Évaluer la gestion des risques liés aux tiers à l'aide de la norme ISO 27001

Amanda: Bonjour. Bonjour à tous. Voici les chiffres qui augmentent. C'est toujours très agréable de voir les chiffres commencer à augmenter. Bonjour à tous, merci beaucoup de vous joindre à nous aujourd'hui. Pendant que nous nous installons, je vais lancer un sondage. Je pense que si vous participez à ces webinaires, vous êtes habitués à toutes ces questions et nous aimerions savoir si elles ont déjà changé votre réponse. Donc, pendant que vous attendez, nous aimerions savoir ce qui vous amène à ce nouveau webinaire aujourd'hui chez Prevalent. Êtes-vous en train de faire des recherches pour un projet ? Êtes-vous ici pour vous former ? Vous ne savez pas où vous en êtes. Ce n'est pas grave. Vous apprendrez quelque chose d'un Britannique nommé Thomas Humphre, responsable de contenu ici chez Prevalent. Hum, et peut-être êtes-vous un client actuel. Si c'est le cas, merci de vous joindre à nous aujourd'hui. Nous allons parler de l'évaluation de la gestion des risques tiers avec la norme ISO 27 01. Je m'appelle Amanda. Je suis votre animatrice aujourd'hui. Et Thomas, comme je l'ai dit, sera présent et vous donnera toutes les informations utiles à ce sujet. Quelques remarques d'ordre pratique. Vous êtes tous en mode silencieux. Nous ne pouvons pas vous voir non plus, mais nous souhaitons vraiment que vous participiez. Il y aura une séance de questions-réponses à la fin. Et il y aura une autre question de sondage à la fin, mais si vous avez quelque chose à demander, Thomas, mettez-le dans la section questions-réponses, pas dans le chat, car il est beaucoup plus facile de rationaliser ce processus via la section questions-réponses. Si vous avez d'autres questions, n'hésitez pas à les poser dans le chat lorsqu'elles ne concernent pas la conversation que nous avons aujourd'hui. Hum, mais c'est tout pour moi. Nous enregistrerons la session et l'enregistrement sera disponible demain ou en accès anticipé aujourd'hui. Soyez honnêtes dans vos réponses lorsque nous vous poserons des questions, car je ferai un suivi. Ma collègue Melissa et moi-même ferons un suivi et nous voulons nous assurer que nous pouvons vous aider. Voilà, c'est tout. Thomas, je te laisse prendre le relais. Je vais mettre fin à ce sondage. Et changeons la diapositive ici. Attendez. Où ? Comment faire ? Où est le truc ? Je ne le vois pas. Nous avons déjà un chat. Ce n'est probablement pas pour Super. Oui, certains d'entre eux. Nous reviendrons vers vous à ce sujet. Bon, voyons voir. Murray échoue, les gars. Ça ne me laisse pas faire. Intervenant: Voulez-vous que j'essaie de prendre le contrôle , Amanda, ou

Amanda: tu sais, il y a généralement des points, et ça ne me laisse pas faire. Attends un peu. Nous avons pris un excellent départ, tout le monde. Attendez. Laissez-moi arrêter le partage d'écran pendant une seconde et réessayer. C'est comme si mon ordinateur portable était bloqué. Bon, il est figé. C'est probablement le problème. Attendez une seconde. Réessayons. C'est parti. Voilà. Depuis le début du diaporama actuel. Ça ne me laisse pas faire. Intervenant: Vous voulez que j'essaie ? Amanda: Oui. Vous voulez essayer ? C'est comme si... Vous entendez le bruit ? Il ne m'aime pas en ce moment. Je ne sais pas pourquoi. Vous voyez, c'est pour ça que je ne fais pas ça, les amis. Oui, il est bloqué sur mon bureau ici. Ça commence bien. Mais celui que vous m'avez envoyé fonctionnait bien. Intervenant: Ne vous inquiétez pas. Je vais voir si je peux partager mon écran.

Amanda: Oui, je ne partage rien. Problèmes techniques. Veuillez patienter, tout le monde. Très bien. Pendant que vous attendez, avez-vous tous apprécié le Super Bowl ? Et le spectacle de la mi-temps ? En tout cas, ça m'a rappelé des souvenirs. Je ne sais pas si ça vous a rappelé des souvenirs, mais dans l'ensemble, c'était un bon moment. Intervenant: Très bien. Je vois votre écran. Intervenant: Je peux voir votre écran. Tout est prêt. Amanda: Mon écran. Je vais m'en aller maintenant. Si vous avez besoin de moi, je serai là. Bonne chance.

