Conformité aux normes NIST SP 800-53r5, NIST SP 800-161r1 et NIST CSF v2.0

Contacter un expert

Retour à tous les cas d'utilisation

Gestion des risques liés au NIST et aux tiers

LeNational Institute of Standards and Technology (NIST)est une agence fédérale relevant du département américain du Commerce. Le NIST est notamment chargé d'établir des normes et des directives en matière d'informatique et de technologies de l'information à l'intention des agences fédérales. Étant donné que le NIST publie et gère des ressources essentielles pour la gestion des risques liés à la cybersécurité applicables à toute entreprise, de nombreuses organisations du secteur privé considèrent la conformité à ces normes et directives comme une priorité absolue.

Plusieurs publications spéciales du NIST prévoient des contrôles spécifiques qui obligent les organisations à mettre en place et à appliquer des processus permettant d'identifier, d'évaluer et de gérer les risques liés à la chaîne d'approvisionnement. Ces publications spéciales du NIST comprennent :

Les directives du NIST se complétant mutuellement, les organisations qui adoptent une norme spécifique et la transposent aux autres peuvent ainsi répondre à plusieurs exigences à l'aide d'un cadre unique. Laplateforme de gestion des risques tiers Prevalentpeut être utilisée pour répondre aux exigences du NIST en matière de renforcement de la sécurité de la chaîne d'approvisionnement.

Exigences pertinentes

  • Évaluer si les contrôles de sécurité sont mis en œuvre correctement, s'ils fonctionnent comme prévu et s'ils répondent aux exigences.
  • Déterminer les exigences en matière de cybersécurité pour les fournisseurs
  • Communiquer aux fournisseurs la manière dont les exigences en matière de cybersécurité seront vérifiées et validées.
  • Surveiller en permanence les contrôles de sécurité afin de déterminer leur efficacité.
  • Adopter des exigences en matière de cybersécurité par le biais d'accords formels (par exemple, des contrats)
  • Vérifier que les exigences en matière de cybersécurité sont respectées grâce à des méthodes d'évaluation

Correspondance entre les contrôles TPRM des normes NIST SP 800-53r5 et SP 800-161r1

Les tableaux récapitulatifs ci-dessous présentent les fonctionnalités disponibles dans la plateforme de gestion des risques liés aux tiers Prevalent afin de sélectionner les contrôles applicables aux tiers, aux fournisseurs ou aux prestataires présents dans la norme SP 800-53, avec un recoupement avec la norme SP 800-161.

Numéro de contrôle SP 800-53 r5 avec correspondance croisée SP 800-161r1

Comment nous aidons

SP 800 53 Contrôle avec superposition SP 800-161

  • CA-2 (1) Évaluations de contrôle | Évaluations spécialisées
  • CA-2 (3) Évaluations des contrôles - Exploitation des résultats d'organisations externes

La plateforme Prevalent Third-Party Risk Managementcomprend plus de 100 modèles d'enquête d'évaluation des risques standardisés, notamment pour le NIST, l'ISO et bien d'autres, un assistant de création d'enquêtes personnalisées et un questionnaire qui mappe automatiquement les réponses à toute réglementation ou cadre de conformité. Toutes les évaluations sont basées sur les normes industrielles et abordent tous les sujets liés à la sécurité de l'information dans la mesure où ils concernent les contrôles de sécurité des partenaires de la chaîne d'approvisionnement.

Prevalent Vendor Threat Monitor (VTM)suit et analyse en permanence les menaces observables de l'extérieur qui pèsent sur les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité rapportées par les fournisseurs à partir de la plateforme Prevalent en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités. Il met également en corrélation les résultats des évaluations avec les recherches sur les risques opérationnels, financiers, juridiques et liés à la marque dans un registre des risques unifié qui permet un triage et une réponse centralisés aux risques.

Grâce à la plateforme Prevalent, vous pouvez communiquer efficacement avec les fournisseurs et coordonner les mesures correctives. Enregistrez et vérifiez les conversations, consignez les dates d'achèvement estimées, acceptez ou refusez les soumissions réponse par réponse, attribuez des tâches en fonction des risques, des documents ou des entités, et associez la documentation et les preuves aux risques.

