ISO et gestion des risques pour les tiers

L'Organisation internationale de normalisation et la Commission électrotechnique internationale (CEI) rassemblent des experts pour partager leurs connaissances et élaborer des normes internationales volontaires, fondées sur le consensus, afin de résoudre des problèmes mondiaux. Les normes de cybersécurité et de confidentialité des données de l'ISO et de la CEI constituent une base solide pour évaluer les contrôles de sécurité des tiers et révéler les risques potentiels dans votre chaîne d'approvisionnement.

Les normes ISO 27001, 27002 et 27036-2 définissent les exigences relatives à l'établissement, à la mise en œuvre, au maintien et à l'amélioration continue d'un système de gestion de la sécurité de l'information.

  • La norme ISO 27001 fournit un cadre pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue d'un système de gestion de la sécurité de l'information.
  • La norme ISO 27002 fournit des conseils supplémentaires sur la manière de mettre en œuvre les contrôles de sécurité énumérés à l'annexe A de la norme ISO 27001. La section 15 résume les exigences à respecter pour traiter en toute sécurité avec différents types de tiers.
  • La norme ISO 27036-2 spécifie les exigences fondamentales en matière de sécurité de l'information pour la définition, la mise en œuvre, l'exploitation, la surveillance, l'examen, le maintien et l'amélioration des relations avec les fournisseurs et les acquéreurs. Les clauses 6 et 7 définissent les exigences fondamentales et de haut niveau en matière de sécurité de l'information applicables à la gestion de plusieurs relations avec les fournisseurs à tout moment du cycle de vie de ces relations.

Exigences pertinentes

  • Créer une politique de sécurité de l'information pour les relations avec les fournisseurs, qui définisse les politiques et les procédures et impose des contrôles pour la gestion des risques.
  • Inclure des exigences contractuelles pour traiter les risques associés aux services de technologie de l'information et aux chaînes d'approvisionnement en produits.
  • Gérer les changements apportés aux services des fournisseurs et réévaluer les risques si nécessaire

  • Établir des accords contractuels avec les fournisseurs pour tout tiers susceptible d'accéder aux données d'une organisation, de les traiter, de les stocker, de les communiquer ou de fournir une infrastructure informatique.
  • Contrôler, examiner et auditer la prestation de services des fournisseurs

Conformité aux normes ISO 27001, 27002 et 27036-2 TPRM

Voici comment Prevalent peut vous aider à répondre aux normes ISO de gestion des risques des tiers.

Contrôles ISO 27001

Comment nous aidons

5 Contrôles organisationnels

5.1 Politiques de sécurité de l'information

"La politique de sécurité de l'information et les politiques spécifiques doivent être définies, approuvées par la direction, publiées, communiquées et reconnues par le personnel concerné et les parties intéressées, et réexaminées à intervalles planifiés et en cas de changements importants."

5.2 Rôles et responsabilités en matière de sécurité de l'information

"Les rôles et responsabilités en matière de sécurité de l'information doivent être définis et attribués en fonction des besoins de l'organisation.

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) en accord avec vos programmes plus larges de sécurité de l'information, de cybersécurité et de protection de la vie privée, sur la base des meilleures pratiques éprouvées et d'une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI)
  • Inventaires de tiers
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Méthodes d'évaluation et de suivi basées sur la criticité des tiers
  • Cartographie quadripartite
  • Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Politiques, normes, systèmes et processus régissant la protection des données
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

5.7 Renseignements sur les menaces

"Les informations relatives aux menaces pesant sur la sécurité de l'information sont collectées et mises à jour régulièrement.

Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance comprennent

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

5.11 Rendement des actifs

"Le personnel et les autres parties intéressées, le cas échéant, doivent restituer tous les biens de l'organisation en leur possession en cas de changement ou de cessation de leur emploi, de leur contrat ou de leur accord.

Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité avec les lois pertinentes, les paiements finaux, et plus encore. La solution suggère également des actions basées sur les réponses aux évaluations d'intégration et achemine les tâches vers les réviseurs si nécessaire.

5.19 Sécurité de l'information dans les relations avec les fournisseurs

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques de sécurité de l'information liés à l'utilisation des produits ou services du fournisseur."

Prevalent propose une bibliothèque de plus de 750 modèles prédéfinis, y compris des questionnaires ISO dédiés, pour évaluer les risques de sécurité de l'information associés aux tiers.

Les évaluations sont gérées de manière centralisée dans la plateforme Prevalent. Elles s'appuient sur des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves pour permettre une visibilité des risques liés aux tiers tout au long de la relation avec le fournisseur.

Prevalent fournit des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante.