Thomas: Merci beaucoup, Amanda. Et oui, bonjour à tous. Bienvenue à ce webinaire. Je m'appelle Thomas Humphre. Je suis responsable du contenu chez Prevalent. J'élabore des évaluations et des enquêtes auprès de tiers sur la base de nombreux cadres reconnus, notamment la norme ISO 27001 et d'autres cadres relatifs à la confidentialité et à la cybersécurité. L'objectif d'aujourd'hui est évidemment de passer en revue la norme 27001 et de comprendre comment vous pouvez l'utiliser pour gérer les risques liés aux tiers, en mettant l'accent sur certains des contrôles fondamentaux prévus par ce cadre. Je vais vous présenter cette norme de manière générale. J'espère qu'elle sera assez familière à beaucoup d'entre vous avant d'aborder la question de l'intégration de la gestion des tiers dans le SMSI 2017 000, puis de nous concentrer sur certains aspects fondamentaux du cadre et sur ce que les organisations doivent faire et comment elles peuvent aborder ces contrôles clés. Enfin, je terminerai par ce que vous pouvez faire dès maintenant, que vous vous lanciez pour la première fois dans la gestion des risques liés aux tiers ou que vous disposiez déjà d'un programme en place. J'espère que vous trouverez cela utile et que vous aurez des idées intéressantes sur la manière dont vous pouvez utiliser une norme telle que la 27 000. Je vais vous parler brièvement de moi avant de rejoindre Prevalent. J'ai été auditeur ISO pendant un peu moins de 10 ans, travaillant pour leurs organismes de certification au Royaume-Uni et à Singapour, comme beaucoup d'auditeurs qui ont commencé avec la norme ISO 90001 pour la qualité, mais qui ont évidemment progressé et évolué vers des domaines tels que la norme 27 000.Comme Amanda l'a indiqué tout au long de la journée, n'hésitez pas à poser vos questions dans la fenêtre Q&A ou dans la fenêtre de chat. Si le temps le permet, nous pourrons ensuite passer en revue certaines de ces questions-réponses pour commencer par une introduction aux normes ISO 27 000. Il s'agit d'une norme internationale élaborée par l'ISO, l'organisation internationale de normalisation, qui constitue son cadre de référence en matière de sécurité de l'information. L'objectif principal de ce cadre est d'aider les organisations à structurer leur gouvernance et leur gestion des risques en matière de sécurité de l'information et de fournir une plateforme permettant d'identifier et d'appliquer des contrôles de sécurité.

Thomas: Euh, et comme vous le verrez tout au long du webinaire d'aujourd'hui, il existe toute une série de contrôles, dont certains sont très pertinents et ont une incidence directe sur la gestion des tiers ou des fournisseurs. Il est intéressant de noter que ce n'est pas la première norme axée sur la norme 2701. Le véritable précurseur de ces normes était une norme appelée DS779. N ou la norme britannique élaborée en 1995. Le concept de système de gestion de la sécurité de l'information remonte donc à plusieurs années. Il a été développé en collaboration avec des professionnels de la sécurité et le gouvernement britannique. Ce n'est qu'au début des années 2000 que l'ISO a été imposée et engagée à internationaliser ce concept et à le transformer en un cadre plus large. La première évaluation 27,01205 a été publiée, mais elle s'inspirait de la norme britannique 7799. Comme on peut s'y attendre de la plupart de ces organismes de certification, ils procèdent à des révisions périodiques pour s'assurer que ces cadres sont pertinents, qu'ils restent à jour, que les nouvelles technologies, les menaces nouvelles et émergentes et les meilleures pratiques sont toujours adéquates dans la norme existante. Dans ce cas, il a été déterminé qu'il n'était pas nécessaire de procéder à des changements, ce qui cela nous a amenés à l'édition 2013. Il est intéressant de noter que ce cadre a fait l'objet de révisions ultérieures. Mais il a été décidé depuis lors que la version 2013 devait rester d'actualité et qu'il n'y avait donc pas de projet immédiat de modification de la norme 2000 27,01. Il convient toutefois de noter, comme on peut s'y attendre pour bon nombre de ces normes ISO, qu'il s'agit d'une norme parmi une famille de normes. Ainsi, bien que la norme 2000 27,01 n'ait pas été modifiée, des normes plus larges ont été publiées, axées sur la manière d'appliquer ce cadre à certains secteurs, certaines industries et sur les normes de mise en œuvre de la manière d'impliquer et de mettre en œuvre les contrôles de sécurité. La plus récente, la norme 27 0002, et peut-être la plus connue des normes en dehors de la norme 27 0001, a été rééditée hier. Aujourd'hui.

