Les programmes holistiques de gestion des risques des tiers (TPRM) combinent des évaluations périodiques des contrôles internes des fournisseurs avec une surveillance continue des menaces externes. En complétant les résultats de l'évaluation des fournisseurs par un flux d'informations externes, vous obtiendrez une compréhension plus complète du risque potentiel de chaque fournisseur pour votre entreprise.
Lorsque vous intégrez la surveillance dans votre programme de gestion des risques liés aux tiers, veillez à exploiter des sources de renseignements sur les fournisseurs qui sont à la fois vastes et profondes. Cet article vous aidera à démarrer en décrivant un cas d'utilisation pour la surveillance continue et en révélant les principales sources de renseignements sur les risques liés aux tiers. Il partagera également les meilleures pratiques pour réussir en cours de route.
Un cas d'utilisation pour le contrôle continu
En informant vos activités d'évaluation des risques liés aux fournisseurs à l'aide de renseignements en temps réel sur la cyberveille et la veille commerciale, vous rendrez votre programme de gestion des risques liés aux fournisseurs plus continu et moins réactif. Par exemple, vous pouvez utiliser la surveillance pour rechercher sur le dark web les vulnérabilités, les brèches et les fuites d'informations d'identification d'un fournisseur. Vous pouvez ensuite corréler ces données avec les informations recueillies dans les questionnaires d'évaluation des fournisseurs pour révéler des incohérences dans les contrôles de gestion des mots de passe et/ou des correctifs.
Une solution TPRM solide ne se contente pas de gérer cette analyse, mais inclut également des règles et des automatismes qui déclenchent des évaluations de suivi. Cette approche permet de boucler la boucle des risques liés aux tiers et de transformer les évaluations ponctuelles en une surveillance continue des risques.
Sources tierces de renseignements sur les risques
Pour prendre des décisions judicieuses et fondées sur les risques, il faut consommer et normaliser des données provenant de nombreuses sources disparates. Il est facile de passer beaucoup de temps à trouver, à centraliser et à donner un sens aux données qui sous-tendent la posture de sécurité de votre fournisseur. C'est pourquoi il est important de prendre en compte la capacité d'une solution TPRM à agréger et à rendre compte de l'intelligence des tiers d'une manière exploitable.
Que vous évaluiez des solutions de surveillance des risques ou que vous adoptiez une approche manuelle, n'oubliez pas d'examiner ces sources de renseignements sur les risques émanant de tiers :
1. Sources publiques
Les sources courantes de renseignements sur les menaces provenant de tiers, accessibles au public - et probablement gratuites - fournissent des informations générales sur le secteur, des tendances et des mises à jour sur les atteintes à la sécurité :
- Les sites consacrés aux violations de données examinent l'impact des violations récentes (par exemple, Data Breach Today).
- Les sites web des entreprises diffusent des communiqués de presse susceptibles d'indiquer des risques potentiels (licenciements, nouvelles financières, etc.).
- Les sites d'évaluation de produits et d'entreprises permettent de connaître l'avis des clients sur les produits d'une entreprise (par exemple, G2).
- Les sites d'offres d'emploi et les sites d'évaluation des employés révèlent le mode de fonctionnement d'une entreprise et indiquent les perturbations potentielles (par exemple, Glassdoor).
- Les publications spécialisées et les sites industriels examinent les tendances susceptibles d'avoir un impact sur les activités d'une entreprise (par exemple, Manufacturing Today).
- Les blogs et les messages sur les médias sociaux fournissent des mises à jour sur l'actualité de l'entreprise, y compris les incidents de sécurité (par exemple, Recorded Future).
- Sites de certification indiquant le niveau de sécurité d'une entreprise (par exemple, SOC)
- Les fils d'actualité fournissent des titres en continu
2. Sources privées
Les sources privées de renseignements sur les risques liés aux tiers comprennent des services de données payants et des sites web qui peuvent être difficiles à trouver ou dangereux à naviguer. Ces sources peuvent fournir des renseignements plus détaillés sur les risques commerciaux et cybernétiques de vos fournisseurs tiers.
- Les agences d'évaluation du crédit fournissent un score indiquant la santé financière d'un partenaire potentiel (par exemple, Experian).
- Les sites d'analyse financière traitent des bénéfices et des risques (par exemple, Motley Fool).
- Les sites d'action juridique passent en revue les procès qui peuvent avoir un impact négatif sur les relations d'affaires d'un vendeur et sur sa capacité d'exécution (par exemple, ClassAction.org).
- Les flux de menaces fournissent des mises à jour continues sur les vulnérabilités et les expositions (par exemple, ThreatConnect).
- Les sites de collage contiennent du code qui peut être utilisé pour exploiter les défenses d'une entreprise (par exemple, Pastebin.com).
- Les dépôts de code sont similaires aux sites de collage (par exemple, Bitbucket.org).
- Forums de pirates informatiques où les cybercriminels discutent des cibles d'attaques et échangent des informations de manière illégale*.
- Forums du web sombre où l'on peut trouver des fuites d'informations d'identification et d'autres informations préjudiciables à l'entreprise*.