SP 800 53 Contrôle avec superposition SP 800-161

  • CA-7 (3) Surveillance continue | Analyses des tendances

Prevalent VTM révèle les cyberincidents impliquant des tiers pour 550 000 entreprises activement suivies en surveillant plus de 1 500 forums criminels, des milliers de pages onion, plus de 80 forums à accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de partage de données pour les identifiants divulgués, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilités.

Prevalent normalise, corrèle et analyse les informations provenant de multiples sources, notamment les évaluations de risques internes et externes effectuées par Prevalent Vendor Threat Monitor et BitSight. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la correction.

SP 800 53 Contrôle avec superposition SP 800-161

  • CP-2 (3) Plan d'urgence | Coordination avec les prestataires de services externes

Le service de réponse aux incidents tiers prévalentvous permet d'identifier rapidement et d'atténuer l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en évaluant de manière proactive les événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

La plateforme Prevalent comprend des fonctionnalités unifiées permettant d'évaluer, d'analyser et de traiter les faiblesses des plans de résilience commerciale des fournisseurs. Cela vous permet de travailler de manière proactive avec votre communauté de fournisseurs afin de vous préparer à faire face à des pandémies, des catastrophes environnementales et d'autres crises potentielles.

En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent assure la cybersécurité, la surveillance commerciale, réputationnelle et financière, en évaluant en permanence les tiers afin d'identifier les faiblesses potentielles qui pourraient être exploitées par des cybercriminels.

Toutes les informations relatives aux risques sont centralisées, corrélées et analysées dans un registre unique qui automatise la création de rapports et les réponses, et qui propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact.

SP 800 53 Contrôle avec superposition SP 800-161

  • IR-4 (3) Gestion des incidents | Coordination de la chaîne d'approvisionnement

Le service de réponse aux incidents tiers prévalentvous permet d'identifier rapidement et d'atténuer l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en évaluant de manière proactive les événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

La plateforme Prevalent comprend des fonctionnalités unifiées permettant d'évaluer, d'analyser et de traiter les faiblesses des plans de résilience commerciale des fournisseurs. Cela vous permet de travailler de manière proactive avec votre communauté de fournisseurs afin de vous préparer à faire face à des pandémies, des catastrophes environnementales et d'autres crises potentielles.

En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent assure la cybersécurité, la surveillance commerciale, réputationnelle et financière, en évaluant en permanence les tiers afin d'identifier les faiblesses potentielles qui pourraient être exploitées par des cybercriminels.

Toutes les informations relatives aux risques sont centralisées, corrélées et analysées dans un registre unique qui automatise la création de rapports et les réponses, et qui propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact.

SP 800 53 Contrôle avec superposition SP 800-161

  • IR-5 Suivi des incidents

Prevalent Contract Essentials est une solution SaaS qui centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Elle comprend également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la résiliation. Grâce à Contract Essentials, vos équipes achats et juridiques disposent d'une solution unique pour s'assurer que les clauses contractuelles clés sont en place et que les niveaux de service et les délais de réponse sont gérés.

SP 800 53 Contrôle avec superposition SP 800-161

  • IR-6 (1) Signalement des incidents | Coordination de la chaîne d'approvisionnement

Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact.

SP 800 53 Contrôle avec superposition SP 800-161

  • Plan d'intervention en cas d'incident IR-8

Le service de réponse aux incidents impliquant des tiers vous permet d'identifier rapidement et d'atténuer l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés et en accédant à des conseils de remédiation. Le service de réponse aux incidents vous fournit les bases nécessaires pour être bien préparé aux questions du conseil d'administration et de la direction concernant l'impact des incidents liés à la chaîne d'approvisionnement, et pour démontrer votre plan de réponse aux violations impliquant des tiers aux auditeurs et aux régulateurs.

SP 800 53 Contrôle avec superposition SP 800-161

  • Programme de sensibilisation aux menaces PM-16

Prevalent VTM révèle les cyberincidents impliquant des tiers pour 550 000 entreprises activement suivies en surveillant plus de 1 500 forums criminels, des milliers de pages onion, plus de 80 forums à accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de partage de données pour les identifiants divulgués, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilités.

Prevalent normalise, corrèle et analyse les informations provenant de multiples sources, notamment les évaluations de risques internes et externes effectuées par Prevalent Vendor Threat Monitor et BitSight. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la correction.

Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact.