Thomas: Donc, 27,02 2022 est le cadre le plus récent et le plus à jour qui intègre certains nouveaux sujets et aborde réellement certains thèmes. C'est une norme assez bien acceptée. Il existe actuellement plus de 40 000 certifications en circulation dans plus de 100 pays. Il s'agit donc d'un cadre et d'une norme mondiaux. Il est intéressant de noter où ces normes et ces certifications sont mises en œuvre. Compte tenu du sujet que nous allons aborder aujourd'hui et du fait que nous en savons environ 27 000, il n'est évidemment pas surprenant que les organisations axées sur le développement des technologies de l'information l'aient largement adopté. Mais il existe également de nombreuses autres organisations dans le secteur de la santé, de la construction, de la fabrication d'équipements, pour n'en citer que quelques-unes, qui les ont adoptées assez ouvertement et ont compris la nécessité d'un cadre 27 0001. Pour ceux d'entre vous qui ne sont pas familiers avec l'ISO et en particulier avec bon nombre de ses cadres fondamentaux 9 27 000 14 000, ils sont tous construits autour du concept « planifier, faire, vérifier, agir » ou PDCA, que j'expliquerai à nouveau comment cela peut être appliqué lorsqu'on examine également la gestion par des tiers. Donc, la phase de planification consiste à identifier les risques, les menaces, la structure gouvernementale. Ensuite, il s'agit d'appliquer une partie de la mise en œuvre. Il s'agit donc de mettre en œuvre les risques, de mettre en œuvre les contrôles de sécurité, les politiques, les procédures en fonction de ces risques. Un processus de vérification et de surveillance continu. Il s'agit donc d'effectuer des examens continus par des moyens internes et externes, des audits, des examens de gestion, des examens techniques tels que la journalisation des audits, puis, bien sûr, d'agir en fonction des résultats de ces examens et de ce concept d'amélioration continue. Il s'agit donc d'améliorer en permanence les contrôles de sécurité en place, les politiques, de les affiner si nécessaire, puis même de revoir les risques pour déterminer s'ils sont pertinents pour nous en tant qu'organisation ou si de nouvelles menaces émergent et si nous devons envisager de nouveaux domaines.

Thomas: Donc, le concept général autour de ces systèmes de gestion est qu'ils doivent évoluer en permanence, améliorer continuellement les processus dans le but ultime, bien sûr, d'atteindre la maturité. Par exemple, faire mûrir le paysage de la sécurité d'une organisation. Quand on pense aux risques liés à la sécurité des informations provenant de tiers, il y a évidemment beaucoup de risques. Il existe une grande variété de catégories et de types de risques. Il est peut-être utile de mentionner certains des risques les plus pertinents ou, je suppose, les plus récents. Le nombre d'attaques malveillantes augmente, bien sûr, les ransomwares, pour ne citer que quelques noms clés, quelques mots-clés, SolarWinds, Caya DSA, Log4j, pour n'en citer que quelques-uns, et nous avons évidemment constaté que ce phénomène ne cesse de prendre de l'ampleur dans toute une série d'industries et de secteurs. Il est évidemment important ici de réfléchir non seulement à la manière dont ces attaques nous affectent, mais aussi à la manière dont elles affectent nos tiers et les organisations sur lesquelles nousdépendons pour nous fournir un service essentiel, par exemple un produit ou un composant essentiel. Il faut donc être conscient de cela et être en mesure de contacter les fournisseurs et les tiers pour leur demander comment ils gèrent ce problème de Log 4j, qui est très important pour nous dans notre secteur où vous avez eu un impact. Comment l'avez-vous abordé ? Avez-vous appliqué les meilleures pratiques des organismes de sécurité, des fabricants, etc. ? Cela fait maintenant près de quatre ans cinq ans maintenant que le RGPD est en vigueur, et bien sûr d'autres normes et réglementations locales et nationales, telles que la loi californienne sur la protection de la vie privée des consommateurs aux États-Unis, et les ajustements qui ont été apportés à d'autres lois nationales sur la protection des données. Et bien sûr, nous constatons une augmentation du stockage, de la collecte et du traitement des données, qu'il s'agisse de données personnelles ou, pour utiliser un terme du RGPD, de données sensibles PII ou SPI. um données d'entreprise. Le volume de données qui est diffusé à plusieurs tiers dans certains cas augmente à nouveau le niveau de risque et augmente le niveau de cartographie des données qui est nécessaire.

