de Mitratech. Elles s'appuient sur des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin d'assurer la visibilité des risques liés aux tiers tout au long de la relation avec les fournisseurs.

Il est important de noter que Mitratech fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que les tiers traitent les risques de manière rapide et satisfaisante.

Pour les organisations disposant de ressources et d'une expertise limitées, Mitratech peut gérer le cycle de vie des risques liés aux tiers à votre place, depuis l'intégration des fournisseurs et la collecte de preuves jusqu'à la fourniture de conseils en matière de remédiation et la création de rapports sur les accords de niveau de service (SLA) contractuels. Vous réduisez ainsi les risques liés aux fournisseurs et simplifiez la conformité sans alourdir la charge de travail de votre personnel interne.

5.20 Prise en compte de la sécurité de l'information dans les accords avec les fournisseurs

"Les exigences pertinentes en matière de sécurité de l'information sont établies et convenues avec chaque fournisseur en fonction du type de relation qu'il entretient avec lui."

Mitratech centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il offre également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la sortie.

Les principales capacités sont les suivantes

Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
Discussion centralisée des contrats et suivi des commentaires
Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des technologies de l'information et de la communication (TIC)

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques liés à la sécurité de l'information dans la chaîne d'approvisionnement des produits et services TIC.

Mitratech normalise les évaluations par rapport aux meilleures pratiques ISO et à d'autres cadres de contrôle de la sécurité de l'information, fournissant aux équipes d'audit interne et de sécurité informatique une plateforme centrale pour mesurer et démontrer le respect des pratiques de développement logiciel sécurisé et du cycle de vie du développement logiciel (SDLC).

5.22 Suivi, révision et gestion des changements des services des fournisseurs

"L'organisme doit régulièrement contrôler, examiner, évaluer et gérer les changements apportés aux pratiques de sécurité de l'information des fournisseurs et à la prestation de services.

Mitratech suit et analyse en permanence les menaces externes pesant sur les tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance comprennent

plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.

5.23 Sécurité de l'information pour l'utilisation des services en nuage

"Les processus d'acquisition, d'utilisation, de gestion et de sortie des services en nuage doivent être établis conformément aux exigences de l'organisation en matière de sécurité de l'information."

Mitratech normalise les évaluations par rapport à SOC 2, Cyber Essentials, ISO et d'autres cadres de contrôle de la sécurité de l'information, fournissant des évaluations des contrôles clés par rapport aux exigences des services cloud.

Ces mêmes évaluations sont également utilisées pour évaluer les contrôles de sécurité de l'information lors de l'abandon des services en nuage.

5.24 Planification et préparation de la gestion des incidents de sécurité de l'information

"L'organisme doit planifier et préparer la gestion des incidents de sécurité de l'information en définissant, en établissant et en communiquant les processus, les rôles et les responsabilités en matière de gestion des incidents de sécurité de l'information.

5.25 Évaluation et décision concernant les événements liés à la sécurité de l'information

"L'organisme doit évaluer les événements liés à la sécurité de l'information et décider s'ils doivent être classés dans la catégorie des incidents de sécurité de l'information.

5.26 Réponse aux incidents liés à la sécurité de l'information

"Les incidents de sécurité de l'information font l'objet d'une réponse conformément aux procédures documentées.

5.28 Collecte de preuves

"L'organisme doit établir et mettre en œuvre des procédures pour l'identification, la collecte, l'acquisition et la conservation des preuves relatives aux événements liés à la sécurité de l'information.

Mitratech permet à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact des incidents liés aux fournisseurs tiers en centralisant la gestion des fournisseurs, en évaluant les événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance cybernétique continue et en accédant à des conseils de remédiation.

Les principales capacités sont les suivantes

Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
Suivi en temps réel de l'état d'avancement du questionnaire
Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
Rapports proactifs des fournisseurs
Des vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
Recommandations de remédiation intégrées pour réduire les risques
Modèles de rapports intégrés
Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

5.30 Préparation des TIC à la continuité des activités

"L'état de préparation des TIC doit être planifié, mis en œuvre, maintenu et testé sur la base des objectifs de continuité des activités et des exigences en matière de continuité des TIC.

Mitratech automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mappant automatiquement les résultats aux normes ISO et autres cadres de contrôle.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Mitratech :

Automatisation de la surveillance cybernétique continue permettant de prévoir les éventuels impacts sur les activités de tiers
Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur.
Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

La plateforme Mitratech comprend une évaluation complète de la résilience opérationnelle basée sur les pratiques standard ISO 22301 qui permet aux organisations :

Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

5.31 Exigences légales, statutaires, réglementaires et contractuelles

"Les exigences légales, statutaires, réglementaires et contractuelles relatives à la sécurité de l'information et l'approche de l'organisme pour répondre à ces exigences doivent être identifiées, documentées et tenues à jour."