Pour les organisations disposant de ressources et d'une expertise limitées, Prevalent peut gérer le cycle de vie du risque tiers en votre nom - depuis l'intégration des fournisseurs et la collecte de preuves, jusqu'à la fourniture de conseils de remédiation et la production de rapports sur les accords de niveau de service (SLA) contractuels. Ainsi, vous réduisez les risques liés aux fournisseurs et simplifiez la conformité sans alourdir la charge de travail du personnel interne.

5.20 Prise en compte de la sécurité de l'information dans les accords avec les fournisseurs

"Les exigences pertinentes en matière de sécurité de l'information sont établies et convenues avec chaque fournisseur en fonction du type de relation qu'il entretient avec lui."

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Il offre également des capacités de flux de travail pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.

Les principales capacités sont les suivantes

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
  • Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
  • Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des technologies de l'information et de la communication (TIC)

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques liés à la sécurité de l'information dans la chaîne d'approvisionnement des produits et services TIC.

Prevalent normalise les évaluations par rapport aux meilleures pratiques ISO et à d'autres cadres de contrôle de la sécurité de l'information, fournissant aux équipes d'audit interne et de sécurité informatique une plate-forme centrale pour mesurer et démontrer l'adhésion au développement de logiciels sécurisés et aux pratiques du cycle de vie du développement logiciel (SDLC).

5.22 Suivi, révision et gestion des changements des services des fournisseurs

"L'organisme doit régulièrement contrôler, examiner, évaluer et gérer les changements apportés aux pratiques de sécurité de l'information des fournisseurs et à la prestation de services.

Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance comprennent

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

5.23 Sécurité de l'information pour l'utilisation des services en nuage

"Les processus d'acquisition, d'utilisation, de gestion et de sortie des services en nuage doivent être établis conformément aux exigences de l'organisation en matière de sécurité de l'information."

Prevalent standardise les évaluations par rapport à SOC 2, Cyber Essentials, ISO et d'autres cadres de contrôle de la sécurité de l'information, en fournissant des évaluations des contrôles clés par rapport aux exigences des services en nuage.

Ces mêmes évaluations sont également utilisées pour évaluer les contrôles de sécurité de l'information lors de l'abandon des services en nuage.

5.24 Planification et préparation de la gestion des incidents de sécurité de l'information

"L'organisme doit planifier et préparer la gestion des incidents de sécurité de l'information en définissant, en établissant et en communiquant les processus, les rôles et les responsabilités en matière de gestion des incidents de sécurité de l'information.

5.25 Évaluation et décision concernant les événements liés à la sécurité de l'information

"L'organisme doit évaluer les événements liés à la sécurité de l'information et décider s'ils doivent être classés dans la catégorie des incidents de sécurité de l'information.

5.26 Réponse aux incidents liés à la sécurité de l'information

"Les incidents de sécurité de l'information font l'objet d'une réponse conformément aux procédures documentées.

5.28 Collecte de preuves

"L'organisme doit établir et mettre en œuvre des procédures pour l'identification, la collecte, l'acquisition et la conservation des preuves relatives aux événements liés à la sécurité de l'information.

Prevalent permet à votre équipe d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents impliquant des fournisseurs tiers en gérant les fournisseurs de manière centralisée, en menant des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la cybersurveillance continue et en accédant à des conseils de remédiation.

Les principales capacités sont les suivantes

  • Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
  • Suivi en temps réel de l'état d'avancement du questionnaire
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs des fournisseurs
  • Des vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

5.30 Préparation des TIC à la continuité des activités

"L'état de préparation des TIC doit être planifié, mis en œuvre, maintenu et testé sur la base des objectifs de continuité des activités et des exigences en matière de continuité des TIC.

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent :

  • Automatisation de la surveillance cybernétique continue permettant de prévoir les éventuels impacts sur les activités de tiers
  • Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur.
  • Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301 qui permet aux organisations de :

  • Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
  • Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

5.31 Exigences légales, statutaires, réglementaires et contractuelles

"Les exigences légales, statutaires, réglementaires et contractuelles relatives à la sécurité de l'information et l'approche de l'organisme pour répondre à ces exigences doivent être identifiées, documentées et tenues à jour."

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Il offre également des capacités de flux de travail pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.

Les principales capacités sont les suivantes

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
  • Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
  • Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

5.34 Vie privée et protection des informations personnelles identifiables (IPI)

"L'organisation doit identifier et satisfaire les exigences relatives à la préservation de la vie privée et à la protection des IPI conformément aux lois et réglementations applicables et aux exigences contractuelles.