Thomas: Euh, les chaînes d'approvisionnement complexes, donc du point de vue de la continuité des activités et de la reprise après sinistre, euh, nous constatons dans certains cas une augmentation du nombre de fournisseurs. Nous ne parlons pas seulement des tiers, bien sûr. Nous parlons maintenant des quatrièmes, cinquièmes, sixièmes, septièmes et huitièmes parties pour certains cas particulièrement complexes ou certaines industries complexes. Euh, et bien sûr, cela entraîne toute une série de changements, de risques et de défis. Ils réfléchissent à des questions et à des événements géopolitiques et environnementaux. Il est donc nécessaire de comprendre la continuité et la planification d'urgence, tant en interne au sein de l'organisation que pour vos tiers, et la manière dont ils gèrent la chaîne d'approvisionnement, le cas échéant. Et puis, bien sûr, les pressions juridiques et réglementaires ne cessent de s'intensifier dans certains domaines, notamment dans le secteur financier et dans le secteur juridique, et nous constatons que l'accent est davantage mis sur la nécessité de renforcer les contrôles en matière de confidentialité et de sécurité. Et donc, bien sûr, si vous travaillez dans l'un de ces secteurs où la pression exercée par les forces de l'ordre ou les régulateurs est plus forte, vous devez vous assurer d'avoir fait preuve de diligence raisonnable pour engager ces tiers, car il pourrait y avoir des problèmes pouvant entraîner des sanctions financières et juridiques et des problèmes par la suite. Ce ne sont là que quelques-uns des nombreux types de risques liés à la sécurité des tiers. Mais il est important de souligner que c'est le moment idéal, si ce n'est déjà fait, de commencer à réfléchir à une utilisation plus large de vos informations, de vos actifs informationnels et à la manière dont vous utilisez et engagez des tiers et, si nécessaire, des quatrièmes parties. La question est donc la suivante : comment la gestion des risques liés aux tiers (TPRM) s'intègre-t-elle dans le système de gestion de la sécurité de l'information (ISMS) ? Un terme utilisé pour décrire ou désigner la norme ISO 27 0001.

Thomas: Donc, même si, dans l'ensemble, 27 000 ont toujours été générés pour aider les entreprises à obtenir une certification pour elles-mêmes, euh, sur la base, comme nous l'avons décrit, euh, d'une approche claire et structurée de la gestion des risques, euh, d'un ensemble de contrôles de sécurité et de ce concept PDCA, euh, d'amélioration continue, de surveillance, d'examen, euh, de conception et d'application. Mais nous pouvons également l'appliquer lorsque nous examinons, au sens large, comment vous engagez, discutez, examinez et surveillez vos tiers. Il faut donc certainement réfléchir aux risques liés aux tiers eux-mêmes, où la norme 27 0001 souligne de manière assez détaillée la nécessité d'identifier les actifs informationnels et la nécessité d'identifier une structure de gestion et de calcul des risques. Ainsi, l'impact du risque sur la probabilité du risque, par exemple ce concept de confidentialité, d'intégrité et de disponibilité des informations, nous pouvons l'appliquer en disant, eh bien, vous pouvez utiliser la même approche pour analyser vos risques liés aux tiers afin d'avoir une approche systématique pour identifier ce qui est essentiel pour nous et ce qui est essentiel pour nos actifs informationnels et ceux qui sont pris en charge par des tiers, ou lorsqu'il existe un élément individuel qui contribue à fournir une vue d'ensemble, un produit ou un service final plus important. Donc, en utilisant cette approche systématique, la norme 27 01 dès le début. Nous pouvons l'utiliser pour aider à définir la manière dont nous identifions et gérons les risques liés aux tiers afin de fournir une structure et une approche claires pour démarrer, documenter, assumer la responsabilité et la visibilité des risques qui pourraient vous affecter. Il existe un catalogue de 114 contrôles de sécurité. Dans la norme 27,01, cela s'appelle l'annexe A. Il s'agit donc d'une liste de contrôles et le concept est le suivant : une fois qu'une organisation a identifié ses risques grâce à la structure de haut niveau de la norme 27,0001,il existe ensuite une série de contrôles assez variés, allant du contrôle d'accès à la sécurité du personnel, en passant par la sécurité opérationnelle et la sécurité du réseau, la continuité des activités et le développement sécurisé, pour n'en citer que quelques-uns. L'idée est qu'une fois que vous avez identifié les risques, vous pouvez alors appliquer le ou les contrôles appropriés pour aider à gérer ce risque, le traiter et le réduire le cas échéant.