SP 800 53 Contrôle avec superposition SP 800-161

  • PM-31 Stratégie de surveillance continue

Prevalent VTM révèle les cyberincidents impliquant des tiers pour 550 000 entreprises activement suivies en surveillant plus de 1 500 forums criminels, des milliers de pages onion, plus de 80 forums à accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de partage de données pour les identifiants divulgués, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilités.

Prevalent normalise, corrèle et analyse les informations provenant de multiples sources, notamment les évaluations de risques internes et externes effectuées par Prevalent Vendor Threat Monitor et BitSight. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la correction.

Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact.

SP 800 53 Contrôle avec superposition SP 800-161

  • RA-1 Politique et procédures

La plateforme Prevalent comprend plus de 100 modèles d'enquêtes d'évaluation des risques standardisés, notamment pour le NIST, l'ISO et bien d'autres, un assistant de création d'enquêtes personnalisées et un questionnaire qui met en correspondance les réponses avec toute réglementation ou tout cadre de conformité. Toutes les évaluations sont basées sur les normes industrielles et abordent tous les sujets liés à la sécurité de l'information dans la mesure où ils concernent les contrôles de sécurité des partenaires de la chaîne d'approvisionnement.

Avec la plateforme Prevalent, vous pouvez générer automatiquement un registre des risques une fois l'enquête terminée, ce qui vous permet de consulter l'ensemble du profil de risque (ou une version spécifique à un rôle) dans un tableau de bord centralisé et en temps réel. Les rapports peuvent être téléchargés et exportés afin de déterminer le statut de conformité. Cela permet d'éliminer les informations superflues et de se concentrer sur les domaines potentiellement préoccupants, offrant ainsi une visibilité et des tendances permettant de mesurer l'efficacité du programme. Vous pouvez ensuite prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils de remédiation intégrés.

SP 800 53 Contrôle avec superposition SP 800-161

  • RA-3 Évaluation des risques

Voir PM-9 Stratégie de gestion des risques

SR-2 Plan de gestion des risques de la chaîne d'approvisionnement

a. Élaborer un plan de gestion des risques de la chaîne d'approvisionnement associés à la recherche et au développement, à la conception, à la fabrication, à l'acquisition, à la livraison, à l'intégration, à l'exploitation et à la maintenance, ainsi qu'à l'élimination des systèmes, des composants de systèmes ou des services de systèmes.

b. réviser et mettre à jour le plan de gestion des risques de la chaîne d'approvisionnement, le cas échéant, pour tenir compte des changements liés aux menaces, à l'organisation ou à l'environnement ; et

c. Protéger le plan de gestion des risques de la chaîne d'approvisionnement contre toute divulgation ou modification non autorisée.

La plateforme Prevalent comprend plus de 100 modèles d'enquêtes d'évaluation des risques standardisés, notamment pour le NIST, l'ISO et bien d'autres, un assistant de création d'enquêtes personnalisées et un questionnaire qui met en correspondance les réponses avec toute réglementation ou tout cadre de conformité. Toutes les évaluations sont basées sur les normes industrielles et abordent tous les sujets liés à la sécurité de l'information dans la mesure où ils concernent les contrôles de sécurité des partenaires de la chaîne d'approvisionnement. Prevalent offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme automatisée pour gérer le processus d'évaluation des risques des fournisseurs et déterminer leur conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données.

En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent assure également la cybersécurité, la surveillance commerciale, réputationnelle et financière, en évaluant en permanence les tiers afin d'identifier les faiblesses potentielles qui pourraient être exploitées par des cybercriminels.

Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact.

SP 800 53 Contrôle avec superposition SP 800-161

  • RA-7 Réponse aux risques

Voir PM-9 Stratégie de gestion des risques

SR-4 (4) Provenance - intégrité de la chaîne d'approvisionnement - pedigree

Utiliser des contrôles et des analyses pour garantir l'intégrité du système et de ses composants en validant la composition interne et la provenance des technologies, produits et services critiques ou essentiels à la mission.

La plateforme Prevalent intègre des conseils pour remédier aux défaillances des contrôles ou à d'autres risques identifiés afin de les ramener à un niveau acceptable pour votre organisation. Prevalent permet également aux évaluateurs de risques de communiquer avec des tiers au sujet des mesures correctives, de documenter les conversations et les mises à jour, et de stocker les documents justificatifs relatifs aux contrôles dans un référentiel centralisé.

