NERC Security Guideline for the Vendor Risk Management Lifecycle (Lignes directrices de sécurité du NERC pour le cycle de vie de la gestion des risques des fournisseurs)

Contacter un expert

Retour à tous les cas d'utilisation

Évaluer et atténuer les risques pesant sur les infrastructures critiques

La North American Electric Reliability Corporation (NERC) a publié unedirective de sécurité relative au cycle de vie de la gestion des risques fournisseursafin de faire face aux risques croissants pesant sur les infrastructures critiques.

La ligne directrice fournit des exemples de risques liés aux fournisseurs et des mesures d'atténuation suggérées que les organisations devraient prendre en considération lorsqu'elles élaborent leurs plans globaux de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement, non seulement pour le réseau électrique en vrac (BES), mais aussi pour d'autres domaines d'infrastructures critiques tels que les gazoducs, la production, le transport et la distribution d'électricité, et d'autres domaines.

Exigences pertinentes

  • Considérez le risque comme un élément à prendre en compte dans vos décisions de sélection des fournisseurs.

  • Atténuer les risques identifiés dans les évaluations des risques des fournisseurs

  • Élaborer des procédures pour l'achat, la résiliation et la transition des fournisseurs.

  • Élaborer un processus permettant d'identifier, d'évaluer et d'atténuer en permanence les risques résiduels et nouveaux posés par le fournisseur.

  • Exiger la vérification que le fournisseur respecte les politiques et les mesures d'atténuation.

Répondre aux exigences des lignes directrices de sécurité du NERC

Voici comment Prevalent peut vous aider à mettre en œuvre les meilleures pratiques de gestion des risques des tiers de la NERC :

 

Exigence

Comment nous aidons

Chapitre 1 : Atténuer les risques avant l'approvisionnement

Le chapitre 1 stipule : « Lorsqu'elle décide quels fournisseurs inviter à participer à l'appel d'offres, l'organisation peut tenir compte de facteurs tels que les listes d'entités approuvées, les sources de renseignements et les informations accessibles au public (par exemple, l'historique de gestion des vulnérabilités, l'hygiène du site web). »

Pour respecter cette directive, comparez les informations firmographiques, les technologies tierces, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels dans un tableau unique.La centralisation de ces informationsen fonction des réponses aux appels d'offres vous offre une vue d'ensemble des fournisseurs, tant en termes d'adéquation à vos besoins que de compatibilité avec l'appétit pour le risque de votre organisation.

Voir ci-dessous pour d'autres mesures d'atténuation suggérées dans le chapitre 1.

Recueillez des informations sur les plans d'atténuation des risques mis en place par le fournisseur pour faire face à des risques spécifiques liés à la cybersécurité de la chaîne d'approvisionnement, à l'aide d'une évaluation ciblée ne contenant que des questions pertinentes.

Prevalent vous permet d'utiliser uneévaluationpersonnalisable pour recueillir et corréler les contrôles des fournisseurs afin de déterminer les menaces pesant sur les systèmes et les données, en fonction de l'importance critique du fournisseur.

La plateforme rassemble les données dans un registre des risques unique avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement visualiser les conséquences d'un risque.

Inclure des conditions générales relatives à la cybersécurité dans le contrat avec le fournisseur, ou identifier les livrables spécifiques à évaluer.

Tirez parti d'une solutionde gestion du cycle de vie des contratsqui centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Vous aurez ainsi la garantie que les dispositions contractuelles essentielles, telles que les indicateurs clés de performance (KPI), les indicateurs clés de risque (KRI) et les accords de niveau de service (SLA), sont incluses dans les contrats fournisseurs et appliquées tout au long de la relation.

Fournissez des preuves à l'appui, telles que des certifications ou des rapports d'audit réalisés par des évaluateurs tiers qualifiés.

Demandez au fournisseur de fournir unenomenclature logicielle (SBOM)répertoriant tous les composants de son logiciel et/ou micrologiciel développés par des tiers.