Thomas: Euh, évidemment, la liste n'est pas exhaustive, mais de la même manière, maintenant que nous avons identifié nos risques liés aux tiers et les risques qui vont nous affecter le plus, quels contrôles devons-nous utiliser nous-mêmes ou demander à des tiers de mettre en œuvre pour traiter l'accès, l'utilisation ou le soutien des tiers aux informations et aux actifs informationnels auxquels ils ont accès ? Hum, et donc utiliser ces contrôles de sécurité et comprendre quels contrôles seront les plus appropriés compte tenu du type d'accès et d'interaction d'un tiers avec nos données, nos informations ou nos actifs informationnels. Et enfin, avec ce concept d'amélioration continue et le cycle CA de PDCA, si vous voulez, j'ai expliqué que le système de gestion de la sécurité de l'information 27 0001 définit déjà des processus clairs qui peuvent être mis en œuvre pour l'audit interne et externe, les revues de direction, la journalisation des audits des systèmes, la gestion des réponses aux incidents et la gestion des incidents, l'enregistrement des vulnérabilités et la gestion des menaces. Mais bien sûr, ce sont là des aspects que vous pouvez évidemment utiliser, et que les organisations peuvent également utiliser, pour collaborer avec des tiers et s'assurer qu'il existe un niveau et une fréquence de surveillance, et en plus de cela, bien sûr, la surveillance des performances réelles et les rapports de service qui peuvent être demandés et évidemment appliqués par le biais d'accords contractuels avec vos tiers. Il est toujours important de mentionner le risque à la fin. J'ai mentionné le risque et je le mentionnerai peut-être encore plusieurs fois aujourd'hui, mais il s'agit avant tout d'un processus continu qui consiste à dire que lorsque nous avons mis en place une structure pour identifier les risques pour nos tiers, pour identifier les contrôles nécessaires, puis, comme vous le verrez, comment nous les appliquons d'un point de vue contractuel, euh, d'un point de vue de la surveillance, en fonction des changements du contexte, en fonction de ces contrôles, en fonction de l'évolution du contexte des risques, comment fonctionne notre système de gestion des risques ? Devons-nous continuellement revenir en arrière et vérifier s'il fonctionne pour nous ? Fonctionne-t-il en fonction du type de risques auxquels nous sommes confrontés avec nos tiers et, dans certains cas, avec la chaîne d'approvisionnement au sens large ?

Thomas: Bon, nous allons maintenant approfondir deux éléments fondamentaux qui se divisent en cinq contrôles dans le cadre de ce catalogue de 114 contrôles de sécurité. Cela fait partie de la section A.15, qui concerne la gestion des fournisseurs dans le SMSI, et nous commencerons par les sous-titres « Sécurité de l'information » et « Relations avec des tiers », avant de passer aux politiques de sécurité de l'information, aux relations avec des tiers, puis, plus loin, aux accords et arrangements contractuels, ainsi qu'à la gestion et à la connaissance de la chaîne d'approvisionnement. Que signifie donc définir une politique de sécurité de l'information des tiers ? La norme 27 000 établit des directives et des exigences claires sur la manière dont les politiques doivent être identifiées, gérées, révisées, etc. Et bien sûr, l'une d'entre elles est une politique qui traite de la manière dont vous engagez et gérez vos tiers. Que voulons-nous dire ici ? Eh bien, tout d'abord, nous examinons les types de tiers, les risques liés aux tiers et les relations avec les tiers. En ce qui concerne les types de tiers, nous pouvons les classer en fonction du service qu'ils fournissent, qu'il s'agisse de maintenance, de développement, de développement d'applications ou de logiciels, ou d'autres aspects liés à l'accès à l'information et aux actifs que nous devons prendre en considération. Ensuite, nous examinons les relations avec les tiers. Comment collaborons-nous avec ces tiers ? À quelle fréquence les engageons-nous ? Le type de contrats que nous devons mettre en place, le niveau de surveillance et la relation de service que nous devons établir avec ces tiers. Et une fois que nous maîtrisons cela, une fois que nous avons compris cela, nous pouvons alors commencer à examiner les types d'accès à l'information requis par le tiers. Il faut bien sûr réfléchir au type de fournisseur, au type de service informatique, peut-être au type de service financier, et réfléchir au type d'accès dont ils pourraient avoir besoin. Avons-nous des tiers avec lesquels nous travaillons qui pourraient avoir accès à nos données sensibles ?

Thomas: Hum, y a-t-il des données particulières, comme nos données internes, les données de nos employés, les données de nos propres clients, auxquelles ils doivent avoir accès, qu'ils doivent stocker en fonction du type de service fourni ? Et sur cette base, pouvons-nous commencer à définir le niveau de sécurité, le niveau de contrôle et les exigences que nous devons leur imposer et qu'ils doivent mettre en œuvre ? Une fois que nous avons compris le type d'accès à l'information requis par les tiers en fonction du niveau de service ou du produit et du service qu'ils fournissent, nous identifions les exigences et les contrôles de sécurité minimaux, et c'est évidemment là que nous revenons à la sélection plus large de l'annexe 27 0001. Certaines d'entre elles seront assez élevées et vousattendez de tous les tiers, en particulier ceux qui traitent ou gèrent vos actifs informationnels, qu'ils réagissent aux incidents, par exemple, qu'ils réagissent à la continuité et aux imprévus, qu'ils accèdent aux actifs informationnels, que ce soit lorsqu'ils viennent sur place pour effectuer des travaux d'assistance ou de maintenance, par exemple, ou que vous leur envoyiez des informations qu'ils gèrent sur leur site, dans leur infrastructure. Hum, et donc, en commençant à rassembler les informations en fonction des types de tiers, du type d'informations et du niveau d'accès requis, quels sont les contrôles de sécurité les plus appropriés que nous devons imposer à nos tiers ? Et puis, une fois arrivés à ce stade, vous examinez les exigences en matière de surveillance. Et là encore, cela peut dépendre de la gravité des tiers. Si vous commencez à calculer ou à déterminer le niveau des tiers, disons le niveau un, le niveau deux, le niveau trois pour les plus critiques, fournissant un composant ou un service essentiel à la mission. Le niveau trois fournit des services de soutien qui n'ont pas d'incidence prépondérante sur le produit final ou le système. Nous pouvons alors commencer à déterminer le niveau de surveillance dont nous avons besoin. Avons-nous besoin de réunions mensuelles, trimestrielles, semestrielles ou annuelles pour examiner les services ?