Mitratech centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Il offre également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la résiliation.

Les principales capacités sont les suivantes

Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
Discussion centralisée des contrats et suivi des commentaires
Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

5.34 Vie privée et protection des informations personnelles identifiables (IPI)

"L'organisation doit identifier et satisfaire les exigences relatives à la préservation de la vie privée et à la protection des IPI conformément aux lois et réglementations applicables et aux exigences contractuelles.

Mitratech fournit une plateforme centralisée et collaborative pour mener à bien évaluations de confidentialité et atténuer les risques liés à la confidentialité, tant externes qu'internes. Les principales capacités d'évaluation de la sécurité et de la confidentialité des données comprennent :

Évaluations régulières et cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès - le tout résumé dans un registre des risques qui met en évidence les expositions critiques.
Évaluations de l'impact sur la vie privée pour découvrir les données commerciales à risque et les informations personnelles identifiables (PII)
Évaluations des fournisseurs par rapport au RGPD et à d'autres réglementations en matière de confidentialité via le cadre de conformité Mitratech – révèle les points sensibles potentiels en associant les risques identifiés à des contrôles spécifiques.
Cartographie des risques et des réponses GDPR en fonction des contrôles. Inclut des notes de conformité en pourcentage et des rapports spécifiques aux parties prenantes.
Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications de violation de données des fournisseurs en temps réel.
La centralisation de l'intégration, de la distribution, de la discussion, de la conservation et de l'examen des contrats avec les fournisseurs garantit que les dispositions relatives à la protection des données sont appliquées dès le début de la relation.

5.36 Respect des politiques, règles et normes en matière de sécurité de l'information

"Le respect de la politique de sécurité de l'information de l'organisme, des politiques spécifiques, des règles et des normes doit être régulièrement vérifié.

Avec Mitratech, les auditeurs peuvent mettre en place un programme permettant d'atteindre et de démontrer efficacement la conformité. La solution automatise audit de conformité en matière de gestion des risques liés aux tiers en collectant des informations sur les risques liés aux fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels.

Mitratech mappe automatiquement les informations recueillies à partir d'évaluations basées sur des contrôles aux normes ISO 27001, NIST, RGPD, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et autres cadres réglementaires, vous permettant ainsi de visualiser et de traiter rapidement les exigences de conformité importantes.

Contrôles ISO 27002

Comment nous aidons

5.19 Sécurité de l'information dans les relations avec les fournisseurs

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques de sécurité de l'information associés à l'utilisation des produits ou services du fournisseur.

5.19 a) « identifier et documenter les types de fournisseurs (par exemple, services TIC, logistique, services publics, services financiers, composants d'infrastructure TIC) qui peuvent avoir une incidence sur la confidentialité, l'intégrité et la disponibilité des informations de l'organisation ; »

5.19 e) "définir les types de composants de l'infrastructure TIC et les services fournis par les fournisseurs qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation ;"

La plateforme Mitratech permet aux organisations de classer automatiquement les fournisseurs en fonction de leur iScores de risque inhérents, définir des niveaux de diligence appropriés et déterminer la portée des évaluations continues.

Les organisations peuvent également classer les fournisseurs selon une logique fondée sur des règles, en se basant sur divers critères liés aux interactions de données, aux aspects financiers, réglementaires et à la réputation.

5.19 b) « établir comment évaluer et sélectionner les fournisseurs en fonction de la sensibilité des informations, des produits et des services (par exemple, à l'aide d'analyses de marché, de références clients, d'examens de documents, d'évaluations sur site, de certifications) ; »

Mitratech centralise et automatise la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'informations (RFI) dans le cadre de sélection des fournisseurs décisions.

Mitratech fait passer chaque fournisseur sélectionné aux phases de diligence raisonnable relatives à la passation de contrat et/ou à l'intégration, faisant automatiquement progresser le fournisseur tout au long du cycle de vie des tiers.

Mitratech propose une bibliothèque de plus de 200 modèles prédéfinis pour les évaluations continues des risques liés aux tiers. Ceux-ci sont intégrés à des fonctionnalités natives de surveillance des risques cybernétiques, commerciaux, réputationnels et financiers, qui valident en permanence les résultats des évaluations et comblent les lacunes entre les évaluations.

