Gestion des risques liés au NIST et aux tiers
LeNational Institute of Standards and Technology (NIST)est une agence fédérale relevant du département américain du Commerce. Le NIST est notamment chargé d'établir des normes et des directives en matière d'informatique et de technologies de l'information à l'intention des agences fédérales. Étant donné que le NIST publie et gère des ressources essentielles pour la gestion des risques liés à la cybersécurité applicables à toute entreprise, de nombreuses organisations du secteur privé considèrent la conformité à ces normes et directives comme une priorité absolue.
Plusieurs publications spéciales du NIST prévoient des contrôles spécifiques qui obligent les organisations à mettre en place et à appliquer des processus permettant d'identifier, d'évaluer et de gérer les risques liés à la chaîne d'approvisionnement. Ces publications spéciales du NIST comprennent :
- SP 800-53 Rev. 5: Contrôles de sécurité et de confidentialité pour les systèmes d'information et les organisations
- SP 800-161 Rev. 1: Pratiques de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité pour les systèmes et les organisations
- Cadre de cybersécurité v2.0
Les directives du NIST se complétant mutuellement, les organisations qui adoptent une norme spécifique et la transposent aux autres peuvent ainsi répondre à plusieurs exigences à l'aide d'un cadre unique. Laplateforme de gestion des risques tiers Prevalentpeut être utilisée pour répondre aux exigences du NIST en matière de renforcement de la sécurité de la chaîne d'approvisionnement.
Exigences pertinentes
-
Évaluer si les contrôles de sécurité sont mis en œuvre correctement, s'ils fonctionnent comme prévu et s'ils répondent aux exigences.
-
Surveiller en permanence les contrôles de sécurité afin de déterminer leur efficacité.
-
Déterminer les exigences en matière de cybersécurité pour les fournisseurs
-
Adopter des exigences en matière de cybersécurité par le biais d'accords formels (par exemple, des contrats)
-
Communiquer aux fournisseurs la manière dont les exigences en matière de cybersécurité seront vérifiées et validées.
-
Vérifier que les exigences en matière de cybersécurité sont respectées grâce à des méthodes d'évaluation
Correspondance entre les contrôles TPRM des normes NIST SP 800-53r5 et SP 800-161r1
Les tableaux récapitulatifs ci-dessous présentent les fonctionnalités disponibles dans la plateforme de gestion des risques liés aux tiers Prevalent afin de sélectionner les contrôles applicables aux tiers, aux fournisseurs ou aux prestataires présents dans la norme SP 800-53, avec un recoupement avec la norme SP 800-161.
| Numéro de contrôle SP 800-53 r5 avec correspondance croisée SP 800-161r1 | Comment nous aidons |
|---|---|
|
SP 800 53 Contrôle avec superposition SP 800-161
|
La plateforme Prevalent Third-Party Risk Managementcomprend plus de 100 modèles d'enquête d'évaluation des risques standardisés, notamment pour le NIST, l'ISO et bien d'autres, un assistant de création d'enquêtes personnalisées et un questionnaire qui mappe automatiquement les réponses à toute réglementation ou cadre de conformité. Toutes les évaluations sont basées sur les normes industrielles et abordent tous les sujets liés à la sécurité de l'information dans la mesure où ils concernent les contrôles de sécurité des partenaires de la chaîne d'approvisionnement. Prevalent Vendor Threat Monitor (VTM)suit et analyse en permanence les menaces observables de l'extérieur qui pèsent sur les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité rapportées par les fournisseurs à partir de la plateforme Prevalent en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités. Il met également en corrélation les résultats des évaluations avec les recherches sur les risques opérationnels, financiers, juridiques et liés à la marque dans un registre des risques unifié qui permet un triage et une réponse centralisés aux risques. Grâce à la plateforme Prevalent, vous pouvez communiquer efficacement avec les fournisseurs et coordonner les mesures correctives. Enregistrez et vérifiez les conversations, consignez les dates d'achèvement estimées, acceptez ou refusez les soumissions réponse par réponse, attribuez des tâches en fonction des risques, des documents ou des entités, et associez la documentation et les preuves aux risques. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Prevalent VTM révèle les cyberincidents impliquant des tiers pour 550 000 entreprises activement suivies en surveillant plus de 1 500 forums criminels, des milliers de pages onion, plus de 80 forums à accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de partage de données pour les identifiants divulgués, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilités. Prevalent normalise, corrèle et analyse les informations provenant de multiples sources, notamment les évaluations de risques internes et externes effectuées par Prevalent Vendor Threat Monitor et BitSight. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la correction. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Le service de réponse aux incidents tiers prévalentvous permet d'identifier rapidement et d'atténuer l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en évaluant de manière proactive les événements, en notant les risques identifiés et en accédant à des conseils de remédiation. La plateforme Prevalent comprend des fonctionnalités unifiées permettant d'évaluer, d'analyser et de traiter les faiblesses des plans de résilience commerciale des fournisseurs. Cela vous permet de travailler de manière proactive avec votre communauté de fournisseurs afin de vous préparer à faire face à des pandémies, des catastrophes environnementales et d'autres crises potentielles. En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent assure la cybersécurité, la surveillance commerciale, réputationnelle et financière, en évaluant en permanence les tiers afin d'identifier les faiblesses potentielles qui pourraient être exploitées par des cybercriminels. Toutes les informations relatives aux risques sont centralisées, corrélées et analysées dans un registre unique qui automatise la création de rapports et les réponses, et qui propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Le service de réponse aux incidents tiers prévalentvous permet d'identifier rapidement et d'atténuer l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en évaluant de manière proactive les événements, en notant les risques identifiés et en accédant à des conseils de remédiation. La plateforme Prevalent comprend des fonctionnalités unifiées permettant d'évaluer, d'analyser et de traiter les faiblesses des plans de résilience commerciale des fournisseurs. Cela vous permet de travailler de manière proactive avec votre communauté de fournisseurs afin de vous préparer à faire face à des pandémies, des catastrophes environnementales et d'autres crises potentielles. En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent assure la cybersécurité, la surveillance commerciale, réputationnelle et financière, en évaluant en permanence les tiers afin d'identifier les faiblesses potentielles qui pourraient être exploitées par des cybercriminels. Toutes les informations relatives aux risques sont centralisées, corrélées et analysées dans un registre unique qui automatise la création de rapports et les réponses, et qui propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Prevalent Contract Essentials est une solution SaaS qui centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Elle comprend également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la résiliation. Grâce à Contract Essentials, vos équipes achats et juridiques disposent d'une solution unique pour s'assurer que les clauses contractuelles clés sont en place et que les niveaux de service et les délais de réponse sont gérés. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Le service de réponse aux incidents impliquant des tiers vous permet d'identifier rapidement et d'atténuer l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés et en accédant à des conseils de remédiation. Le service de réponse aux incidents vous fournit les bases nécessaires pour être bien préparé aux questions du conseil d'administration et de la direction concernant l'impact des incidents liés à la chaîne d'approvisionnement, et pour démontrer votre plan de réponse aux violations impliquant des tiers aux auditeurs et aux régulateurs. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Prevalent VTM révèle les cyberincidents impliquant des tiers pour 550 000 entreprises activement suivies en surveillant plus de 1 500 forums criminels, des milliers de pages onion, plus de 80 forums à accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de partage de données pour les identifiants divulgués, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilités. Prevalent normalise, corrèle et analyse les informations provenant de multiples sources, notamment les évaluations de risques internes et externes effectuées par Prevalent Vendor Threat Monitor et BitSight. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la correction. Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Prevalent VTM révèle les cyberincidents impliquant des tiers pour 550 000 entreprises activement suivies en surveillant plus de 1 500 forums criminels, des milliers de pages onion, plus de 80 forums à accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de partage de données pour les identifiants divulgués, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilités. Prevalent normalise, corrèle et analyse les informations provenant de multiples sources, notamment les évaluations de risques internes et externes effectuées par Prevalent Vendor Threat Monitor et BitSight. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la correction. Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