Prevalent offre une plateforme centralisée et collaborative pour effectuer des évaluations de la protection de la vie privée et atténuer les risques liés à la protection de la vie privée, qu'il s'agisse d'une tierce partie ou d'une entreprise. Les principales fonctionnalités d'évaluation de la sécurité des données et de la protection de la vie privée sont les suivantes

  • Évaluations régulières et cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès - le tout résumé dans un registre des risques qui met en évidence les expositions critiques.
  • Évaluations de l'impact sur la vie privée pour découvrir les données commerciales à risque et les informations personnelles identifiables (PII)
  • Évaluation des fournisseurs au regard du GDPR et d'autres réglementations en matière de protection de la vie privée via le Prevalent Compliance Framework (PCF) - révèle les points chauds potentiels en établissant une correspondance entre les risques identifiés et les contrôles spécifiques.
  • Cartographie des risques et des réponses GDPR en fonction des contrôles. Inclut des notes de conformité en pourcentage et des rapports spécifiques aux parties prenantes.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications de violation de données des fournisseurs en temps réel.
  • La centralisation de l'intégration, de la distribution, de la discussion, de la conservation et de l'examen des contrats avec les fournisseurs garantit que les dispositions relatives à la protection des données sont appliquées dès le début de la relation.

5.36 Respect des politiques, règles et normes en matière de sécurité de l'information

"Le respect de la politique de sécurité de l'information de l'organisme, des politiques spécifiques, des règles et des normes doit être régulièrement vérifié.

Avec Prevalent, les auditeurs peuvent établir un programme pour atteindre et démontrer efficacement la conformité. La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des douzaines de réglementations gouvernementales et de cadres sectoriels.

Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser rapidement les exigences de conformité importantes et d'y répondre.

Contrôles ISO 27002

Comment nous aidons

5.19 Sécurité de l'information dans les relations avec les fournisseurs

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques de sécurité de l'information associés à l'utilisation des produits ou services du fournisseur.

5.19 a) "identifier et documenter les types de fournisseurs (par exemple les services TIC, la logistique, les services publics, les services financiers, les composants de l'infrastructure TIC) qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation" ; b) "identifier et documenter les types de fournisseurs qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation".

5.19 e) "définir les types de composants de l'infrastructure TIC et les services fournis par les fournisseurs qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation ;"

5.19 b) "établir comment évaluer et sélectionner les fournisseurs en fonction de la sensibilité des informations, des produits et des services (par exemple, à l'aide d'une analyse de marché, de références clients, d'un examen des documents, d'évaluations sur place, de certifications) ;"

Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans le cadre des décisions de sélection des fournisseurs.

Prevalent fait passer chaque fournisseur sélectionné aux phases de due diligence de contractualisation et/ou d'onboarding, faisant ainsi progresser automatiquement le fournisseur tout au long du cycle de vie de la tierce partie.

Prevalent dispose d'une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation continue des risques des tiers. Ces modèles sont intégrés à des fonctions natives de surveillance des risques cybernétiques, commerciaux, financiers et de réputation, qui valident en permanence les résultats des évaluations et comblent les lacunes entre les évaluations.

Les recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.

5.19 c) "évaluer et sélectionner les produits ou services du fournisseur qui disposent de contrôles de sécurité de l'information adéquats et les examiner ; en particulier, l'exactitude et l'exhaustivité des contrôles mis en œuvre par le fournisseur qui garantissent l'intégrité des informations et du traitement des informations du fournisseur et, par conséquent, la sécurité de l'information de l'organisation ;"

Le Prevalent Risk Profiling Snapshot vous permet de comparer et de contrôler les données démographiques, les technologies de quatrième partie, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. Avec l'instantané, vous pouvez voir les résultats en ligne avec les réponses aux appels d'offres pour une vue holistique des fournisseurs - leur adéquation à l'objectif et à l'appétit pour le risque de votre organisation.

5.19 g) "contrôler le respect des exigences établies en matière de sécurité de l'information pour chaque type de fournisseur et chaque type d'accès, y compris l'examen par un tiers et la validation du produit ;"

5.19 h) l' atténuation de la non-conformité d'un fournisseur, qu'elle ait été détectée par le biais d'un contrôle ou par d'autres moyens ;

Avec Prevalent, les auditeurs peuvent établir un programme pour atteindre et démontrer efficacement la conformité. La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des douzaines de réglementations gouvernementales et de cadres sectoriels.

Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO et d'autres cadres réglementaires et les valide grâce à une surveillance continue, ce qui vous permet de visualiser rapidement les exigences importantes en matière de conformité et d'y répondre.