Les recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.

5.19 c) « évaluer et sélectionner les produits ou services des fournisseurs qui disposent de contrôles adéquats en matière de sécurité de l'information et les examiner ; en particulier, l'exactitude et l'exhaustivité des contrôles mis en œuvre par le fournisseur qui garantissent l'intégrité des informations et du traitement des informations du fournisseur et, par conséquent, la sécurité des informations de l'organisation ; »

Le profil de risque instantané de Mitratech vous permet de comparer et de surveiller les données démographiques, les technologies tierces, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. Grâce au profil instantané, vous pouvez consulter les résultats correspondant aux réponses RFx afin d'obtenir une vue d'ensemble des fournisseurs, leur adéquation à vos besoins et leur adéquation à l'appétit pour le risque de votre organisation.

5,19 g) « contrôler le respect des exigences établies en matière de sécurité de l'information pour chaque type de fournisseur et chaque type d'accès, y compris l'examen par des tiers et la validation des produits » ;

5.19 h) atténuer la non-conformité d'un fournisseur, qu'elle ait été détectée par surveillance ou par d'autres moyens ;

Avec Mitratech, les auditeurs peuvent mettre en place un programme permettant d'atteindre et de démontrer efficacement la conformité. La solution automatise l'audit de conformité en matière de gestion des risques liés aux tiers en collectant des informations sur les risques liés aux fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels.

Mitratech mappe automatiquement les informations recueillies à partir d'évaluations basées sur des contrôles aux normes ISO et autres cadres réglementaires, puis les valide grâce à une surveillance continue, ce qui vous permet de visualiser et de traiter rapidement les exigences de conformité importantes.

5.19 i) " gérer les incidents et les imprévus liés aux produits et services des fournisseurs, y compris les responsabilités de l'organisation et des fournisseurs ;"

Le service de réponse aux incidents tiers de Mitratech vous permet d'identifier et d'atténuer rapidement l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

5.19 j) "la résilience et, si nécessaire, les mesures de récupération et d'urgence pour assurer la disponibilité des informations et du traitement de l'information du fournisseur et, par conséquent, la disponibilité de l'information de l'organisation ;"

Mitratech automatise l'évaluation, la surveillance continue, l'analyse et la correction des résilience commerciale des tiers et la continuité, tout en mappant automatiquement les résultats aux normes ISO et autres cadres de contrôle.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Mitratech :

Automatisation de la surveillance cybernétique continue permettant de prévoir les éventuels impacts sur les activités de tiers
Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur.
Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

La plateforme Mitratech comprend une évaluation complète de la résilience opérationnelle basée sur les pratiques standard ISO 22301 qui permet aux organisations :

Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités.

5,19 m) « les exigences visant à garantir une résiliation sécurisée de la relation avec le fournisseur, notamment :

1) la suppression des droits d'accès ;
2) le traitement de l'information
3) la détermination de la propriété intellectuelle développée au cours de la mission ;
4) la portabilité des informations en cas de changement de fournisseur ou d'externalisation ;
6) la gestion des dossiers
7) la restitution des actifs
8) l'élimination sécurisée des informations et des autres actifs associés ;
9) les exigences permanentes en matière de confidentialité"

La plateforme Mitratech automatise les évaluations de contrats et les procédures de départ afin de réduire les risques liés à l'exposition post-contractuelle de votre organisation.

Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement.
Utilisez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore.
Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les accords de service (SOW) et les contrats. Tirez parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte.
Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.
Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.

5.20 Prise en compte de la sécurité dans les accords avec les fournisseurs

"Les exigences pertinentes en matière de sécurité de l'information doivent être établies et convenues avec chaque fournisseur en fonction du type de relation qu'il entretient avec ce dernier.

5.20 d) « les exigences légales, réglementaires et contractuelles, y compris en matière de protection des données, de traitement des informations personnelles identifiables (PII), de droits de propriété intellectuelle et de droits d'auteur, ainsi qu'une description des mesures prises pour garantir leur respect » ;

Mitratech centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs, en veillant à ce que les dispositions clés soient incluses dans les contrats avec les fournisseurs et fassent l'objet d'un suivi continu.