Les fournisseurs fiables de ce type d'informations disposent d'une équipe de recherche mondiale qui recherche en permanence les risques encourus par les fournisseurs, en faisant appel à de multiples partenaires en matière d'information sur les risques. Cette approche permet d'obtenir des informations analytiques particulièrement vastes et approfondies.
*La surveillance des forums de pirates et des sites web obscurs est plutôt réservée aux chercheurs professionnels en matière de sécurité !
3. Organismes de réglementation
Les régulateurs industriels et gouvernementaux sont des sources essentielles de renseignements sur les risques encourus par les tiers. Nombre d'entre elles publient des informations sur les mesures d'application et les violations, qui peuvent donner lieu à des amendes ou à des poursuites judiciaires affectant les activités d'un fournisseur.
Votre organisation peut également être légalement tenue de s'assurer que ses tiers respectent les exigences de conformité. Pour ce faire, elle peut procéder à l'évaluation des fournisseurs et les valider par un contrôle continu.
Voici quelques exemples de réglementations et d'organismes de réglementation importants qui entrent en ligne de compte dans la gestion des risques liés aux tiers :
- CCPA - California Consumer Privacy Act (loi californienne sur la protection de la vie privée des consommateurs)
- GDPR - Exigence générale de l'UE en matière de protection des données
- HIPAA - Health Insurance Portability and Accountability Act - Règles de sécurité et de confidentialité
- NYDFS - Département des services financiers de l'État de New York, partie 500
- OCC - Office du contrôleur de la monnaie des États-Unis
- PCI - Norme de sécurité des données de l'industrie des cartes de paiement
Vous pouvez consulter un tableau des règlements qui exigent l'évaluation et/ou le contrôle des fournisseurs dans notre section sur la conformité.
4. Partenariats avec l'industrie
Si votre secteur dispose d'un centre d'échange d'informations (ISAC), l'adhésion à cette organisation devrait être obligatoire pour vous. En voici quelques exemples :
- Le centre d'analyse et de partage d'informations sur la santé (H-ISAC) dans le secteur des soins de santé et de l'industrie pharmaceutique
- The Legal Vendor Network et Theorem Legal pour les cabinets d'avocats
- Évaluations partagées du risque général pour les tiers
5. Intégrations technologiques
Il y a de fortes chances que vous utilisiez plusieurs produits différents pour gérer les risques dans votre entreprise. Si vos solutions fonctionnent en vase clos, examinez comment les intégrations peuvent bénéficier à votre collecte d'informations sur les risques par des tiers. Par exemple, de nombreuses organisations utilisent des solutions de gestion des tickets et des opérations (par exemple, ServiceNow) en conjonction avec des solutions de surveillance des risques des fournisseurs. Dans ce cas, l'association de la billetterie aux données sur les risques peut contribuer à accélérer la prise de décision et à faciliter la remédiation.
6. Réponses à l'évaluation des fournisseurs
Au fur et à mesure que vous recueillez les réponses des évaluations réalisées, vous devriez idéalement les suivre et en rendre compte dans un registre central des risques. Alors que la collecte de renseignements auprès de tiers est généralement effectuée sur une base individuelle, la centralisation des données permet d'éclairer les activités ultérieures des groupes de fournisseurs de l'industrie.
Les évaluations courantes, conformes aux normes de l'industrie, sont les suivantes
- Évaluations partagées Questionnaire standard de collecte d'informations (SIG)
- Évaluations du modèle de certification de la maturité de la cybersécurité (CMMC)
- Évaluations du National Institute of Standards and Technology (NIST) pour SP800-53 et le Cybersecurity Framework (cadre de cybersécurité)
- Questionnaires de l'Organisation internationale de normalisation (ISO) pour 27001, 27002 et 27036-2
C'est là que le cas d'utilisation mentionné ci-dessus entre en jeu. Grâce à des règles automatisées, vous pouvez prendre les vulnérabilités découvertes grâce à la surveillance continue, les mettre en corrélation avec les réponses de l'évaluation et utiliser les résultats pour déclencher des évaluations de suivi.
7. Réseaux de risques pour les fournisseurs
Les bibliothèques d'évaluations de fournisseurs achevées peuvent vous fournir l'évaluation de base et les scores de risque de milliers d'organisations. Elles sont particulièrement utiles pour mener des enquêtes de diligence raisonnable sur les fournisseurs potentiels. Elles peuvent également donner à votre équipe de sécurité une longueur d'avance sur l'analyse des risques pour vos fournisseurs les plus importants. Veillez à choisir un service qui ne se contente pas de fournir des scores d'évaluation, mais qui inclut au moins des évaluations externes de la cybersécurité. Cela vous aidera à combler les lacunes entre les évaluations des fournisseurs et les mises à jour de la bibliothèque.
Prochaines étapes de la veille sur les risques liés aux tiers
Plus d'intelligence permet de prendre des décisions plus éclairées. Prevalent propose une gamme de logiciels, de réseaux et de services de gestion des risques liés aux fournisseurs.
qui intègrent l'évaluation et la surveillance afin d'offrir une vision à 360 degrés du risque lié aux tiers.
Découvrez notre approche éprouvée en 5 étapes de la gestion du risque fournisseur dans notre guide des meilleures pratiques, ou demandez une démonstration dès aujourd'hui.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
