Cadre de cybersécurité (CSF) 2.0 du NIST

GOVERN (GV) : La stratégie, les attentes et la politique de l'organisation en matière de gestion des risques liés à la cybersécurité sont établies, communiquées et contrôlées.

Gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement (GV.SC) : Les processus de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement sont identifiés, établis, gérés, contrôlés et améliorés par les parties prenantes de l'organisation.

Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité.

Recherchezdes expertspour collaborer avec votre équipe sur :

• Définir et mettre en œuvre des processus et des solutions TPRM et C-SCRM
• Sélection des questionnaires et des cadres d'évaluation des risques
• Optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - du sourcing et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétence au risque de votre organisation.

Dans le cadre de ce processus, vous devez définir :

• Rôles et responsabilités clairement définis (par exemple, RACI)
• Inventaires de tiers
• Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
• Indicateurs clés de risque (KRI), indicateurs clés de performance (KPI)et niveaux de service pour la réponse aux incidents

GV.SC-04 :Les fournisseurs sont connus et classés par ordre de priorité en fonction de leur importance.

Centralisez votre inventaire des tiers dans une solution logicielle. Ensuite, quantifiezles risques inhérentsà tous les tiers. Les critères utilisés pour calculer le risque inhérent afin de hiérarchiser les tiers doivent inclure :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
• Niveau de dépendance à l'égard des tiers
• Expérience des processus opérationnels ou en contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

GV.SC-05 :Les exigences relatives à la gestion des risques liés à la cybersécurité dans les chaînes d'approvisionnement sont établies, hiérarchisées et intégrées dans les contrats et autres types d'accords conclus avec les fournisseurs et autres tiers concernés.

Centralisez la distribution, la discussion, la conservation et la révision descontrats fournisseursafin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les fonctionnalités clés doivent inclure :

• Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
• Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
• Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
• Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.

GV.SC-06 :Une planification et une diligence raisonnable sont effectuées afin de réduire les risques avant de conclure des relations formelles avec des fournisseurs ou d'autres tiers.

Centralisez et automatisez la distribution, la comparaison et la gestion desappels d'offres (RFP) et des demandes d'informations (RFI)dans une solution unique qui permet de comparer les attributs clés.

Comme tous les prestataires de services sont centralisés et évalués, les équipes doivent créerdes profils complets des fournisseurscontenant des informations démographiques, les technologies tierces, les scores ESG, des informations récentes sur leurs activités et leur réputation, l'historique des violations de données et leurs performances financières récentes.

Ce niveau de diligence raisonnable crée un contexte plus large pour la prise de décisions concernant la sélection des fournisseurs.

GV.SC-07 :Les risques posés par un fournisseur, ses produits et services, ainsi que par d'autres tiers sont compris, consignés, classés par ordre de priorité, évalués, traités et surveillés tout au long de la relation.

Recherchez des solutions qui proposent une vaste bibliothèque de modèles prédéfinis pourles évaluations des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration, du renouvellement du contrat ou à toute fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants.

Les évaluations doivent être gérées de manière centralisée et s'appuyer sur des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin de garantir à votre équipe une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, suivez et analysez en permanenceles menaces externes pesant sur les tiers. Surveillez Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de surveillance doivent être corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser les initiatives d'examen des risques, de reporting, de remédiation et d'intervention.

Veillez à intégrer des données opérationnelles, financières et de réputation provenant de tiers afin d'étoffer les conclusions relatives à la cybercriminalité et de mesurer l'impact des incidents au fil du temps.

GV.SC-08 :Les fournisseurs concernés et autres tiers sont inclus dans les activités de planification, d'intervention et de rétablissement en cas d'incident.

Dans le cadre de votre stratégie globale de gestion des incidents, veillez à ce que votre programme de réponse aux incidents tiers permette à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact des incidents de sécurité liés aux fournisseurs tiers. Recherchez des services gérés dans le cadre desquels des experts dédiés gèrent vos fournisseurs de manière centralisée, effectuent des évaluations proactives des risques liés aux événements, notent les risques identifiés, corréler les risques avec des informations issues d'une surveillance cybernétique continue et émettent des recommandations de remédiation.Les services géréspeuvent réduire considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité et garantir la mise en place de mesures correctives.