Les principales capacités sont les suivantes

Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
Discussion centralisée des contrats et suivi des commentaires
Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

5.20 e) « obligation de chaque partie contractante de mettre en œuvre un ensemble convenu de contrôles, notamment le contrôle d'accès, l'évaluation des performances, la surveillance, la communication d'informations et l'audit, ainsi que les obligations du fournisseur de se conformer aux exigences de l'organisation en matière de sécurité de l'information » ;

La solution Mitratech permet de réaliser des évaluations internes basées sur des contrôles (selon le cadre normatif ISO et/ou des questionnaires personnalisés). La plateforme intègre des fonctionnalités de workflow qui permettent aux évaluateurs d'interagir efficacement avec les tiers pendant les périodes de collecte et d'examen des informations de diligence raisonnable. De solides fonctionnalités de reporting et d'audit fournissent à chaque niveau de la direction les informations dont il a besoin pour évaluer correctement les performances des tiers.

Les entreprises peuvent évaluer les tiers en fonction de la cybersécurité, des accords de niveau de service et d'autres aspects, et corréler les résultats avec ceux de la surveillance externe continue pour obtenir une vue d'ensemble des risques.

5,20 h) « les exigences en matière de sécurité de l'information concernant l'infrastructure TIC du fournisseur ; en particulier, les exigences minimales en matière de sécurité de l'information pour chaque type d'information et chaque type d'accès, qui serviront de base aux accords individuels avec les fournisseurs en fonction des besoins commerciaux et des critères de risque de l'organisation ; »

5.20 i) « indemnités et mesures correctives en cas de non-respect des exigences par l'entrepreneur » ;

Mitratech fournit un cadre permettant de mesurer de manière centralisée indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) tiers en fonction de vos besoins et en réduisant les lacunes dans la surveillance des fournisseurs grâce à des informations intégrées issues du machine learning (ML) et à des rapports personnalisables basés sur les rôles.

Ces fonctionnalités peuvent aider votre équipe à découvrir les tendances en matière de risques et de performances, à déterminer le statut des risques pour les tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie.

Les recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.

5.20 j) « exigences et procédures en matière de gestion des incidents (en particulier la notification et la collaboration pendant la résolution des incidents) » ;

Mitratech permet à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact des incidents de sécurité liés à des fournisseurs tiers dans le cadre de votre stratégie de gestion des incidents.

Grâce à ces informations, votre équipe peut mieux comprendre l'ampleur et l'impact de l'incident, les données concernées, l'impact éventuel sur les opérations du tiers et la date à laquelle les mesures correctives ont été mises en œuvre, le tout en s'appuyant sur les experts de Mitratech.

5.20 l) « dispositions pertinentes en matière de sous-traitance, y compris les contrôles à mettre en œuvre, tels que l'accord sur le recours à des sous-traitants (par exemple, leur imposer les mêmes obligations que celles du fournisseur, exiger une liste des sous-traitants et une notification avant tout changement) ; »

Mitratech peut identifier les relations de sous-traitance de quatrième et n-ième partie en réalisant une évaluation basée sur un questionnaire ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques.

Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le dépistage des sanctions/PEP.

Cette approche permet de mieux appréhender les risques potentiels de concentration technologique ou géographique.

5,20 o) « les mécanismes de preuve et d'assurance des attestations de tiers pour les exigences pertinentes en matière de sécurité de l'information liées aux processus des fournisseurs et un rapport indépendant sur l'efficacité des contrôles ; »

5.20 q) « obligation du fournisseur de remettre périodiquement un rapport sur l'efficacité des contrôles et accord sur la correction en temps opportun des problèmes pertinents soulevés dans le rapport ; »

Le Mitratech Service de validation des contrôles examine les réponses et la documentation issues d'évaluations tierces par rapport aux protocoles de test établis afin de vérifier que les contrôles indiqués sont en place.

Les experts de Mitratech examinent d'abord les réponses aux évaluations, qu'elles proviennent de questionnaires personnalisés ou standardisés. Nous mettons ensuite en correspondance les réponses avec les normes ISO et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour élaborer des plans de correction et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Mitratech vous apporte son expertise pour vous aider à réduire les risques avec vos ressources existantes.

5,20 x) « clauses de résiliation à la fin du contrat, y compris la gestion des dossiers, la restitution des actifs, la destruction sécurisée des informations et autres actifs associés, ainsi que toute obligation de confidentialité continue » ;

5.20 y) mise en place d'une méthode permettant de détruire de manière sécurisée les informations de l'organisation stockées par le fournisseur dès qu'elles ne sont plus nécessaires ; »

5.20 z) assurer, à la fin du contrat, le transfert des tâches à un autre fournisseur ou à l'organisation elle-même ; »

Les fonctionnalités de gestion du cycle de vie des contrats de Mitratech garantissent que les dispositions clés sont incluses dans les contrats fournisseurs et font l'objet d'un suivi continu. Les évaluations automatisées des contrats et les procédures de sortie telles que les rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois applicables et les paiements finaux réduisent le risque d'exposition post-contractuelle de votre organisation.

