Si vous êtes un professionnel du risque lié aux tiers dans une entreprise, il y a de fortes chances que vous lisiez cet article dans un aéroport, en attendant votre prochain vol. Après tout, c'est la saison des conférences, des sommets et des forums professionnels consacrés aux tiers. Comme vous, j'ai passé le mois dernier à voyager, participant et intervenant dans divers événements, à écouter et à apprendre. Tout au long des discussions, un thème central s'est dégagé autour du sujet de la notation des risques, avec l 'idée que les rapports et les tableaux de bord open source constituent un moyen adéquat de fournir une évaluation précise afin de réduire les risques auxquels une organisation est exposée lorsqu'elle traite ou gère des données. Mais attendez...
La perception n'est pas la réalité.
Oui, j'insiste sur le mot « perception », car prendre un instantané du risque, qu'il s'agisse de renseignements sur les cybermenaces ou de renseignements commerciaux, n'est justement qu'un instantané. Les classifications par couleur, par chiffre et par lettre fournies par les sociétés actuelles d'évaluation des risques suscitent certes mon intérêt, mais si elles ne sont pas utilisées à bon escient, elles conduiront très certainement à un faux sentiment de sécurité. Je félicite vivement les organisations qui utilisent ces informations de manière appropriée. Cependant, je prie celles qui mettent tous leurs œufs dans le même panier et qui s'appuient fortement sur la notation pour effectuer les vérifications nécessaires de faire preuve de prudence.
Ne vous méprenez pas, l'évaluation des risques liés à l'open source est une mesure visant à informer les organisations des actions à entreprendre. Voici quelques exemples :
- Aider à hiérarchiser les vérifications préalables des tiers
- Détermination de la demande de proposition ou sélection des informations
- Définir les domaines d'amélioration des pratiques en matière de sécurité
- Identification des informations accessibles aux conseillers
N'oublions pas que certains programmes tiers éprouvés peuvent également vous informer en temps réel d'un événement nécessitant une gestion immédiate de l'incident ou de la crise. Mais il est essentiel d'examiner la manière dont vous mettez en œuvre les outils de notation et déterminez les seuils acceptables pour votre appétit pour le risque et vos programmes. Pour ceux qui souhaitent utiliser des outils de classement des risques pour la première fois, une approche évolutive de la manière dont vous absorbez et utilisez les informations afin d'appliquer le contenu de manière responsable peut vous aider à contrôler la manière de réduire les risques et permettra à votre programme de gestion des tiers de se démarquer des autres. Par exemple, les pratiques de sécurité matures utilisent les rapports de notation provenant de sources ouvertes pour créer un partenariat avec leurs tiers de manière à aider ces derniers à améliorer leur posture de sécurité grâce à une nouvelle prise de conscience. Dans le même temps, il est préoccupant que les rapports de notation soient présentés d'une manière qui aboutisse finalement à la décision d'exclure le tiers sur la base d'un rapport mal interprété.
L'évaluation des risques liés à l'open source n'est qu'une pièce du puzzle
La notation des risques comporte plusieurs facettes. La notation des risques open source n'est qu'un indicateur parmi d'autres qui doit être associé aux quatre identifiants de risques suivants :
- Questionnaires de sécurité remplis (informations fiables)
- Rapports d'évaluation sur site (informations de validation)
- Plans de remédiation des risques acceptés (informations relatives à l'acceptation)
- Événements et incidents en temps réel (informations en temps réel)
L'utilisation d'une technique de notation segmentée est le moyen privilégié pour obtenir une image globale de la sécurité des tiers. Votre relation avec les tiers dépend de la notation de tous les identifiants de risque. N'oubliez donc pas qu'une partie fondamentale de la notation continue des risques est fournie par des rapports open source, mais ne négligez pas pour autant les identifiants de risque qui reflètent l'image complète de votre risque tiers.
Découvrez l'approche globale de Prevalent en matière de gestion des risques liés aux tiers.
Brenda Ferraro est directrice principale chez Prevalent, Inc. Elle est une spécialiste très recherchée dans le domaine des risques liés aux tiers, reconnue par les organismes de réglementation, les centres d'analyse et de sécurité de l'information (ISAC) et les organisations de normalisation des cadres de référence pour les tiers. Elle accorde une attention particulière aux risques liés aux tiers en mettant à profit son expérience en matière de mesures, de rapports et de maîtrise des processus pour guider les entreprises vers un écosystème de solutions unique qui permet de surmonter les complexités de la gouvernance des risques liés aux tiers.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
