SIG 2023 : Nouveautés de la dernière mise à jour

Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) et apprenez comment en tirer parti dans vos évaluations des risques par des tiers.

Personnel de Mitratech
Personnel de Mitratech Novembre 30, 2022 6 minutes de lecture

Le questionnaire standard de collecte d'informations est utilisé par les équipes de gestion des risques des tiers pour effectuer des évaluations standardisées des risques des fournisseurs. Les questionnaires SIG peuvent être utilisés tels quels ou dans le cadre d'un programme plus large de gestion des risques des tiers (TPRM). Ce billet examine les principales mises à jour de SIG 2023 et la manière dont elles peuvent être utilisées dans vos évaluations des risques liés aux fournisseurs.

Qu'est-ce que SIG ?

Le questionnaire Standard Information Gathering (SIG)
est une évaluation des risques effectuée par une tierce partie et gérée par Shared Assessments. SIG est disponible en plusieurs formats, notamment SIG Core, SIG Lite et des versions personnalisées. Les organisations utilisent les questionnaires SIG pour mesurer les risques liés aux tiers dans 19 domaines, et chaque question est liée à plusieurs exigences réglementaires et de conformité. SIG couvre un large éventail de domaines allant de la sécurité de l'information et de la cybersécurité à la protection de la vie privée et à l'ESG.

Shared Assessments révise et met à jour les questionnaires SIG sur une base annuelle. Ces mises à jour comprennent généralement des ajouts et des modifications aux questions, aux domaines et aux catégories de sujets sur la base des normes opérationnelles actuelles, des changements sociétaux et des développements dans des industries et des secteurs spécifiques.

Quels sont les domaines couverts par la SIG ?

La version actuelle du SIG évalue les risques dans les 19 domaines de contrôle suivants, également appelés "domaines" :

  1. Contrôle d'accès
  2. Sécurité des applications
  3. Gestion des actifs et de l'information
  4. Services d'hébergement en nuage
  5. Gestion de la conformité
  6. Gestion des incidents de cybersécurité
  7. Sécurité des points finaux
  8. Gestion du risque d'entreprise
  9. Environnement, social, gouvernance (ESG)
  10. Ressources humaines Sécurité
  11. Assurance de l'information
  12. Gestion des opérations informatiques
  13. Sécurité des réseaux
  14. Gestion des tiers
  15. Résilience opérationnelle
  16. Sécurité physique et environnementale
  17. Gestion de la vie privée
  18. Sécurité du serveur
  19. Gestion des menaces

Les principaux ajouts dans SIG 2023 comprennent le nouveau domaine ESG et le nouveau domaine Nth-Party Management. Par ailleurs, le domaine Politique de sécurité a été supprimé et son contenu a été déplacé vers les domaines Gestion des tiers et Assurance de l'information. Nous allons entrer dans les détails ci-dessous.

Principaux changements dans les SIG pour 2023

Nouveau domaine ESG ajouté dans SIG 2023

Le changement le plus important dans SIG 2023 est l'ajout du domaine environnemental, social et de gouvernance (ESG). La conformité ESG a gagné en importance avec l'émergence de plusieurs nouvelles réglementations, telles que le projet de directive européenne sur le devoir de diligence en matière de développement durable des entreprises et la loi allemande sur le devoir de diligence en matière de chaîne d'approvisionnement. La mise à jour du SIG Core 2023 comprend 131 questions relatives aux pratiques environnementales, sociales et de gouvernance.

Par rapport à SIG 2022, SIG 2023 approfondit des thèmes spécifiques de l'ESG. Par exemple, SIG 2022 comprenait des questions de haut niveau telles que "Avez-vous mis en place un programme ESG ?" SIG 2023, en revanche, aborde plusieurs sujets ESG spécifiques dans les catégories suivantes :

Environnement

  • Politique environnementale
  • Gestion de l'environnement
  • Pollution de l'air
  • Gestion des déchets
  • Conformité réglementaire
  • Changement climatique
  • Gestion des ressources naturelles

Social

  • Droits de l'homme : Esclavage moderne, salaire minimum
  • Sécurité des travailleurs et de la santé : Politique de l'OHSA
  • Engagement communautaire
  • Sécurité des consommateurs : Conformité réglementaire (FDA)

Gouvernance

  • Structure du conseil d'administration : Suivi des performances
  • Éthique et code de conduite : Diversité et inclusion, approvisionnement éthique
  • Gestion de la chaîne d'approvisionnement : Évaluations des risques ESG, codes de conduite
  • Pratiques de gestion ESG : Registre des risques ESG, accords de niveau de service et objectifs
  • Confidentialité et sécurité des données

Le nouveau domaine de gestion des tiers s'attaque au risque dela quatrième partie

La gestion des tiers est un autre nouveau domaine de SIG 2023. Ce sujet était auparavant couvert par le domaine de la gestion du risque d'entreprise.