Effectuer une évaluation des risques liés à l'approvisionnement (PRA).

Atténuer tous les risques élevés identifiés dans l'analyse des risques et des effets (PRA).

La plateforme Prevalent centralise les documents, les preuves à l'appui et les certifications des fournisseurs dans un profil fournisseur unique associé à des évaluations des risques fournisseurs complètes et à un registre central des risques.

La plateforme vous permet également de proposer des mesures correctives recommandées aux fournisseurs en fonction des résultats de l'évaluation des risques, afin de vous assurer que ceux-ci traitent les risques de manière satisfaisante et dans les délais impartis. Avec Prevalent, vous pouvez suivre les mesures correctives jusqu'à leur conclusion avec des responsables clairement définis, tant au sein de votre organisation que dans celle de votre fournisseur.

Chapitre 2 : Évaluer les risques

Le chapitre 2 du guide de sécurité stipule que « dès lors qu'une relation avec un fournisseur est établie et que l'organisation commence à se procurer des produits ou des services auprès de ce dernier, l'organisation doit mettre en place un processus permettant d'identifier, d'évaluer et d'atténuer en permanence les risques résiduels et nouveaux posés par le fournisseur ». Pour ce faire, le guide suggère certaines des mesures décrites dans les lignes suivantes.

Concentrez-vous spécifiquement sur la protection de l'accès à distance grâce à l'authentification multifactorielle.

Utilisez un questionnaire qui ne pose que des questions pertinentes.

Prévoyez des questionnaires distincts pour les fournisseurs informatiques et les fournisseurs OT.

Envisagez des certifications telles que ISO 27001 ou SOC2.

Prevalent automatise les évaluations des risques afin d'étendre la visibilité, l'efficacité et la portée de votre programme de gestion des risques fournisseurs à toutes les étapes du cycle de vie des fournisseurs.

La plateforme comprend une bibliothèque contenant des centaines de modèles d'évaluation standardisés, notamment des questionnaires ciblant les domaines informatiques et opérationnels, avec des capacités de personnalisation et un flux de travail et des mesures correctives intégrés pour automatiser toutes les étapes, de la collecte et l'analyse des enquêtes à l'évaluation des risques et la création de rapports.

Si le fournisseur n'est pas en mesure ou ne souhaite pas réaliser une évaluation standardisée, vous pouvez utiliser la plateforme Prevalent pour mapperles certifications ISOou les rapportsSOC 2dans le registre central des risques et gérer les risques liés à ce fournisseur parallèlement aux risques recueillis lors des évaluations d'autres fournisseurs.

Avec Prevalent, vous pouvez valider les résultats des évaluations grâce àdes informations continuessur les cybermenaces. La consolidation de toutes les informations dans un « tableau de bord unique » optimise vos efforts d'analyse des risques.

Chapitre 3 : Atténuer les risques


pendant l'utilisation du produit/service Le chapitre 3 du guide recommande à l'organisation de demander au fournisseur d'atténuer les risques identifiés lors de l'évaluation. L'objectif de l'atténuation des risques doit être de ramener leur valeur à un niveau acceptable afin de réduire la probabilité et/ou l'impact du risque.

La ligne directrice indique que cela peut être réalisé par le biais d'un appel d'offres ou d'une exécution contractuelle, mais les mesures correctives requises constituent également une mesure d'exécution post-contractuelle importante. Vous trouverez ci-dessous une sélection de mesures d'atténuation tirées de la ligne directrice.

Inclure dans l'appel d'offres un libellé identifiant les risques de sécurité et les mesures d'atténuation que le fournisseur doit prendre pour y faire face.

Contrôle 15 Vue d'ensemble "Établir un programme pour développer et maintenir une capacité de réponse aux incidents (par exemple, politiques, plans, procédures, rôles définis, formation et communications) afin de préparer, détecter et répondre rapidement à une attaque".