5.19 i) " gérer les incidents et les imprévus liés aux produits et services des fournisseurs, y compris les responsabilités de l'organisation et des fournisseurs ;"

Le service Prevalent Third Party Incident Response vous permet d'identifier et d'atténuer rapidement l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en menant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

5.19 j) "la résilience et, si nécessaire, les mesures de récupération et d'urgence pour assurer la disponibilité des informations et du traitement de l'information du fournisseur et, par conséquent, la disponibilité de l'information de l'organisation ;"

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent :

  • Automatisation de la surveillance cybernétique continue permettant de prévoir les éventuels impacts sur les activités de tiers
  • Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur.
  • Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301 qui permet aux organisations de :

  • Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
  • Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités.

5.19 m) "les exigences visant à garantir une cessation sûre de la relation avec le fournisseur, y compris :

1) la suppression des droits d'accès ;
2) le traitement de l'information
3) la détermination de la propriété intellectuelle développée au cours de la mission ;
4) la portabilité des informations en cas de changement de fournisseur ou d'externalisation ;
6) la gestion des dossiers
7) la restitution des actifs
8) l'élimination sécurisée des informations et des autres actifs associés ;
9) les exigences permanentes en matière de confidentialité"

La plateforme Prevalent automatise l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation.

  • Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement.
  • Utilisez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore.
  • Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les accords de service (SOW) et les contrats. Tirez parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte.
  • Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.
  • Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.

5.20 Prise en compte de la sécurité dans les accords avec les fournisseurs

"Les exigences pertinentes en matière de sécurité de l'information doivent être établies et convenues avec chaque fournisseur en fonction du type de relation qu'il entretient avec ce dernier.

5.20 d) "les exigences légales, statutaires, réglementaires et contractuelles, y compris la protection des données, le traitement des informations personnellement identifiables (IPI), les droits de propriété intellectuelle et les droits d'auteur, ainsi qu'une description de la manière dont il sera veillé à ce qu'elles soient respectées ;"

Prevalent centralise la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs, en veillant à ce que les dispositions clés soient incluses dans les contrats avec les fournisseurs et fassent l'objet d'un suivi continu.

Les principales capacités sont les suivantes

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
  • Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
  • Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

5.20 e) "l'obligation de chaque partie contractuelle de mettre en œuvre un ensemble convenu de contrôles, y compris le contrôle d'accès, l'examen des performances, la surveillance, l'établissement de rapports et l'audit, ainsi que les obligations du fournisseur de se conformer aux exigences de l'organisation en matière de sécurité de l'information ;"

La solution Prevalent permet de réaliser des évaluations internes basées sur le contrôle (sur la base du cadre normalisé ISO et/ou de questionnaires personnalisés). La plateforme comprend des fonctionnalités de workflow intégrées qui permettent aux évaluateurs d'interagir efficacement avec les tiers au cours des périodes de collecte et d'examen de la diligence raisonnable. De solides capacités de reporting et d'audit donnent à chaque niveau de gestion les informations dont il a besoin pour examiner correctement les performances du tiers.

Les entreprises peuvent évaluer les tiers en fonction de la cybersécurité, des accords de niveau de service et d'autres aspects, et corréler les résultats avec ceux de la surveillance externe continue pour obtenir une vue d'ensemble des risques.

5.20 h) "les exigences en matière de sécurité de l'information concernant l'infrastructure TIC du fournisseur ; en particulier, les exigences minimales en matière de sécurité de l'information pour chaque type d'information et chaque type d'accès devant servir de base à des accords individuels avec le fournisseur fondés sur les besoins commerciaux et les critères de risque de l'organisation ;"

5.20 i) "indemnités et mesures correctives en cas de non-respect des exigences par le contractant".

Prevalent fournit un cadre pour mesurer de manière centralisée les KPI et KRI des tiers par rapport à vos exigences et réduire les lacunes dans la surveillance des fournisseurs grâce à des perspectives d'apprentissage automatique (ML) intégrées et à des rapports personnalisables basés sur les rôles.

Ces fonctionnalités peuvent aider votre équipe à découvrir les tendances en matière de risques et de performances, à déterminer le statut des risques pour les tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie.

Les recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.

5.20 j) "exigences et procédures en matière de gestion des incidents (en particulier la notification et la collaboration pendant la remédiation de l'incident) ;"

Prevalent permet à votre équipe d'identifier rapidement les incidents de sécurité des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact dans le cadre d'une stratégie plus large de gestion des incidents.

Forte de ces informations, votre équipe peut mieux comprendre l'étendue et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en s'appuyant sur les experts de Prevalent.

5.20 l) "les dispositions pertinentes pour la sous-traitance, y compris les contrôles qui doivent être mis en œuvre, tels que l'accord sur l'utilisation des sous-traitants (par exemple, exiger qu'ils soient soumis aux mêmes obligations que le fournisseur, exiger une liste des sous-traitants et une notification avant tout changement) ;"

Prevalent peut identifier les relations de sous-traitance de quatrième et de Nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques.

Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le dépistage des sanctions/PEP.

Cette approche permet de mieux appréhender les risques potentiels de concentration technologique ou géographique.

Forte de ces informations, votre équipe peut mieux comprendre l'étendue et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en s'appuyant sur les experts de Prevalent.

5.20 o) "les mécanismes de preuve et d'assurance des attestations de tiers pour les exigences pertinentes en matière de sécurité de l'information liées aux processus du fournisseur et un rapport indépendant sur l'efficacité des contrôles ;"

5.20 q) "l'obligation pour le fournisseur de remettre périodiquement un rapport sur l'efficacité des contrôles et l'accord sur la correction en temps utile des problèmes pertinents soulevés dans le rapport ;"

Le service de validation des contrôles prévalents examine les réponses et la documentation de l'évaluation par une tierce partie par rapport aux protocoles de test établis afin de valider que les contrôles indiqués sont en place.

Les experts de Prevalent examinent d'abord les réponses à l'évaluation, qu'elles proviennent de questionnaires personnalisés ou normalisés. Nous mettons ensuite les réponses en correspondance avec les normes ISO et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour développer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Prevalent fournit l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes.

5.20 x) "les clauses de résiliation à la fin de l'accord, y compris la gestion des dossiers, la restitution des actifs, l'élimination en toute sécurité des informations et des autres actifs associés, et toute obligation de confidentialité en cours ;"

5.20 y) la mise à disposition d'une méthode permettant de détruire en toute sécurité les informations de l'organisation stockées par le fournisseur dès qu'elles ne sont plus nécessaires ;"

5.20 z) assurer, à la fin du contrat, le transfert du soutien à un autre fournisseur ou à l'organisation elle-même ;"

5.20 q) "l'obligation pour le fournisseur de remettre périodiquement un rapport sur l'efficacité des contrôles et l'accord sur la correction en temps utile des problèmes pertinents soulevés dans le rapport ;"

Des capacités prévalentes de gestion du cycle de vie des contrats garantissent que les dispositions clés sont incluses dans les contrats avec les fournisseurs et font l'objet d'un suivi continu. L'évaluation automatisée des contrats et les procédures d'abandon, telles que les rapports sur l'accès aux systèmes, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes et les paiements finaux, réduisent le risque d'exposition post-contractuelle de votre organisation.

Les experts de Prevalent examinent d'abord les réponses à l'évaluation, qu'elles proviennent de questionnaires personnalisés ou normalisés. Nous mettons ensuite les réponses en correspondance avec les normes ISO et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour développer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Prevalent fournit l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes.

5.21 Gérer la sécurité de l'information dans la chaîne d'approvisionnement en TIC

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques liés à la sécurité de l'information dans la chaîne d'approvisionnement des produits et services TIC.

5.21 b) "exiger que les fournisseurs de services TIC propagent les exigences de sécurité de l'organisation tout au long de la chaîne d'approvisionnement s'ils sous-traitent des parties du service TIC fourni à l'organisation ;"

5.21 c) "exiger que les fournisseurs de produits TIC propagent des pratiques de sécurité appropriées tout au long de la chaîne d'approvisionnement si ces produits comprennent des composants achetés ou acquis auprès d'autres fournisseurs ou d'autres entités (par exemple, des développeurs de logiciels en sous-traitance et des fournisseurs de composants matériels) ;"

5.21 f) "mettre en œuvre un processus de contrôle et des méthodes acceptables pour valider que les produits et services TIC fournis sont conformes aux exigences de sécurité énoncées. Des exemples de ces méthodes d'examen par le fournisseur peuvent inclure des tests de pénétration et la preuve ou la validation d'attestations de tiers pour les opérations de sécurité de l'information du fournisseur ;"

Prevalent peut identifier les relations de sous-traitance de quatrième et de Nième partie en menant une évaluation basée sur un questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie.

La carte des relations qui en résulte décrit les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques.

Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le dépistage des sanctions/PEP.

Cette approche permet de mieux appréhender les risques potentiels de concentration technologique ou géographique.

5.21 g) "mettre en œuvre un processus permettant d'identifier et de documenter les composants du produit ou du service qui sont essentiels au maintien de la fonctionnalité et qui, par conséquent, nécessitent une attention, un examen et un suivi accrus lorsqu'ils sont construits en dehors de l'organisation, en particulier si le fournisseur sous-traite certains aspects des composants du produit ou du service à d'autres fournisseurs ;"

Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de la criticité ou de l'ampleur des menaces pesant sur leurs actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

5.22 Suivi, révision et gestion des changements des services des fournisseurs

"L'organisme devrait régulièrement surveiller, examiner, évaluer et gérer les changements dans les pratiques de sécurité de l'information des fournisseurs et dans la prestation de services.