SR-5 Stratégies, outils et méthodes d'acquisition

Utiliser des stratégies d'acquisition, des outils contractuels et des méthodes de passation de marchés pour se protéger contre les risques liés à la chaîne d'approvisionnement, les identifier et les atténuer.

Prevalent propose un questionnaire d'évaluation des risques inhérents avec un système de notation clair basé sur huit critères permettant de recenser, suivre et quantifier les risques pour tous les tiers. Les critères d'évaluation sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Exposition aux processus opérationnels ou en contact avec la clientèle
    *Interaction avec des données protégées
  • Situation financière et santé
  • Réputation

L'évaluation du risque inhérent permet de classer automatiquement les fournisseurs, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer l'étendue des évaluations ultérieures et périodiques.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

SP 800 53 Contrôle avec superposition SP 800-161

  • SA-4 (3) Processus d'acquisition | Plan de surveillance continue des contrôles

En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme Prevalent assure également la cybersécurité, la surveillance commerciale, réputationnelle et financière, en évaluant en permanence les tiers afin d'identifier les faiblesses potentielles qui pourraient être exploitées par des cybercriminels.

Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact.

SP 800 53 Contrôle avec superposition SP 800-161

  • SI-4 (1) Surveillance du système | Connaissance intégrée de la situation

Prevalent VTM suit et analyse en permanence les menaces observables de l'extérieur qui pèsent sur les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité communiquées par les fournisseurs à partir de la plateforme Prevalent en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, puis en corrélant les résultats de l'évaluation avec les recherches sur les risques opérationnels, financiers, juridiques et liés à la marque dans un registre des risques unifié qui permet un triage et une réponse centralisés.

Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact.

SP 800 53 Contrôle avec superposition SP 800-161

  • Alertes, avis et directives de sécurité SI-5

Prevalent VTM suit et analyse en permanence les menaces observables de l'extérieur qui pèsent sur les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité communiquées par les fournisseurs à partir de la plateforme Prevalent en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, puis en corrélant les résultats de l'évaluation avec les recherches sur les risques opérationnels, financiers, juridiques et liés à la marque dans un registre des risques unifié qui permet un triage et une réponse centralisés.

Toutes les informations relatives aux risques dans la plateforme Prevalent sont centralisées, corrélées et analysées dans un registre des risques unique qui automatise la création de rapports et les réponses, et propose un modèle de notation pondérée flexible basé sur la probabilité d'un événement et son impact.

SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR)

Le tableau ci-dessous comprend un extrait du contrôle SP 800-53 r5 Supply Chain Risk Management et la manière dont la plate-forme Prevalent répond aux exigences. Pour une cartographie complète, veuillez télécharger le guide complet du NIST.

SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR)

Comment nous aidons

SR-1 Politique et procédures

Les services de conception de programme de Prevalent définissent et documentent votre programme de gestion des risques des tiers. Vous obtenez un plan clair qui tient compte de vos besoins spécifiques tout en incorporant les meilleures pratiques de gestion des risques des tiers de bout en bout.

SR-2 Plan de gestion des risques de la chaîne d'approvisionnement

Les services d'optimisation des programmes Prevalent vous aident à améliorer continuellement le déploiement de votre plateforme Prevalent, en veillant à ce que votre programme TPRM conserve la flexibilité et l'agilité dont il a besoin pour répondre à l'évolution des exigences commerciales et réglementaires.

SR-3 Contrôles et processus de la chaîne d'approvisionnement

Les services de conception de programme de Prevalent définissent et documentent votre programme de gestion des risques des tiers. Vous obtenez un plan clair qui tient compte de vos besoins spécifiques tout en incorporant les meilleures pratiques de gestion des risques des tiers de bout en bout.

SR-5 Stratégies, outils et méthodes d'acquisition

Prevalent aide les équipes chargées des achats à réduire les coûts, la complexité et l'exposition aux risques lors de la sélection des fournisseurs. Notre solution RFx Essentials permet de centraliser la distribution, la comparaison et la gestion des appels d'offres et des demandes de renseignements. Elle vous aide également à anticiper les risques potentiels liés aux fournisseurs grâce à des scores démographiques, de 4ème partie et ESG, ainsi qu'à des informations optionnelles sur les risques commerciaux, financiers et de réputation. Ainsi, vous êtes en mesure de faire un premier pas important vers la gestion des risques dans le cycle de vie des tiers.