5.21 Gérer la sécurité de l'information dans la chaîne d'approvisionnement en TIC

5.21 b) « exiger des fournisseurs de services TIC qu'ils diffusent les exigences de sécurité de l'organisation tout au long de la chaîne d'approvisionnement s'ils sous-traitent une partie des services TIC fournis à l'organisation » ;

5.21 c) « exiger des fournisseurs de produits TIC qu'ils diffusent des pratiques de sécurité appropriées tout au long de la chaîne d'approvisionnement si ces produits comprennent des composants achetés ou acquis auprès d'autres fournisseurs ou d'autres entités (par exemple, des développeurs de logiciels sous-traitants et des fournisseurs de composants matériels) ; »

5.21 f) « mettre en œuvre un processus de surveillance et des méthodes acceptables pour vérifier que les produits et services TIC fournis sont conformes aux exigences de sécurité énoncées. Ces méthodes d'évaluation des fournisseurs peuvent notamment inclure des tests de pénétration et la vérification ou la validation des attestations de tiers concernant les opérations de sécurité de l'information du fournisseur » ;

Mitratech peut identifier relations de sous-traitance de quatrième et n-ième partie en menant une évaluation à l'aide d'un questionnaire ou en analysant de manière passive l'infrastructure publique du tiers.

La carte des relations qui en résulte décrit les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques.

Cette approche permet de mieux appréhender les risques potentiels de concentration technologique ou géographique.

5.21 g) « mettre en œuvre un processus permettant d'identifier et de documenter les composants des produits ou services qui sont essentiels au maintien de la fonctionnalité et qui nécessitent donc une attention accrue, un examen minutieux et un suivi supplémentaire lorsqu'ils sont fabriqués à l'extérieur de l'organisation, en particulier si le fournisseur sous-traite certains aspects des composants des produits ou services à d'autres fournisseurs ; »

Mitratech vous permet d'évaluer et de surveiller les tiers en fonction de la criticité ou de l'ampleur des menaces pesant sur leurs actifs informationnels en capturant, suivant et quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent :

Type de contenu requis pour valider les contrôles
Criticité pour les performances et les opérations de l'entreprise
Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
Expérience des processus opérationnels ou en contact avec les clients
Interaction avec les données protégées
Situation financière et santé
Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

5.22 Suivi, révision et gestion des changements des services des fournisseurs

"L'organisme devrait régulièrement surveiller, examiner, évaluer et gérer les changements dans les pratiques de sécurité de l'information des fournisseurs et dans la prestation de services.

5.22 a) « surveiller les niveaux de performance des services afin de vérifier le respect des accords » ;

Grâce à la plateforme Mitratech, les organisations peuvent personnaliser leurs enquêtes afin de faciliter la collecte et l'analyse des données nécessaires relatives aux performances et aux contrats dans un registre des risques unique. Mitratech identifie les attributs clés des contrats liés aux accords de niveau de service (SLA) ou aux performances, renseigne ces exigences dans la plateforme et vous attribue, à vous et à votre tiers, des tâches à des fins de suivi.

5,22 b) « surveiller les modifications apportées par les fournisseurs, notamment :

1) l'amélioration des services actuellement offerts ;
2) le développement de nouvelles applications et de nouveaux systèmes ;
3) les modifications ou mises à jour des politiques et procédures du fournisseur ;
4) des contrôles nouveaux ou modifiés pour résoudre les incidents de sécurité de l'information et pour améliorer la sécurité de l'information ;"

5.22 c) « surveiller les changements dans les services des fournisseurs, notamment :

1) les modifications et l'amélioration des réseaux
2) l'utilisation de nouvelles technologies
3) l'adoption de nouveaux produits ou de nouvelles versions ;
4) nouveaux outils et environnements de développement
5) les modifications de l'emplacement physique des installations de service ;
6) changement de sous-fournisseurs
7) la sous-traitance à un autre fournisseur ;"

Les sources de surveillance comprennent

plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.

Comme toutes les menaces ne sont pas des cyberattaques directes, Mitratech intègre également des données provenant des sources suivantes afin d'ajouter du contexte aux résultats cybernétiques :

550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc.
30 000 sources d'information mondiales
Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
Listes de sanctions mondiales et plus de 1 000 listes d'application de la loi au niveau mondial et dépôts auprès des tribunaux

5.22 e) « réaliser des audits des fournisseurs et sous-traitants, en conjonction avec l'examen des rapports des auditeurs indépendants, si disponibles, et assurer le suivi des problèmes identifiés » ;

Le service de validation des contrôles Mitratech examine les réponses et la documentation des évaluations tierces par rapport aux protocoles de test établis afin de vérifier que les contrôles indiqués sont bien en place.