Les principales fonctionnalités d'un service tiers de réponse aux incidents doivent inclure :

• Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
• Suivi en temps réel de l'état d'avancement du questionnaire
• Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
• Rapports proactifs sur les fournisseurs
• Vues consolidées des évaluations des risques, des décomptes, des scores et des réponses signalées pour chaque fournisseur
• Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Modèles de rapports intégrés pour les parties prenantes internes et externes
• Recommandations de remédiation intégrées pour réduire les risques
• Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications en temps réel des fournisseurs en cas de violation de données.

Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts.

GV.SC-09 :Les pratiques de sécurité de la chaîne d'approvisionnement sont intégrées aux programmes de cybersécurité et de gestion des risques d'entreprise, et leur performance est surveillée tout au long du cycle de vie des produits et services technologiques.

Veuillez consulter les documentsGV.SC-01etGV.SC-02.

IDENTIFIER (ID) : Les risques actuels liés à la cybersécurité de l'organisation sont compris.

Gestion des actifs (ID.AM) :Les actifs (par exemple, les données, le matériel informatique, les logiciels, les systèmes, les installations, les services, les personnes) qui permettent à l'organisation d'atteindre ses objectifs commerciaux sont identifiés et gérés en fonction de leur importance relative par rapport aux objectifs organisationnels et à la stratégie de gestion des risques de l'organisation.

ID.AM-03 :Les représentations des communications réseau autorisées par l'organisation et des flux de données réseau internes et externes sont conservées.

Pour répondre à cette sous-catégorie, Prevalent aide à identifier les relations de sous-traitancede quatrième et n-ième partiedans votre écosystème de fournisseurs. La solution comprend une évaluation de vos fournisseurs à l'aide d'un questionnaire et une analyse passive de l'infrastructure publique du fournisseur. La carte des relations qui en résulte illustre les dépendances étendues et les flux d'informations qui pourraient exposer votre organisation à des risques.

ID.AM-04 :Les inventaires des services fournis par les fournisseurs sont tenus à jour.

Prevalent vous permet de créer unrépertoire centralisé des prestataires de servicesen important les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise peuvent renseigner les informations clés sur les fournisseurs à l'aide d'un formulaire d'admission centralisé et personnalisable et des tâches de workflow associées. Cette fonctionnalité est accessible à tous via une invitation par e-mail, sans nécessiter de formation ou d'expertise particulière.

ID.AM-05 :Les actifs sont classés par ordre de priorité en fonction de leur classification, de leur importance, des ressources disponibles et de leur impact sur la mission.

Veuillez consulterGV.SC-04.

ID.AM-08 :Les systèmes, le matériel, les logiciels, les services et les données sont gérés tout au long de leur cycle de vie.

Pour répondre à cette catégorie, Prevalent vous permet de :

• Évaluer et surveiller en permanence les risques potentiels que le prestataire de services introduit dans votre environnement ; et formuler des recommandations pour atténuer l'impact de ces risques.
• Surveiller les niveaux de service,les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI)afin de garantir le respect des accords contractuels.
• Exclure de manière sécurisée les prestataires de services afin de garantir la sécurité des données et des systèmes après la résiliation du contrat.

Évaluation des risques (ID.RA) :L'organisation comprend les risques liés à la cybersécurité pour l'organisation, les actifs et les personnes.

ID.RA-02 :Les renseignements sur les cybermenaces proviennent de forums et de sources de partage d'informations.

ID.RA-03 :Les menaces internes et externes pesant sur l'organisation sont identifiées et consignées.

ID.RA-04 :Les impacts potentiels et les probabilités des menaces exploitant les vulnérabilités sont identifiés et enregistrés.

ID.RA-05 :Les menaces, les vulnérabilités, les probabilités et les impacts sont utilisés pour comprendre les risques inhérents et éclairer la hiérarchisation des réponses aux risques.

ID.RA-06 :Les réponses aux risques sont choisies parmi les options disponibles, classées par ordre de priorité, planifiées, suivies et communiquées.

