Shared Assessments a publié la semaine dernière les mises à jour de son questionnaire SIG (Standard Information Gathering) pour 2024. Le questionnaire SIG est une norme unifiée permettant d'évaluer les risques liés aux fournisseurs dans une multitude de domaines d'actualité. Il existe deux versions de l'enquête : SIG Core et SIG Lite, qui diffèrent considérablement par le nombre de questions et le niveau de détail.
SIG Core est une évaluation complète comprenant plus de 600 questions couvrant 21 catégories de risques. SIG Lite a une portée plus limitée et est généralement utilisé pour les fournisseurs qui nécessitent moins de diligence raisonnable ou qui ne sont pas aussi critiques. Prevalent est titulaire d'une licence pour ces questionnaires SIG et les inclut tous deux dans sa plateforme de gestion des risques tiers.
Cet article examine les nouveaux domaines de risque disponibles dans le SIG 2024 et passe en revue les mises à jour des obligations de conformité incluses dans la nouvelle enquête.
Domaines de risque SIG nouveaux et mis à jour pour 2024
Le SIG 2023 couvrait 19 domaines de risque dans son questionnaire. Avec la nouvelle révision, Shared Assessments a ajouté deux domaines de risque supplémentaires et a modifié les noms de deux autres. Les deux révisions ont changé « Sécurité des applications » en « Gestion des applications » et « Services d'hébergement cloud » en « Services cloud ».
La mise à jour de la section « Gestion des applications » clarifie la portée plus large des risques liés aux applications. La sécurisation des applications peut revêtir différentes formes, mais la gestion des applications s'étend à l'ensemble du cycle de vie du développement logiciel. Cela inclut le codage sécurisé, les meilleures pratiques en matière de risques et la communication des normes au reste de l'organisation.
De même, l'évolution des « services d'hébergement cloud » vers les « services cloud » reflète un changement plus large du marché. L'hébergement cloud peut désigner la sécurité sous-jacente d'une infrastructure cloud telle qu'AWS et Azure, mais il n'est pas nécessairement lié aux meilleures pratiques en matière de réduction des risques liés aux bases de données cloud et autres activités se déroulant dans le cloud.
Les deux nouveaux domaines de risque sont la « gestion des risques liés à la chaîne d'approvisionnement » et « l'intelligence artificielle », que Shared Assessments définit comme suit :
- La gestion des risques liés à la chaîne d'approvisionnement (SCRM) consiste à gérer les risques dans la chaîne d'approvisionnement grâce à une évaluation continue des risques. Ces outils et ressources sont utilisés pour minimiser les vulnérabilités et assurer la continuité de la collaboration avec les partenaires de la chaîne d'approvisionnement.
- L'intelligence artificielle consiste à comprendre les impacts, les limites et les améliorations de l'IA en termes de performances, de fiabilité, de crédibilité et d'efficacité.
L'ajout de ces deux nouveaux domaines de risque reflète l'évolution de la réalité dans laquelle évoluent les gestionnaires des risques liés aux tiers. La gestion des risques liés à la chaîne d'approvisionnement occupe une place de plus en plus importante dans le domaine de la gestion des risques liés aux tiers, les équipes chargées des achats s'impliquant désormais dans la gestion du cycle de vie des risques liés aux tiers. Cela reflète le besoin croissant de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement.
Comme le décrit Shared Assessments dans son guide sur les domaines de risque, « les organisations doivent établir des normes pour les programmes de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement (C-SCRM) qui couvrent l'ensemble du cycle de vie, du développement à la maintenance. Ces normes peuvent être mises en œuvre grâce à la recherche, à la mise à disposition de ressources et à la collaboration des parties prenantes. Elles aideront les organisations à gérer efficacement les risques liés à la cybersécurité dans leurs chaînes d'approvisionnement. »
En matière d'intelligence artificielle, l'objectif du nouveau domaine de risque inclus dans le questionnaire SIG est d'évaluer et de réduire les risques liés aux outils d'
pour les individus, les organisations, la société et l'environnement. Les principales préoccupations concernent notamment la confidentialité, la fiabilité, la précision, la résilience, la sécurité et l'équité sans préjugés préjudiciables. Shared Assessments souhaite que les organisations aident les développeurs et autres acteurs à élaborer des normes relatives à l'IA afin de réduire les risques associés.
Nouveaux mappages de contenu et mises à jour pour SIG 2024
Outre l'ajout de deux nouveaux domaines de risque, la dernière mise à jour du questionnaire SIG a ajouté de nouveaux contenus liés à des normes de conformité distinctes.
Intelligence artificielle : NIST AI RMF
Avec l'ajout du nouveau domaine de risque lié à l'intelligence artificielle, Shared Assessments a également ajouté le cadre de gestion des risques liés à l'intelligence artificielle (NIST AI 100-1) du National Institute of Standards and Technology (NIST) à ses normes de conformité.
Le NIST a introduit l'AI RMF en janvier 2023 afin de répondre à l'utilisation croissante des outils d'IA par les entreprises et au manque de directives sur la manière de gérer les risques. Consultez notre article dans lequel nous avons examiné en détail l'AI RMF afin de comprendre ses implications sur la gestion des risques liés aux tiers. L'ajout de ce cadre au questionnaire SIG par Shared Assessments témoigne d'une solide reconnaissance de la valeur globale de ces directives.
Gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement : NIST 800-161 r1
L'ajout de la gestion des risques liés à la chaîne d'approvisionnement à sa liste de domaines de risque a également conduit à l'ajout de la norme NIST SP 800-161r1, un guide actualisé pour la gestion des risques liés à la cybersécurité dans le domaine de la chaîne d'approvisionnement. Le guide du NIST a été publié en mai 2022 et décrit les meilleures pratiques en matière de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement (C-SCRM). La partie du questionnaire SIG consacrée à la chaîne d'approvisionnement met l'accent sur la cybersécurité, l'ajout de la norme NIST 800-161 r1 témoigne donc de cette priorité.
Environnement, social et gouvernance
En matière de conformité aux exigences environnementales, sociales et de gouvernance (ESG), Shared Assessments a ajouté deux nouvelles réglementations :
- La loi allemande sur la chaîne d'approvisionnement, ou loi sur l'obligation de diligence raisonnable dans la chaîne d'approvisionnement, qui est entrée en vigueur le 1er janvier 2023, a été incluse dans cette version du questionnaire SIG.
- Les directives climatiques (ESG) du DFS de New York, qui orientent la gestion des risques financiers liés au changement climatique, ont également été incluses dans le questionnaire 2024.
Orientations interagences sur les relations avec les tiers
Shared Assessments a également ajouté à son questionnaire le document intitulé « The Interagency Guidance on Third-Party Relationships: Risk Management » (Directives interagences sur les relations avec des tiers : gestion des risques), publié par le Conseil des gouverneurs du Système fédéral de réserve (le Conseil), la Federal Deposit Insurance Corporation (FDIC) et l'Office of the Comptroller of the Currency (OCC).
L'objectif des directives interagences est d'uniformiser et d'harmoniser la manière dont les organismes bancaires élaborent et appliquent les principes de gestion des risques liés aux relations avec des tiers. Selon le document, « les directives finales présentent le point de vue des agences sur les principes de bonne gestion des risques pour les organismes bancaires lors de l'élaboration et de la mise en œuvre de pratiques de gestion des risques à toutes les étapes du cycle de vie des relations avec des tiers ».
Autres mises à jour
Enfin, Shared Assessments a ajouté la version 8 des contrôles de sécurité critiques CIS et ajoutera les questions relatives à la règle SEC Cybersecurity Rule 206(4)-9 dans la bibliothèque de contenu. Ces ajouts permettront de déterminer avec plus de précision les risques liés à la cybersécurité chez vos fournisseurs.
Ces mises à jour comprennent :
- Norme de sécurité des données de l'industrie des cartes de paiement PCI DSS v4.0
- ISO 27001 v2022
- ISO 27002 v2022
- CMMC 2.0, qui nécessite de passer d'une simple correspondance à une véritable intégration
Les entreprises évoluent dans un environnement réglementaire très complexe. Ces changements en sont la preuve.
Qu'est-ce que cela signifie pour TPRM ?
Les mises à jour apportées au questionnaire SIG pour 2024 reflètent un environnement plus nuancé et plus risqué pour les gestionnaires de risques tiers. ChatGPT a été rendu public il y a seulement 12 mois, déclenchant une « course aux armements » dans le domaine de l'IA générative au sein de l'industrie technologique. L'ajout de l'IA au questionnaire SIG reflète la nécessité pour les entreprises de comprendre les risques que les outils d'IA représentent pour elles et de mettre en place des garde-fous autour de l'utilisation de cette technologie.
De plus, l'ajout de la gestion des risques liés à la chaîne d'approvisionnement au questionnaire reflète l'importance accordée aux risques liés à la cybersécurité qui imprègnent le paysage commercial moderne. Les organisations sont confrontées à un nombre croissant de violations de données par des tiers, ce qui nécessite une compréhension approfondie de la chaîne d'approvisionnement en matière de cybersécurité. Le questionnaire SIG s'efforce de répondre à certaines de ces préoccupations, tout en vous apportant une certaine tranquillité d'esprit grâce à la compréhension des contrôles intégrés aux défenses de vos fournisseurs.
Comment Prevalent peut aider
Prevalent propose les questionnaires SIG Core et SIG Lite dans le cadre de notre plateforme de gestion des risques tiers, ainsi que plus de 600 autres modèles d'évaluation basés sur des normes. Cette bibliothèque de modèles permet aux clients de Prevalent d'exploiter des données partagées et de rationaliser le processus de questionnaire sur les risques.
En plus de ces évaluations, nous ajoutons des automatisations de processus, des rapports, une cartographie de la conformité et des conseils de remédiation intégrés afin de rationaliser la gestion des risques liés aux tiers. Une partie du problème avec la TPRM consiste à comprendre comment résoudre les problèmes qui surviennent. Grâce aux conseils de remédiation de Prevalent, la résolution des problèmes n'est plus un défi aussi difficile à relever.
Nous ajoutons également une surveillance continue afin de faciliter le suivi des risques permanents dans votre écosystème tiers. Il est pratiquement impossible pour un responsable de programme TPRM de suivre lui-même tous les risques potentiels, c'est pourquoi la plateforme Prevalent le fait pour vous. Demandez une démonstration dès aujourd'hui pour découvrir comment Prevalent peut optimiser votre programme TPRM.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