5,22 f) « fournir des informations sur les incidents liés à la sécurité de l'information et examiner ces informations conformément aux accords et à toutes les directives et procédures connexes ; »

5.22 g) « examiner les pistes d'audit des fournisseurs et les registres des incidents liés à la sécurité de l'information, des problèmes opérationnels, des défaillances, du traçage des pannes et des perturbations liés au service fourni » ;

5.22 h) « répondre à tout événement ou incident identifié lié à la sécurité de l'information et le gérer » ;

Mitratech permet à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact des incidents liés à des fournisseurs tiers en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance cybernétique continue et en accédant à des conseils de remédiation.

Les principales capacités sont les suivantes

Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
Suivi en temps réel de l'état d'avancement du questionnaire
Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
Rapports proactifs des fournisseurs
Des vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
Recommandations de remédiation intégrées pour réduire les risques
Modèles de rapports intégrés
Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

5.22 i) « identifier les vulnérabilités en matière de sécurité de l'information et les gérer » ;

Mitratech suit et analyse en permanence les menaces externes pesant sur les tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, corrèle les données de surveillance avec les résultats des évaluations et les centralise dans un registre des risques unifié pour chaque fournisseur, rationalisant ainsi les initiatives d'examen, de reporting et de réponse aux risques.

Les sources de surveillance comprennent

plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.

5.22 j) « examiner les aspects liés à la sécurité de l'information dans les relations du fournisseur avec ses propres fournisseurs »

5.22 k) veiller à ce que le fournisseur dispose d'une capacité de service suffisante et mette en place des plans réalisables visant à garantir le maintien des niveaux de continuité de service convenus à la suite de pannes majeures ou de catastrophes ; »

La plateforme Mitratech comprend une évaluation complète de la résilience opérationnelle basée sur les pratiques standard ISO 22301 qui permet aux organisations :

Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

5.22 m) « évaluer régulièrement que les fournisseurs maintiennent des niveaux adéquats de sécurité de l'information » ;

Mitratech automatise les évaluations des risques afin d'améliorer la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.

Avec une bibliothèque de plus de 200 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et l'analyse des enquêtes à l'évaluation des risques et la création de rapports.

Avec Mitratech, vous pouvez facilement recueillir et corréler des informations sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pesant sur la gestion des informations, en fonction de l'importance cruciale du tiers telle que déterminée par l'évaluation des risques inhérents.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

ISO 27036-2 Contrôles

Comment nous aidons

6 Sécurité de l'information dans la gestion des relations avec les fournisseurs

6.1.1.1 Processus d'accord / Processus d'acquisition / Objectif

Établir une stratégie de relations avec les fournisseurs qui :

est basé sur la tolérance au risque de sécurité de l'information de l'acquéreur ;
définit les fondements de la sécurité de l'information à utiliser lors de la planification, de la préparation, de la gestion et de la clôture de l'acquisition d'un produit ou d'un service.

6.1.2.1 Processus d'accord / Processus d'approvisionnement / Objectif

Établir une stratégie de relations avec les acquéreurs qui :

est basé sur la tolérance au risque de sécurité de l'information du fournisseur ;
définit le référentiel de sécurité de l'information à utiliser lors de la planification, de la préparation, de la gestion et de la clôture de la fourniture d'un produit ou d'un service.

Mitratech s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) conforme à vos programmes plus généraux en matière de sécurité de l'information, de gouvernance, de risques et de conformité, sur la base de bonnes pratiques éprouvées et d'une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, Mitratech peut vous aider à définir :

Rôles et responsabilités clairement définis (par exemple, RACI)
Inventaires de tiers
Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
Méthodes d'évaluation et de suivi basées sur la criticité des tiers
Cartographie quadripartite
Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
Politiques, normes, systèmes et processus régissant la protection des données
les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
Exigences en matière de réponse aux incidents
Rapports sur les risques et les parties prenantes internes
Stratégies d'atténuation des risques et de remédiation

6.2.1 Processus organisationnels permettant la réalisation du projet / Processus de gestion du modèle de cycle de vie

a) L'acquéreur et le fournisseur établissent le processus de gestion du modèle de cycle de vie lors de la gestion de la sécurité de l'information dans les relations avec les fournisseurs.