Thomas: Avons-nous besoin d'un système de reporting qui fournisse des statistiques et des rapports statistiques basés sur la disponibilité des services, la disponibilité du système, les changements et la gestion des changements, ainsi que sur les domaines dans lesquels tous les fournisseurs peuvent être amenés à intervenir en cas d'incident, par exemple, puis une formation en deux parties. Donc, d'un point de vue interne, sensibiliser le personnel aux exigences de sécurité lorsqu'il traite avec des tiers. S'il existe des nuances ou des contrôles particuliers dont ils doivent être conscients et qu'ils doivent garder à l'esprit lorsqu'ils s'engagent à poser les questions pertinentes. Également, s'il est nécessaire de former le tiers, s'il existe une exigence. Par exemple, si leurs tiers sont engagés pour venir sur site afin d'assurer la maintenance, existe-t-il une formation de base en matière de sécurité et de confidentialité que vous, en tant que voiture, exigez que le tiers suive ? Et puis, bien sûr, la confidentialité... Nous avons parlé de la vie privée et du traitement, du stockage ou de l'utilisation potentiels d'informations sensibles, et bien sûr de la confidentialité, de la non-divulgation, comme on le trouve dans de nombreux contrats et accords avec des tiers. Voici donc les six domaines clés que nous demandons aux entreprises de prendre en compte lorsqu'elles commencent à élaborer une politique et un cadre de sécurité de l'information. Il s'agit donc d'une structure qui aide à identifier et à gérer de manière cohérente les tiers. Et bien sûr, à partir de là, nous passons ensuite à la question de la sécurité dans les accords avec les fournisseurs. Il s'agit donc de consigner les exigences en matière de sécurité de l'information dans les accords, y compris en précisant les contrôles minimaux, tant sur le plan politique que technique. Toutes les exigences légales en matière de protection des données, de propriété intellectuelle, de communication, de réponse et de visibilité des incidents et des problèmes, de continuité des activités, d'événements et de menaces, le droit d'audit et les droits d'audit, ainsi que la prise en compte des quatrièmes parties ou des parties finales qui commencent à réfléchir à la chaîne d'approvisionnement au sens large. Commencez par les contrôles minimaux.

Thomas: À ce stade, nous devrions avoir identifié ces risques et avoir une idée assez claire du type de contrôles et des meilleures pratiques dont nous avons besoin pour être sûrs de pouvoir confier nos données à un tiers, ce qui nous donne l'assurance que nos données et nos informations sont protégées de la meilleure façon possible. Qu'est-ce que j'entends par « contrôle basé sur des politiques » et « contrôle technique » ? Il y aura toujours un certain chevauchement entre les deux. D'une manière générale, nous nous intéressons à la classification des informations. Nous nous basons donc sur le type de données et d'informations que vous pouvez transmettre ou envoyer à un fournisseur, à un tiers chargé de les gérer. Et l'entreprise aura sans aucun doute un certain niveau de classification en termes de protection des données, de règles à mettre en place et de traitement des données, par exemple la manière dont les données sont étiquetées et même la manière dont elles peuvent être traitées. Vérification des antécédents des employés Devrez-vous demander aux tiers qui accèdent à vos informations et/ou à vos systèmes d'information de procéder à des vérifications de base lorsqu'ils embauchent de nouveaux employés pour travailler sur le projet ? Si vous externalisez, par exemple, un processus métier clé à un tiers et qu'il existe des systèmes qui contiennent des informations au niveau des comptes, des informations financières, par exemple, voire des informations sur la rémunération des employés, si vous externalisez l'ensemble du processus de rémunération, vous devez vous assurer que les employés qui s'occupent de ce processus et qui contribuent à sa gestion ont fait l'objet d'une vérification appropriée, le cas échéant, et qu'au moins, le tiers fait preuve de diligence raisonnable en partageant les mesures qu'il a prises. Il va de soi que les politiques d'utilisation acceptable, la réponse instantanée, que nous avons en partie abordées, et bien sûr la confidentialité, en pensant au RGPD, en pensant au CCPA, il existe des cadres ou des réglementations localisés, et même s'il n'y avait pas d'autres contrôles de base basés sur la politique de confidentialité. Donc, une politique de confidentialité des données, par exemple les exigences en matière de confidentialité des données et la gestion des réponses, puis bien sûr les contrôles techniques pour protéger les données.