5.22 a) "contrôler les niveaux de performance des services pour vérifier le respect des accords ;"

Avec la plateforme Prevalent, les entreprises peuvent personnaliser les enquêtes pour faciliter la collecte et l'analyse des données nécessaires sur les performances et les contrats dans un registre des risques unique. Prevalent identifie les attributs contractuels clés relatifs aux accords de niveau de service (SLA) ou à la performance, remplit ces exigences dans la plateforme et vous assigne des tâches, à vous et à votre tiers, à des fins de suivi.

5.22 b) "surveiller les changements apportés par les fournisseurs, y compris :

1) l'amélioration des services actuellement offerts ;
2) le développement de nouvelles applications et de nouveaux systèmes ;
3) les modifications ou mises à jour des politiques et procédures du fournisseur ;
4) des contrôles nouveaux ou modifiés pour résoudre les incidents de sécurité de l'information et pour améliorer la sécurité de l'information ;"

5.22 c) "surveiller les changements dans les services des fournisseurs, y compris :

1) les modifications et l'amélioration des réseaux
2) l'utilisation de nouvelles technologies
3) l'adoption de nouveaux produits ou de nouvelles versions ;
4) nouveaux outils et environnements de développement
5) les modifications de l'emplacement physique des installations de service ;
6) changement de sous-fournisseurs
7) la sous-traitance à un autre fournisseur ;"

Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

Les sources de surveillance comprennent

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.

Toutes les menaces n'étant pas des cyberattaques directes, Prevalent intègre également des données provenant des sources suivantes afin de contextualiser les conclusions relatives aux cyberattaques :

  • 550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
  • Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc.
  • 30 000 sources d'information mondiales
  • Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
  • Listes de sanctions mondiales et plus de 1 000 listes d'application de la loi au niveau mondial et dépôts auprès des tribunaux

5.22 e) "effectuer des audits des fournisseurs et des sous-fournisseurs, conjointement avec l'examen des rapports des auditeurs indépendants, le cas échéant, et assurer le suivi des problèmes identifiés ;"

Le service de validation des contrôles prévalents examine les réponses et la documentation de l'évaluation par une tierce partie par rapport aux protocoles de test établis afin de valider que les contrôles indiqués sont en place.

Les experts de Prevalent examinent d'abord les réponses à l'évaluation, qu'elles proviennent de questionnaires personnalisés ou normalisés. Nous mettons ensuite les réponses en correspondance avec les normes ISO et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour développer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Prevalent fournit l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes.

5.22 f) "fournir des informations sur les incidents de sécurité de l'information et revoir ces informations comme l'exigent les accords et les lignes directrices et procédures correspondantes ;"

5.22 g) "examiner les pistes d'audit du fournisseur et les dossiers relatifs aux événements liés à la sécurité de l'information, aux problèmes opérationnels, aux défaillances, à la recherche de pannes et aux interruptions liées au service fourni ;"

5.22 h) "réagir à tout événement ou incident identifié en matière de sécurité de l'information et le gérer ;"

Prevalent permet à votre équipe d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents impliquant des fournisseurs tiers en gérant les fournisseurs de manière centralisée, en menant des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la cybersurveillance continue et en accédant à des conseils de remédiation.

Les principales capacités sont les suivantes

  • Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
  • Suivi en temps réel de l'état d'avancement du questionnaire
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs des fournisseurs
  • Des vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

5.22 i) "identifier les vulnérabilités en matière de sécurité de l'information et les gérer ;"

Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille Internet et le dark web pour détecter les cybermenaces et les vulnérabilités, en corrélant les données de surveillance avec les résultats de l'évaluation et en les centralisant dans un registre des risques unifié pour chaque fournisseur, ce qui rationalise l'examen des risques, les rapports et les initiatives de réponse.

Les sources de surveillance comprennent

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour

5.22 j) "examiner les aspects relatifs à la sécurité de l'information dans les relations du fournisseur avec ses propres fournisseurs".

Prevalent peut identifier les relations de sous-traitance de quatrième et de Nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques.

Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le dépistage des sanctions/PEP.

5.22 k) veiller à ce que le fournisseur maintienne une capacité de service suffisante ainsi que des plans réalisables conçus pour garantir que les niveaux de continuité de service convenus sont maintenus à la suite de défaillances de service ou de catastrophes majeures ;"

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301 qui permet aux organisations de :

  • Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
  • Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le dépistage des sanctions/PEP.