Mitratech aide à éliminer les risques liés à la sécurité et à la conformité qui découlent de la collaboration avec des fournisseurs, des prestataires et d'autres tiers tout au long du cycle de vie des risques liés aux fournisseurs, depuis la recherche et la sélection jusqu'au départ, en passant par toutes les étapes intermédiaires.

6.2.2.1 Processus organisationnels permettant la réalisation des projets / Processus de gestion de l'infrastructure / Objectif

a) Fournir l'infrastructure nécessaire pour aider l'organisation à gérer la sécurité de l'information dans le cadre des relations avec les fournisseurs.

Mitratech fournit une plateforme SaaS centralisée qui permet aux acquéreurs et aux fournisseurs de collaborer à la réduction des risques en automatisant les évaluations des risques par rapport à plus de 200 normes industrielles, dont les normes ISO. Grâce à cette plateforme, les acquéreurs bénéficient d'un flux de travail et de mesures correctives intégrés, ainsi que d'analyses et de rapports automatisés.

6.2.2.2 Processus organisationnels permettant la réalisation du projet / Processus de gestion de l'infrastructure / Activités

b) Définir, mettre en œuvre, maintenir et améliorer les dispositifs d'urgence afin de garantir que l'acquisition ou la fourniture d'un produit ou d'un service puisse se poursuivre en cas d'interruption due à des causes naturelles ou anthropiques.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Mitratech :

Automatisation de la surveillance cybernétique continue permettant de prévoir les éventuels impacts sur les activités de tiers
Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur.
Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

La plateforme Mitratech comprend une évaluation complète de la résilience opérationnelle basée sur les pratiques standard ISO 22301 qui permet aux organisations :

Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

6.2.3.2 Processus / activités de gestion du portefeuille de projets

a) Définir, mettre en œuvre, maintenir et améliorer un processus permettant d'identifier et de classer les fournisseurs ou
acquéreurs en fonction de la sensibilité des informations qui leur sont communiquées et du niveau d'accès qui leur est accordé aux actifs de l'acquéreur ou du fournisseur, tels que les informations et les systèmes d'information ;

Type de contenu requis pour valider les contrôles
Criticité pour les performances et les opérations de l'entreprise
Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
Expérience des processus opérationnels ou en contact avec les clients
Interaction avec les données protégées
Situation financière et santé
Réputation

6.3.4.1 Processus de projet / Processus de gestion des risques / Objectif

a) Traiter en permanence les risques liés à la sécurité de l'information dans les relations avec les fournisseurs et tout au long de leur cycle de vie, y compris en les réexaminant périodiquement ou lorsque des changements importants surviennent sur le plan commercial, juridique, réglementaire, architectural, politique et contractuel.

Les sources de surveillance comprennent

plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.

Comme toutes les menaces ne sont pas des cyberattaques directes, Mitratech intègre également des données provenant des sources suivantes afin d'ajouter du contexte aux résultats cybernétiques :

550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc.
30 000 sources d'information mondiales
Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
Listes de sanctions mondiales et plus de 1 000 listes d'application de la loi au niveau mondial et dépôts auprès des tribunaux

Une politique de sélection des fournisseurs fondée sur les pratiques en matière de sécurité de l'information devrait être mise en place.

6.3.7.1 Processus de projet / Processus de mesure / Objectif

a) Recueillir, analyser et communiquer les mesures de sécurité de l'information liées à l'acquisition ou à la fourniture d'un produit ou d'un service afin de démontrer la maturité de la sécurité de l'information dans une relation avec un fournisseur et de soutenir une gestion efficace des processus.

7 Sécurité de l'information dans une relation avec un fournisseur

7.2.1 Processus de sélection des fournisseurs / Objectifs

a) Choisir un fournisseur qui offre une sécurité de l'information adéquate pour le produit ou le service qui peut être acheté.

7.3.1 Processus de gestion des relations avec les fournisseurs / Objectif

Établir et approuver un accord sur les relations avec les fournisseurs portant sur les points suivants :
- les rôles et responsabilités de l'acquéreur et du fournisseur en matière de sécurité de l'information ;
- les contrôles de sécurité requis en matière de sécurité de l'information, de sécurité des TIC, de sécurité du personnel et de sécurité physique ;
- un processus de transition lorsque le produit ou le service a été précédemment exploité ou fabriqué par une partie différente du fournisseur ;
- la gestion des changements en matière de sécurité de l'information ;
- la gestion des incidents liés à la sécurité de l'information ;
- le contrôle et l'application de la conformité
- un processus de résiliation.