Thomas: Ils doivent donc souligner et identifier les contrôles d'accès, les restrictions d'accès à vos systèmes d'information basées sur les privilèges d'accès, par exemple. Les méthodes de stockage des données et les niveaux de cryptage. Si l'organisation a des exigences minimales pour le chiffrement AES 256 bits, par exemple pour les données dans le cloud, et un minimum de sécurité de la couche de transport TLS 1.2 1.3, car il existe d'autres versions manifestement obsolètes qui sont désormais dépassées et qui offrent une sécurité insuffisante. Il peut être nécessaire que vous insistiez et que vous essayiez de faire respecter, le cas échéant, le même niveau de cryptage lorsque ces données sont transférées vers le site ou les opérations d'un tiers. Conservation et élimination des données. Que se passe-t-il après la clôture d'un projet ? Êtes-vous satisfait que des tiers éliminent les systèmes contenant des données de manière sécurisée, conformément à certaines normes de sécurité ? Exigez-vous que ces systèmes soient sécurisés ? Qu'ils soient renvoyés à l'organisation de manière sécurisée par courrier sécurisé ou par d'autres moyens, puis, bien sûr, que des contrôles techniques soient mis en place pour gérer la confidentialité, par exemple en limitant les niveaux d'accès, en cryptant les données et en prévenant leur perte. Il existe donc toute une série de contrôles, et l'idée ici est de commencer à les intégrer dans l'accord, dans le cadre des exigences contractuelles. Vous avez évidemment des exigences légales, j'ai mentionné la protection des données, et il peut être nécessaire de mettre en place une méthode pour appliquer une protection supplémentaire basée sur les exigences du RGPD, en fonction du type de traitement des données, de l'utilisation des données gérées par un tiers. La communication est bien sûr très importante pour commencer à identifier les points de contact clés, tant en interne que du point de vue du tiers. Ainsi, en cas de violation, en cas d'incident, comment vont-ils réagir ? Comment vont-ils vous le communiquer en tant qu'organisation ? Il en va de même pour la continuité des activités. Évidemment, le droit d'attribution est une clause courante que l'on trouve désormais dans de nombreux accords.

Thomas: Euh, cela ne se fait pas toujours, mais bien sûr, si c'est le cas, cela offre une excellente occasion, euh, d'approfondir l'examen d'une organisation en délimitant et en définissant correctement le champ d'application d'un audit, mais la possibilité de vérifier, que ce soit physiquement, à distance ou par le biais d'enquêtes, euh, que les contrôles sont en place et efficaces, euh, est toujours un élément clé à prendre en compte dans ce type de contrats. Et puis, bien sûr, il faut tenir compte des quatrièmes parties et des parties finales. Il faut donc que vous sachiez que nous vous transmettons nos actifs informationnels ou qu'il existe un accord pour que vous nous aidiez à les développer ou que vous nous fournissiez un élément de développement. Est-ce que vous sous-traitez certains de ces éléments à vos propres tiers ? Euh, soyez indulgents. Je m'excuse d'être un peu sombre. Hum, et donc comment vous gérez et la visibilité des quatrièmes parties et la visibilité des niveaux de données, hum, ou de l'accès aux systèmes d'information dont disposent également ces quatrièmes parties. Il faut donc réfléchir à la manière dont vous capturez les exigences pour les quatrièmes parties ou, au moins, les exigences pour les tiers en termes de diligence raisonnable que vous attendez d'eux, ce qui pourrait inclure l'application de certains des contrôles de sécurité de l'information que vous demandez également à vos tiers de respecter. Passons maintenant à la chaîne d'approvisionnement des technologies de l'information et de la communication elle-même. Il s'agit d'être conscient de la manière dont les actifs informationnels sont pris en charge, utilisés ou fournis tout au long de la chaîne d'approvisionnement et d'identifier les contrôles permettant de surveiller et de gérer les risques de sécurité qui y sont associés. Je pense donc qu'il y a quatre aspects clés à prendre en compte lorsque nous essayons d'intégrer et de bien réfléchir à la manière dont nous capturons la chaîne d'approvisionnement dans un accord avec un tiers. L'un d'entre eux est certainement les composants critiques et la provenance. Connaissons-nous l'origine d'un composant particulier ? Existe-t-il une traçabilité appropriée depuis le fournisseur d'origine ou le tiers jusqu'à notre engagement immédiat, jusqu'à ce qu'il nous parvienne ? Avez-vous identifié les composants critiques qui sont généralement essentiels à la mission et sans lesquels il pourrait y avoir un problème pouvant entraîner une faiblesse de sécurité d'un produit, une perte potentielle de données, une perte de marque ou une atteinte à la réputation ?