Prevalent centralise et automatise la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'informations (RFI) dans le cadre des décisionsde sélection des fournisseurs. Cela vous permet de sélectionner vos fournisseurs en fonction de critères essentiels en matière de cybersécurité.

Inclure dans le contrat des dispositions documentant l'engagement du fournisseur à mettre en œuvre des contrôles de sécurité spécifiques, prévoir la possibilité pour l'organisation d'examiner les progrès réalisés par le fournisseur et définir des méthodes de communication future sur ces questions.

Avec Prevalent, vous pouvez centraliser la distribution, la discussion, la conservation et la révision descontrats fournisseurs. Gérer les contrats d'approvisionnement de cette manière vous garantit que les clauses de sécurité et les mesures d'application appropriées sont intégrées au contrat.

Définir des mesures correctives spécifiques.

Proposez des mesures correctives recommandées aux fournisseurs en fonction des résultats de l'évaluation des risques afin de vous assurer que ceux-ci traitent les risques de manière satisfaisante et en temps opportun. Suivez les mesures correctives jusqu'à leur conclusion avec des responsables clairement définis, tant au sein de votre organisation que dans celle de votre fournisseur.

Chapitre 4 : Vérification de l'atténuation des risques

Le chapitre 4 du guide exige de vérifier que le fournisseur respecte les politiques et les mesures d'atténuation. Les actions possibles comprennent celles indiquées dans les lignes suivantes.

Documentez et communiquez au fournisseur l'écart de performance, le service attendu et les conditions contractuelles applicables ou l'engagement documenté.

Prevalent vous permet de personnaliser les enquêtes afin de faciliter la collecte et l'analyse des données nécessaires relatives aux performances et aux contrats dans un registre des risques unique. Vous pouvez également identifier les attributs clés des contrats liés auxaccords de niveau de service (SLA) ou aux performances, saisir ces exigences dans une plateforme centrale et attribuer des tâches à vous-même et à votre fournisseur à des fins de suivi.

Informez le fournisseur que les mesures de performance seront prises en compte dans la notation ou l'évaluation futures des nouveaux achats de produits ou services.

 

La plateforme Prevalent mesure de manière centraliséeles indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurspar rapport à vos exigences en les extrayant automatiquement du contrat fournisseur.

La plateforme propose également des recommandations correctives afin de garantir que les fournisseurs traitent les risques de manière rapide et satisfaisante.

Évaluer la possibilité de mettre fin à la relation avec le fournisseur.

 

Lorsqu'unerésiliation ou une sortieest nécessaire pour des services critiques, Prevelant vous fournit des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion des accès, de la conformité aux lois applicables, des paiements finaux, etc.

Chapitre 5 : Achat, résiliation et transition

Le chapitre 5 du guide passe en revue les procédures requises pour mettre fin à une relation avec un fournisseur, y compris celles qui figurent dans les lignes ci-dessous.

Identifier et atténuer les risques liés à la résiliation ou à la transition (par exemple, la détention d'informations sensibles).

Faites l'inventaire des informations sensibles que le fournisseur détient sur les systèmes et les réseaux de l'organisation et exigez du fournisseur qu'il certifie que toutes les informations ont été supprimées.

Prevalent vous permet de :

  • Automatisez l'évaluation des contrats et les procédures d'abandon pour réduire le risque d'exposition post-contractuelle de votre organisation.
  • Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement.
  • Utilisez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore.
  • Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les accords de service (SOW) et les contrats. Tirez parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte.
  • Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.
  • Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.
Ressources complémentaires

Blog

Comment se préparer à un audit NERC CIP-013-1 pour la sécurité de la chaîne d'approvisionnement ?

Blog

Répondre aux exigences des normes NIST 800-53, NIST 800-161 et NIST CSF en matière de risque pour les tiers

Livre blanc

Le manuel de conformité des tiers : Normes de l'industrie

Guide

Aligner votre programme de TPRM sur les 14 normes de l'industrie

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.