5.22 m) "évaluer régulièrement que les fournisseurs maintiennent des niveaux de sécurité de l'information adéquats ;"

Prevalent automatise l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.

Avec une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports.

Avec Prevalent, vous pouvez facilement rassembler et corréler des informations sur un large éventail de contrôles de fournisseurs afin de déterminer les menaces pour la gestion de l'information, sur la base de la criticité du tiers telle que déterminée par l'évaluation du risque inhérent.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

ISO 27036-2 Contrôles

Comment nous aidons

6 Sécurité de l'information dans la gestion des relations avec les fournisseurs

6.1.1.1 Processus d'accord / Processus d'acquisition / Objectif

Établir une stratégie de relations avec les fournisseurs qui :

  • est basé sur la tolérance au risque de sécurité de l'information de l'acquéreur ;
  • définit les fondements de la sécurité de l'information à utiliser lors de la planification, de la préparation, de la gestion et de la clôture de l'acquisition d'un produit ou d'un service.

6.1.2.1 Processus d'accord / Processus d'approvisionnement / Objectif

Établir une stratégie de relations avec les acquéreurs qui :

  • est basé sur la tolérance au risque de sécurité de l'information du fournisseur ;
  • définit le référentiel de sécurité de l'information à utiliser lors de la planification, de la préparation, de la gestion et de la clôture de la fourniture d'un produit ou d'un service.

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risque et de conformité, sur la base des meilleures pratiques éprouvées et d'une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI)
  • Inventaires de tiers
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Méthodes d'évaluation et de suivi basées sur la criticité des tiers
  • Cartographie quadripartite
  • Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Politiques, normes, systèmes et processus régissant la protection des données
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

6.2.1 Processus organisationnels permettant la réalisation du projet / Processus de gestion du modèle de cycle de vie

a) L'acquéreur et le fournisseur établissent le processus de gestion du modèle de cycle de vie lors de la gestion de la sécurité de l'information dans les relations avec les fournisseurs.

Prevalent aide à éliminer les risques de sécurité et de conformité liés à la collaboration avec les vendeurs, les fournisseurs et les autres tiers tout au long du cycle de vie des risques liés aux vendeurs - de l'approvisionnement et de la sélection à l'exclusion et tout ce qu'il y a entre les deux.

6.2.2.1 Processus organisationnels permettant la réalisation des projets / Processus de gestion de l'infrastructure / Objectif

a) Fournir l'infrastructure nécessaire pour aider l'organisation à gérer la sécurité de l'information dans le cadre des relations avec les fournisseurs.

Prevalent fournit une plateforme SaaS centrale qui permet aux acquéreurs et aux fournisseurs de collaborer à la réduction des risques en automatisant les évaluations des risques par rapport à plus de 750 normes industrielles - y compris ISO. Grâce à cette plateforme, les acquéreurs bénéficient d'un flux de travail et d'une remédiation intégrés, ainsi que d'une analyse et d'un reporting automatisés.

6.2.2.2 Processus organisationnels permettant la réalisation du projet / Processus de gestion de l'infrastructure / Activités

b) Définir, mettre en œuvre, maintenir et améliorer les dispositifs d'urgence afin de garantir que l'acquisition ou la fourniture d'un produit ou d'un service puisse se poursuivre en cas d'interruption due à des causes naturelles ou anthropiques.

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent :

  • Automatisation de la surveillance cybernétique continue permettant de prévoir les éventuels impacts sur les activités de tiers
  • Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur.
  • Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301 qui permet aux organisations de :

  • Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
  • Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

6.2.3.2 Processus / activités de gestion du portefeuille de projets

a) Définir, mettre en œuvre, maintenir et améliorer un processus permettant d'identifier et de classer les fournisseurs ou
acquéreurs en fonction de la sensibilité des informations qui leur sont communiquées et du niveau d'accès qui leur est accordé aux actifs de l'acquéreur ou du fournisseur, tels que les informations et les systèmes d'information ;

Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de la criticité ou de l'ampleur des menaces pesant sur leurs actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

6.3.4.1 Processus de projet / Processus de gestion des risques / Objectif

a) Traiter en permanence les risques liés à la sécurité de l'information dans les relations avec les fournisseurs et tout au long de leur cycle de vie, y compris en les réexaminant périodiquement ou lorsque des changements importants surviennent sur le plan commercial, juridique, réglementaire, architectural, politique et contractuel.

Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

Les sources de surveillance comprennent

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.