Une fois la sélection des fournisseurs terminée, Prevalent Contract Essentials centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il inclut également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Avec Contract Essentials, les équipes chargées des achats et du service juridique disposent d'une solution unique pour gérer les contrats fournisseurs, simplifier la gestion et la révision, et réduire les coûts et les risques.

SR-6 Évaluations et examens des fournisseurs

La plateforme Prevalent comprend plus de 600 modèles d'enquête d'évaluation des risques standardisés - y compris pour NIST, ISO et bien d'autres - un assistant de création d'enquête personnalisée, et un questionnaire qui permet de faire correspondre les réponses à n'importe quelle réglementation ou cadre de conformité. Toutes les évaluations sont basées sur des normes industrielles et traitent de tous les sujets relatifs à la sécurité de l'information en ce qui concerne les contrôles de sécurité des partenaires de la chaîne d'approvisionnement et de la résilience de l'entreprise.

Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité déclarées par les fournisseurs sur la plateforme Prevalent en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités - et en corrélant les résultats de l'évaluation avec la recherche sur les risques opérationnels, financiers, juridiques et de marque dans un registre de risques unifié qui permet un triage et une réponse centralisés des risques.

Accords de notification SR-8

Avec la plateforme Prevalent, vous pouvez collaborer sur des documents, des accords et des certifications, tels que des NDA, des SLA, des SOW et des contrats, avec un contrôle de version intégré, une affectation des tâches et des cadences de révision automatique. Vous pouvez également gérer tous les documents tout au long du cycle de vie du fournisseur dans des profils de fournisseurs centralisés.

 

SR-13 Inventaire des fournisseurs

Prevalent propose un questionnaire d'évaluation des risques inhérentsavec un système de notation clair basé sur huit critères permettant de recenser, suivre et quantifier les risques pour tous les tiers. Les critères d'évaluation sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

L'évaluation du risque inhérent permet de classer automatiquement les fournisseurs, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer l'étendue des évaluations ultérieures et périodiques.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

Cadre de cybersécurité (CSF) v2.0 du NIST et gestion des risques liés aux tiers

Le tableau ci-dessous présente une ventilation des contrôles spécifiques à la chaîne d'approvisionnement dans la fonction « Gouvernance » du cadre de cybersécurité v2.0 et explique comment Prevalent aide à les mettre en œuvre. Pour une compréhension complète du cadre, veuillez télécharger leNIST CSF dans son intégralité.

Fonction, catégorie et sous-catégorie

Meilleures pratiques

GOVERN (GV) : La stratégie, les attentes et la politique de l'organisation en matière de gestion des risques liés à la cybersécurité sont établies, communiquées et contrôlées.

Gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement (GV.SC) : les processus de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement sont identifiés, mis en place, gérés, surveillés et améliorés par les parties prenantes de l'organisation.

GV.SC-01 :Un programme, une stratégie, des objectifs, des politiques et des processus de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement sont établis et approuvés par les parties prenantes de l'organisation.

Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité.

GV.SC-02 :Les rôles et responsabilités en matière de cybersécurité pour les fournisseurs, les clients et les partenaires sont établis, communiqués et coordonnés en interne et en externe.

GV.SC-03 :La gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement est intégrée à la cybersécurité et à la gestion des risques d'entreprise, à l'évaluation des risques et aux processus d'amélioration.

Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité.

Recherchezdes expertspour collaborer avec votre équipe sur :

  • Définir et mettre en œuvre des processus et des solutions TPRM et C-SCRM
  • Sélection des questionnaires et des cadres d'évaluation des risques
  • Optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - du sourcing et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétence au risque de votre organisation.

Dans le cadre de ce processus, vous devez définir :

GV.SC-04 :Les fournisseurs sont connus et classés par ordre de priorité en fonction de leur importance.

Centralisez votre inventaire des tiers dans une solution logicielle. Ensuite, quantifiezles risques inhérentsà tous les tiers. Les critères utilisés pour calculer le risque inhérent afin de hiérarchiser les tiers doivent inclure :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles devrait permettre la catégorisation des fournisseurs à l'aide d'une série de considérations relatives aux interactions de données, aux aspects financiers, réglementaires et à la réputation.

GV.SC-05 :Les exigences relatives à la gestion des risques liés à la cybersécurité dans les chaînes d'approvisionnement sont établies, hiérarchisées et intégrées dans les contrats et autres types d'accords conclus avec les fournisseurs et autres tiers concernés.