ID.RA-07 :Les changements et les exceptions sont gérés, évalués en fonction de leur impact sur les risques, enregistrés et suivis.

PrevalentVendor Threat Monitorsurveille et analyse en permanence les menaces externes pesant sur les tiers. Dans ce cadre, Prevalent surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Les sources de surveillance comprennent

• Forums criminels, pages en oignon, forums d'accès spécial sur le dark web, flux de menaces et sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse.

Une fois toutes les données d'évaluation et de surveillance corrélées dans un registre central des risques, la plateforme Prevalent applique une notation et une hiérarchisation des risques selon un modèle de probabilité et d'impact. Ce modèle classe les risques dans une matrice, ce qui vous permet d'identifier facilement les risques ayant le plus grand impact et de hiérarchiser les mesures correctives à prendre à leur égard.

Vous pouvez ensuite désigner des responsables et suivre les risques et les mesures correctives jusqu'à un niveau acceptable pour l'entreprise.

Veuillez également consulterGV.SC-04.

D.RA-09 :L'authenticité et l'intégrité du matériel et des logiciels sont évaluées avant leur acquisition et leur utilisation.

Dans le cadre du processus de diligence raisonnable, vous pouvez utiliser Prevalent pour exiger des fournisseurs qu'ils fournissentdes nomenclatures logicielles (SBOM)mises à jour pour leurs produits logiciels. Cela vous aidera à identifier les vulnérabilités potentielles ou les problèmes de licence susceptibles d'avoir un impact sur la sécurité et la conformité de votre organisation. Les SBOM sont traitées comme n'importe quel autre type de document, et vous pouvez appliquer des profils de documents automatisés pour rechercher les informations clés importantes pour la validation des composants logiciels.

ID.RA-10: Les fournisseurs critiques sont évalués avant leur acquisition.

Veuillez consulterGV.SC-06.

Amélioration (ID.IM) : Des améliorations des processus, procédures et activités de gestion des risques liés à la cybersécurité organisationnelle sont identifiées dans toutes les fonctions du CSF.

ID.IM-02: Des améliorations sont identifiées à partir des tests et exercices de sécurité, y compris ceux réalisés en coordination avec les fournisseurs et les tiers concernés.

ID.IM-04: Les plans d'intervention en cas d'incident et autres plans de cybersécurité qui ont une incidence sur les opérations sont établis, communiqués, maintenus et améliorés.

Veuillez consulterGV.SC-08.

DETECT (DE) : les éventuelles attaques et compromissions en matière de cybersécurité sont détectées et analysées.

Surveillance continue (DE.CM) :les actifs sont surveillés afin de détecter les anomalies, les indicateurs de compromission et autres événements potentiellement indésirables.

DE.CM-06 : Les activités et les services des prestataires externes sont surveillés afin de détecter tout événement potentiellement indésirable.

Veuillez consulterID.RA.

RÉPONDRE (RS) : Des mesures sont prises concernant un incident de cybersécurité détecté.

Gestion des incidents (RS.MA) :les réponses aux incidents de cybersécurité détectés sont gérées.

RS.MA-01 :Le plan d'intervention en cas d'incident est mis en œuvre en coordination avec les tiers concernés dès qu'un incident est déclaré.

Veuillez consulterGV.SC-08.

Rapports et communication relatifs aux incidents (RS.CO) :les activités de réponsesont coordonnées avec les parties prenantes internes et externes, conformément aux lois, réglementations ou politiques en vigueur.

RS.CO-02 :Les parties prenantes internes et externes sont informées des incidents.

RS.CO-03 :Les informations sont partagées avec les parties prenantes internes et externes désignées.

Veuillez consulterGV.SC-08.

RECOVER (RC) : Les actifs et les opérations affectés par un incident de cybersécurité sont restaurés.

Communication relative à la reprise après incident (RC.CO) :les activités de restauration sont coordonnées avec les parties internes et externes.

RC.CO-03 :Les activités de reprise et les progrès réalisés dans le rétablissement des capacités opérationnelles sont communiqués aux parties prenantes internes et externes désignées.

Veuillez consulterGV.SC-08.