Toutes les menaces n'étant pas des cyberattaques directes, Prevalent intègre également des données provenant des sources suivantes afin de contextualiser les conclusions relatives aux cyberattaques :

  • 550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
  • Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc.
  • 30 000 sources d'information mondiales
  • Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
  • Listes de sanctions mondiales et plus de 1 000 listes d'application de la loi au niveau mondial et dépôts auprès des tribunaux

6.3.7.1 Processus de projet / Processus de mesure / Objectif

a) Recueillir, analyser et communiquer les mesures de sécurité de l'information liées à l'acquisition ou à la fourniture d'un produit ou d'un service afin de démontrer la maturité de la sécurité de l'information dans une relation avec un fournisseur et de soutenir une gestion efficace des processus.

Prevalent automatise l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.

Avec une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports.

Avec Prevalent, vous pouvez facilement rassembler et corréler des informations sur un large éventail de contrôles de fournisseurs afin de déterminer les menaces pour la gestion de l'information, sur la base de la criticité du tiers telle que déterminée par l'évaluation du risque inhérent.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

7 Sécurité de l'information dans une relation avec un fournisseur

7.2.1 Processus de sélection des fournisseurs / Objectifs

a) Choisir un fournisseur qui offre une sécurité de l'information adéquate pour le produit ou le service qui peut être acheté.

Le Prevalent Risk Profiling Snapshot vous permet de comparer et de contrôler les données démographiques, les technologies de quatrième partie, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. Avec l'instantané, vous pouvez voir les résultats en ligne avec les réponses aux appels d'offres pour une vue holistique des fournisseurs - leur adéquation à l'objectif et à l'appétit pour le risque de votre organisation.

7.3.1 Processus de gestion des relations avec les fournisseurs / Objectif

Établir et approuver un accord sur les relations avec les fournisseurs portant sur les points suivants :
- les rôles et responsabilités de l'acquéreur et du fournisseur en matière de sécurité de l'information ;
- les contrôles de sécurité requis en matière de sécurité de l'information, de sécurité des TIC, de sécurité du personnel et de sécurité physique ;
- un processus de transition lorsque le produit ou le service a été précédemment exploité ou fabriqué par une partie différente du fournisseur ;
- la gestion des changements en matière de sécurité de l'information ;
- la gestion des incidents liés à la sécurité de l'information ;
- le contrôle et l'application de la conformité
- un processus de résiliation.

La plateforme Prevalent automatise les flux de travail nécessaires à l'évaluation, la gestion, la surveillance continue et la correction des risques liés à la sécurité des tiers, à la confidentialité, à la conformité et à la chaîne d'approvisionnement à chaque étape du cycle de vie des fournisseurs. La solution :

  • Automatisation de l'intégration et de la désintoxication des fournisseurs
  • Profils, niveaux, scores de risque inhérent pour tous les fournisseurs
  • Automatisation de la cartographie des tiers et des données démographiques des fournisseurs dans un profil central
  • Fournit la plus grande bibliothèque d'évaluations des risques standardisées et personnalisées avec gestion intégrée des flux de travail, des tâches et des preuves.
  • intègre la surveillance des risques cybernétiques, commerciaux, financiers et de réputation afin de corréler les risques avec les résultats de l'évaluation et de valider les conclusions
  • Inclut des analyses d'apprentissage automatique pour normaliser et corréler les résultats provenant de sources multiples.
  • Fournit des rapports sur la conformité et les risques en fonction du cadre ou de la réglementation
  • Améliore la gestion des mesures correctives grâce à des conseils intégrés
  • Inclut la gestion des contrats et des appels d'offres pour permettre une gestion plus complète des risques avant l'intégration.
  • Automatisation de la réponse aux incidents par des tiers

7.4.1 Processus de gestion des relations avec les fournisseurs / Objectifs

a) Maintenir la sécurité de l'information pendant la période d'exécution de la relation avec le fournisseur conformément à l'accord sur la relation avec le fournisseur et en tenant particulièrement compte des éléments suivants :

4) Contrôler et faire respecter par le fournisseur les dispositions relatives à la sécurité de l'information définies dans l'accord de relation avec le fournisseur.

Grâce à la plateforme Prevalent, les acquéreurs peuvent automatiquement mettre en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les cadres réglementaires - y compris ISO et bien d'autres - afin de visualiser et d'aborder rapidement les exigences de conformité importantes à chaque étape du cycle de vie des fournisseurs.

7.5.1 Processus de rupture des relations avec les fournisseurs / Objectifs

a) Protéger la fourniture du produit ou du service pendant la résiliation afin d'éviter tout impact sur la sécurité de l'information, la législation et la réglementation après la notification de la résiliation ;

b) Mettre fin à la fourniture du produit ou du service conformément au plan de résiliation.

La plateforme Prevalent automatise l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation.

  • Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement.
  • Utilisez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore.
  • Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les accords de service (SOW) et les contrats. Tirez parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte.
  • Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.
  • Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.