La plateforme Mitratech automatise les flux de travail nécessaires pour évaluer, gérer, surveiller en permanence et remédier aux risques liés à la sécurité, à la confidentialité, à la conformité et à la chaîne d'approvisionnement/d'achat des tiers à chaque étape du cycle de vie des fournisseurs. La solution :

Automatisation de l'intégration et de la désintoxication des fournisseurs
Profils, niveaux, scores de risque inhérent pour tous les fournisseurs
Automatisation de la cartographie des tiers et des données démographiques des fournisseurs dans un profil central
Fournit la plus grande bibliothèque d'évaluations des risques standardisées et personnalisées avec gestion intégrée des flux de travail, des tâches et des preuves.
intègre la surveillance des risques cybernétiques, commerciaux, financiers et de réputation afin de corréler les risques avec les résultats de l'évaluation et de valider les conclusions
Inclut des analyses d'apprentissage automatique pour normaliser et corréler les résultats provenant de sources multiples.
Fournit des rapports sur la conformité et les risques en fonction du cadre ou de la réglementation
Améliore la gestion des mesures correctives grâce à des conseils intégrés
Inclut la gestion des contrats et des appels d'offres pour permettre une gestion plus complète des risques avant l'intégration.
Automatisation de la réponse aux incidents par des tiers

7.4.1 Processus de gestion des relations avec les fournisseurs / Objectifs

a) Maintenir la sécurité de l'information pendant la période d'exécution de la relation avec le fournisseur conformément à l'accord sur la relation avec le fournisseur et en tenant particulièrement compte des éléments suivants :

4) Contrôler et faire respecter par le fournisseur les dispositions relatives à la sécurité de l'information définies dans l'accord de relation avec le fournisseur.

Grâce à la plateforme Mitratech, les acquéreurs peuvent automatiquement mettre en correspondance les informations recueillies à partir d'évaluations basées sur des contrôles avec les cadres réglementaires, notamment ISO et bien d'autres, afin de visualiser et de traiter rapidement les exigences de conformité importantes à chaque étape du cycle de vie des fournisseurs.

7.5.1 Processus de rupture des relations avec les fournisseurs / Objectifs

a) Protéger la fourniture du produit ou du service pendant la résiliation afin d'éviter tout impact sur la sécurité de l'information, la législation et la réglementation après la notification de la résiliation ;

b) Mettre fin à la fourniture du produit ou du service conformément au plan de résiliation.

La plateforme Mitratech automatise les évaluations de contrats et les procédures de départ afin de réduire les risques liés à l'exposition post-contractuelle de votre organisation.

Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement.
Utilisez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore.
Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les accords de service (SOW) et les contrats. Tirez parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte.
Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.
Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.

Prochaines étapes pour la conformité ISO

Les normes ISO présentées ici exigent une gestion et un suivi rigoureux des risques liés à la sécurité et à la confidentialité des données des fournisseurs tiers. Elles précisent les points suivants :

Une politique de sélection des fournisseurs fondée sur les pratiques en matière de sécurité de l'information devrait être mise en place.
Une politique de gestion des risques doit être mise en place
Une politique devrait être codifiée dans les contrats avec les fournisseurs.
Les fournisseurs doivent être gérés et contrôlés conformément aux exigences convenues.

Disposer de systèmes de gestion de la sécurité de l'information robustes fait partie intégrante du cycle de vie des fournisseurs et nécessite une vision interne complète des contrôles en place ainsi qu'une surveillance continue de tous les tiers. Cela ne peut être réalisé à l'aide d'un simple scan automatisé externe ou de tableurs. Mitratech propose une plateforme unifiée qui permet d'auditer efficacement les contrôles de sécurité des fournisseurs afin de garantir la conformité aux normes ISO.

Contactez-nous dès aujourd'hui pour obtenir une démonstration personnalisée ou téléchargez la liste de contrôle de conformité ISO par un tiers pour découvrir comment Mitratech peut répondre à vos exigences ISO.

Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.

Solutions pour l'industrie

Comment répondre aux exigences de l'ISO en matière de gestion des risques liés aux tiers ?

ISO 27001 et gestion des risques liés aux tiers

ISO 27002 et gestion des risques liés aux tiers

ISO 27036-2 et gestion des risques liés aux tiers

Exigences ISO en matière de gestion des risques liés aux tiers

Respecter les directives ISO relatives aux tiers grâce à la plateforme TPRM de Mitratech

Prochaines étapes pour la conformité ISO