Centralisez la distribution, la discussion, la conservation et la révision descontrats fournisseursafin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les fonctionnalités clés doivent inclure :

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
  • Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
  • Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.

GV.SC-06 :Une planification et une diligence raisonnable sont effectuées afin de réduire les risques avant de conclure des relations formelles avec des fournisseurs ou d'autres tiers.

Centralisez et automatisez la distribution, la comparaison et la gestion desappels d'offres (RFP) et des demandes d'informations (RFI)dans une solution unique qui permet de comparer les attributs clés.

Comme tous les prestataires de services sont centralisés et évalués, les équipes doivent créerdes profils complets des fournisseurscontenant des informations démographiques, les technologies tierces, les scores ESG, des informations récentes sur leurs activités et leur réputation, l'historique des violations de données et leurs performances financières récentes.

Ce niveau de diligence raisonnable crée un contexte plus large pour prendre des décisions en matière de sélection des fournisseurs.

GV.SC-07 :Les risques posés par un fournisseur, ses produits et services, ainsi que par d'autres tiers sont compris, consignés, classés par ordre de priorité, évalués, traités et surveillés tout au long de la relation.

Recherchez des solutions qui proposent une vaste bibliothèque de modèles prédéfinis pourles évaluations des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration, du renouvellement du contrat ou à toute fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants.

Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, suivez et analysez en permanenceles menaces externes pesant sur les tiers. Surveillez Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Toutes les données de surveillance doivent être corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser les initiatives d'examen des risques, de reporting, de remédiation et d'intervention.

Veillez à intégrer des données opérationnelles, financières et relatives à la réputation provenant de tiers afin de contextualiser les conclusions relatives à la cybersécurité et de mesurer l'impact des incidents au fil du temps.

GV.SC-08 :Les fournisseurs concernés et autres tiers sont inclus dans les activités de planification, d'intervention et de rétablissement en cas d'incident.

Dans le cadre de votre stratégie globale de gestion des incidents, veillez à ce que votre programme de réponse aux incidents tiers permette à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact desincidents de sécurité impliquantdes fournisseurs tiers.

Recherchez des services gérés dans le cadre desquels des experts dédiés gèrent vos fournisseurs de manière centralisée, effectuent des évaluations proactives des risques liés aux événements, notent les risques identifiés, corréle les risques avec des informations issues d'une surveillance cybernétique continue et émettent des recommandations de mesures correctives. Les services gérés peuvent réduire considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité et garantir la mise en place de mesures correctives.

Les principales fonctionnalités d'un service tiers de réponse aux incidents doivent inclure :

  • Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
  • Suivi en temps réel de l'état d'avancement du questionnaire
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs sur les fournisseurs
  • Vues consolidées des évaluations des risques, des décomptes, des scores et des réponses signalées pour chaque fournisseur
  • Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Modèles de rapports intégrés pour les parties prenantes internes et externes
  • Recommandations de remédiation intégrées pour réduire les risques
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications en temps réel des fournisseurs en cas de violation de données.

Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts.

GV.SC-10 :Les plans de gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement comprennent des dispositions relatives aux activités qui ont lieu après la conclusion d'un partenariat ou d'un contrat de service.

En vous appuyant sur les meilleures pratiques recommandées pour GV.SC-05, automatisez les évaluations des contrats et les procéduresde départafin de réduire le risque d'exposition post-contractuelle de votre organisation.

  • Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées.
  • Émettre des évaluations contractuelles pour évaluer le statut
  • Tirez parti des enquêtes et des rapports sur les flux de travail concernant l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois applicables, les paiements finaux, etc.
  • Stockez et gérez de manière centralisée les documents et certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats.
  • Analyser les documents pour vérifier que les critères clés sont pris en compte.
  • Prenez des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils de remédiation.
  • Visualisez et répondez aux exigences de conformité en associant automatiquement les résultats des évaluations aux réglementations et aux cadres réglementaires.
Ressources complémentaires

Blog

Répondre aux exigences des normes NIST 800-53, NIST 800-161 et NIST CSF en matière de risque pour les tiers

Blog

NIST CSF 2.0 : Implications pour votre programme de gestion des risques liés aux tiers

Blog

Liste de contrôle de conformité des tiers du NIST

Guide

Alignez votre programme TPRM sur le NIST CSF 2.0

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.