La plateforme Prevalent comprend plus de 100 modèles d'enquêtes d'évaluation des risques standardisés, notamment pour le NIST, l'ISO et bien d'autres, un assistant de création d'enquêtes personnalisées et un questionnaire qui met en correspondance les réponses avec toute réglementation ou tout cadre de conformité. Toutes les évaluations sont basées sur les normes industrielles et abordent tous les sujets liés à la sécurité de l'information dans la mesure où ils concernent les contrôles de sécurité des partenaires de la chaîne d'approvisionnement. Avec la plateforme Prevalent, vous pouvez générer automatiquement un registre des risques une fois l'enquête terminée, ce qui vous permet de consulter l'ensemble du profil de risque (ou une version spécifique à un rôle) dans un tableau de bord centralisé et en temps réel. Les rapports peuvent être téléchargés et exportés afin de déterminer le statut de conformité. Cela permet d'éliminer les informations superflues et de se concentrer sur les domaines potentiellement préoccupants, offrant ainsi une visibilité et des tendances permettant de mesurer l'efficacité du programme. Vous pouvez ensuite prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils de remédiation intégrés. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
La plateforme Prevalent comprend plus de 100 modèles d'enquêtes d'évaluation des risques standardisés, notamment pour le NIST, l'ISO et bien d'autres, un assistant de création d'enquêtes personnalisées et un questionnaire qui met en correspondance les réponses avec toute réglementation ou tout cadre de conformité. Toutes les évaluations sont basées sur les normes industrielles et abordent tous les sujets liés à la sécurité de l'information dans la mesure où ils concernent les contrôles de sécurité des partenaires de la chaîne d'approvisionnement. Prevalent offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme automatisée pour gérer le processus d'évaluation des risques des fournisseurs et déterminer leur conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données. En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent assure également la cybersécurité, la surveillance commerciale, réputationnelle et financière, en évaluant en permanence les tiers afin d'identifier les faiblesses potentielles qui pourraient être exploitées par des cybercriminels. Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
La plateforme Prevalent intègre des conseils pour remédier aux défaillances des contrôles ou à d'autres risques identifiés afin de les ramener à un niveau acceptable pour votre organisation. Prevalent permet également aux évaluateurs de risques de communiquer avec des tiers au sujet des mesures correctives, de documenter les conversations et les mises à jour, et de stocker les documents justificatifs relatifs aux contrôles dans un référentiel centralisé. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Prevalent propose un questionnaire d'évaluation des risques inhérents avec un système de notation clair basé sur huit critères permettant de recenser, suivre et quantifier les risques pour tous les tiers. Les critères d'évaluation sont les suivants :
L'évaluation du risque inhérent permet de classer automatiquement les fournisseurs, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer l'étendue des évaluations ultérieures et périodiques. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent assure également la cybersécurité, la surveillance commerciale, réputationnelle et financière, en évaluant en permanence les tiers afin d'identifier les faiblesses potentielles qui pourraient être exploitées par des cybercriminels. Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Prevalent VTM suit et analyse en permanence les menaces observables de l'extérieur qui pèsent sur les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité communiquées par les fournisseurs à partir de la plateforme Prevalent en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, puis en corrélant les résultats de l'évaluation avec les recherches sur les risques opérationnels, financiers, juridiques et liés à la marque dans un registre des risques unifié qui permet un triage et une réponse centralisés. Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact. |
|
SP 800 53 Contrôle avec superposition SP 800-161
|
Prevalent VTM suit et analyse en permanence les menaces observables de l'extérieur qui pèsent sur les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité communiquées par les fournisseurs à partir de la plateforme Prevalent en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, puis en corrélant les résultats de l'évaluation avec les recherches sur les risques opérationnels, financiers, juridiques et liés à la marque dans un registre des risques unifié qui permet un triage et une réponse centralisés. Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact. |
SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR)
Le tableau ci-dessous comprend un extrait du contrôle SP 800-53 r5 Supply Chain Risk Management et la manière dont la plate-forme Prevalent répond aux exigences. Pour une cartographie complète, veuillez télécharger le guide complet du NIST.
| SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR) | Comment nous aidons |
|---|---|
| SR-1 Politique et procédures | Les services de conception de programme de Prevalent définissent et documentent votre programme de gestion des risques des tiers. Vous obtenez un plan clair qui tient compte de vos besoins spécifiques tout en incorporant les meilleures pratiques de gestion des risques des tiers de bout en bout. |
| SR-2 Plan de gestion des risques de la chaîne d'approvisionnement | Les services d'optimisation des programmes Prevalent vous aident à améliorer continuellement le déploiement de votre plateforme Prevalent, en veillant à ce que votre programme TPRM conserve la flexibilité et l'agilité dont il a besoin pour répondre à l'évolution des exigences commerciales et réglementaires. |
| SR-3 Contrôles et processus de la chaîne d'approvisionnement | Les services de conception de programme de Prevalent définissent et documentent votre programme de gestion des risques des tiers. Vous obtenez un plan clair qui tient compte de vos besoins spécifiques tout en incorporant les meilleures pratiques de gestion des risques des tiers de bout en bout. |
| SR-5 Stratégies, outils et méthodes d'acquisition |
Prevalent aide les équipes chargées des achats à réduire les coûts, la complexité et l'exposition aux risques lors de la sélection des fournisseurs. Notre solution RFx Essentials permet de centraliser la distribution, la comparaison et la gestion des appels d'offres et des demandes de renseignements. Elle vous aide également à anticiper les risques potentiels liés aux fournisseurs grâce à des scores démographiques, de 4ème partie et ESG, ainsi qu'à des informations optionnelles sur les risques commerciaux, financiers et de réputation. Ainsi, vous êtes en mesure de faire un premier pas important vers la gestion des risques dans le cycle de vie des tiers. Une fois la sélection des fournisseurs terminée, Prevalent Contract Essentials centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il inclut également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Avec Contract Essentials, les équipes chargées des achats et du service juridique disposent d'une solution unique pour gérer les contrats fournisseurs, simplifier la gestion et la révision, et réduire les coûts et les risques. |
| SR-6 Évaluations et examens des fournisseurs |
La plateforme Prevalent comprend plus de 600 modèles d'enquête d'évaluation des risques standardisés - y compris pour NIST, ISO et bien d'autres - un assistant de création d'enquête personnalisée, et un questionnaire qui permet de faire correspondre les réponses à n'importe quelle réglementation ou cadre de conformité. Toutes les évaluations sont basées sur des normes industrielles et traitent de tous les sujets relatifs à la sécurité de l'information en ce qui concerne les contrôles de sécurité des partenaires de la chaîne d'approvisionnement et de la résilience de l'entreprise. Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité déclarées par les fournisseurs sur la plateforme Prevalent en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités - et en corrélant les résultats de l'évaluation avec la recherche sur les risques opérationnels, financiers, juridiques et de marque dans un registre de risques unifié qui permet un triage et une réponse centralisés des risques. |
| Accords de notification SR-8 | Avec la plateforme Prevalent, vous pouvez collaborer sur des documents, des accords et des certifications, tels que des NDA, des SLA, des SOW et des contrats, avec un contrôle de version intégré, une affectation des tâches et des cadences de révision automatique. Vous pouvez également gérer tous les documents tout au long du cycle de vie du fournisseur dans des profils de fournisseurs centralisés. |
| SR-13 Inventaire des fournisseurs |
Prevalent propose un questionnaire d'évaluation des risques inhérents avec une notation claire basée sur huit critères pour saisir, suivre et quantifier les risques pour tous les tiers. Les critères d'évaluation sont les suivants
L'évaluation du risque inhérent permet de classer automatiquement les fournisseurs, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer l'étendue des évaluations ultérieures et périodiques. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation. |