De nombreux facteurs relient l'augmentation des risques liés aux données à des tierces parties. Par exemple, les acteurs de la menace sont connus pour cibler les fournisseurs de technologie comme un moyen de mener ensuite des attaques par ransomware contre les partenaires commerciaux des fournisseurs et leurs clients. Un bon exemple est l'intrusion de Kaseya l'année dernière, qui visait une plateforme populaire utilisée par les fournisseurs de services gérés pour fournir des services à leurs clients.

En outre, les entreprises étant de plus en plus connectées, les PII, PHI, la propriété intellectuelle et d'autres données sensibles peuvent se retrouver entre les mains de quatrième et de énième parties qui sont inconnues du propriétaire ou du gestionnaire initial des données. Dans ce contexte, il est tout à fait logique de distinguer le risque de quatrième et de troisième partie du domaine de la gestion des risques de l'entreprise. Les catégories du domaine de la gestion de la Nième partie comprennent :

  • Politiques, normes et procédures
  • Parrainage exécutif
  • Contrats et accords
  • Inventaire et actifs
  • Supervision du conseil d'administration et des comités
  • Gestion des incidents et des violations
  • Diligence raisonnable
  • Évaluations des risques
  • Antécédents et filtrage
  • Notifications et gestion des problèmes

Nouvelles catégories dans SIG 2023

Un autre changement majeur pour SIG 2023 est l'ajout de plusieurs nouvelles catégories. La SIG divise chaque domaine en plusieurs catégories afin d'approfondir et de cibler des groupes de contrôles disparates. Avec les nouvelles catégories, SIG 2023 approfondit des sujets spécifiques et permet aux entreprises de se concentrer sur les types de risques qui les préoccupent le plus. Par exemple, plutôt que de réutiliser la catégorie "Gestion des incidents" de SIG 2022, les catégories ont été affinées pour devenir "Traitement des incidents" et "Enseignements tirés du traitement des incidents".

L'accent mis sur la gestion et la gouvernance

Les mises à jour de SIG 2023 mettent davantage l'accent sur la gestion et la gouvernance de la sécurité de l'information que sur des catégories spécifiques de contrôle de la confidentialité, de la sécurité et de la conformité. En surface, il suffit de considérer certains changements et mises à jour de noms de domaine :

  • La politique de sécurité* a été remplacée par la gestion des tiers.
  • La sécurité organisationnelle a été remplacée par l'assurance de l'information
  • Compliance & Operational Risk a été remplacé par Compliance Management
  • La protection de la vie privée a été remplacée par la gestion de la vie privée

*La plupart des questions relevant du domaine de la politique de sécurité ont été déplacées vers la gestion des tiers ou l'assurance de l'information.

Un autre exemple évident de ce changement est la création du nouveau domaine ESG, qui reflète la corrélation croissante entre les politiques commerciales générales d'une organisation et son exposition au risque. Il est également important de noter que la mise à jour SIG 2023 comprend de nouvelles questions relatives aux politiques de gouvernance de gestion dans chacun des 19 domaines. Ces mises à jour tentent d'aller au-delà du simple fait de déterminer si un fournisseur a mis en place des contrôles spécifiques en incluant des lignes de questions plus larges, telles que la façon dont les fournisseurs suivent et gèrent les nouvelles législations.

Prochaines étapes de l'évaluation des SIG

Qu'il s'agisse de l'évolution des risques de cybersécurité, des bouleversements géopolitiques, des perturbations de la chaîne d'approvisionnement ou de l'attention accrue portée aux questions ESG, vos tiers opèrent dans un environnement de risque en constante évolution qui peut avoir de réelles implications pour votre entreprise. C'est pourquoi le questionnaire standard de collecte d'informations est un outil essentiel pour de nombreux programmes de gestion des risques liés aux tiers.

Prevalent propose les questionnaires SIG Core et SIG Lite dans le cadre de sa plateforme de gestion des risques pour les tiers, ainsi que plus de 750 autres modèles d'évaluation basés sur des normes. Nos clients automatisent et accélèrent leurs évaluations de tierces parties, combinent les résultats des évaluations et l'intelligence de la surveillance continue, et obtiennent des conseils prescriptifs pour remédier efficacement aux risques. Demandez une démonstration pour découvrir comment Prevalent peut alimenter votre programme TPRM.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.