Thomas: Il faut donc garder cela à l'esprit et être conscient de l'importance des contrôles de sécurité de l'information pour les produits et services tout au long de la chaîne d'approvisionnement. J'ai bien sûr mentionné les contrôles qui peuvent devoir être imposés à nos tiers, mais il peut également être nécessaire de les étendre aux quatrième, cinquième et sixième parties, le cas échéant. Par exemple, si je prends le système particulier que j'ai mentionné, l'externalisation des processus métier, disons que votre tiers gère ces processus pour vous. Il gère les finances de l'organisation, les comptes fournisseurs, les paiements des employés, etc. Et il engage lui-même une autre partie pour l'aider à assurer la maintenance de ces systèmes. Eh bien, le fait que ces quatrièmes parties collaborent désormais avec votre tiers pour aider à maintenir ces systèmes, euh, en cas de problèmes, en cas d'erreurs, vous devez être sûr que ces quatre parties ont atteint le niveau de diligence raisonnable, de formation, de sensibilisation, peut-être aussi des contrôles de restriction d'accès, et qu'elles ont signé des accords de confidentialité appropriés pour s'assurer qu'elles sont conscientes des systèmes, que les tiers sont conscients des systèmes, que les quatrièmes parties engagées sont conscientes et qu'elles ont également appliqué des contrôles de sécurité appropriés. Il est évident que l'assurance joue un rôle important ici et c'est grâce aux évaluations de performance, au suivi régulier du tiers et au niveau d'engagement que vous pouvez évidemment constater pour obtenir cette assurance, tant du point de vue de la provenance que du fait que les produits et services fournis par le quatrième partenaire sont adaptés à l'usage prévu et qu'ils ont appliqué les contrôles et les capacités de sécurité nécessaires. Ensuite, le type de contrôles, comme nous l'avons mentionné dans l'exemple du tiers fournissant des services d'externalisation des processus métier, ces contrôles ont également été appliqués de manière appropriée. Il suffit d'obtenir cette assurance et cette validation de la part du tiers qu'il effectue les contrôles clés que vous attendez de lui sur le quatrième partenaire. Et puis, bien sûr, examiner les risques de sécurité.

Thomas: Donc, lorsque des risques ou des menaces surviennent, euh, et en comprenant les quatre étapes du parcours du composant, euh, et jusqu'où et combien de quatrième, cinquième, sixième parties sont nécessaires pour vous livrer le produit final, cela devrait vous aider et devrait ensuite être utilisé pour vous aider à examiner vos propres risques de sécurité. Donc, pour en revenir aux risques liés aux tiers que nous avons établis dès le départ, euh, devons-nous les revoir ? Devons-nous les ajuster en fonction de la complexité de la chaîne d'approvisionnement ? Faut-il augmenter le risque en fonction de ce niveau de complexité ou sommes-nous satisfaits que le niveau de diligence raisonnable, de planification d'urgence et de continuité des activités ait été mis en place et appliqué, et que le tiers gère le quatrième de la manière que nous attendons du point de vue de la sécurité et même de la confidentialité ? Passons maintenant à la deuxième partie, qui concerne la gestion de la prestation de services par des tiers, et qui comporte deux aspects. L'un d'eux est le contrôle, l'audit et l'examen, puis la gestion des changements. Lorsque vous pensez au contrôle, à l'audit et à l'examen, il s'agit donc de vérifier que les conditions générales en matière de sécurité de l'information sont respectées, et nous pouvons y parvenir de trois manières. L'une d'elles consiste à effectuer un contrôle régulier du tiers, à examiner les rapports de performance et les rapports de service. La deuxième consiste à utiliser la clause de droit d'audit, le cas échéant. Et enfin, la troisième consiste à recevoir en temps utile les communications relatives à la réponse aux incidents et à la gestion des problèmes. Encore une fois, lorsque cela est nécessaire. Donc, pour en revenir au début, il s'agit de procéder à des examens de surveillance réguliers. Je l'ai déjà expliqué du point de vue des 27 000. Il existe de nombreux types d'examens et d'évaluations de gestion qui peuvent être effectués si vous examinez cela en interne. Et bien sûr, il existe des examens de service et des évaluations de performance qui peuvent être effectués. Avec les tiers. La fréquence de ces examens dépend bien sûr de l'importance de cette relation, de l'importance du tiers. Il n'est pas rare de voir des évaluations mensuelles de la performance des tiers.

Thomas: Il n'est pas rare non plus de voir des évaluations trimestrielles et semestrielles si les performances sont manifestement très bonnes, si la relation est très solide ou si la gravité du risque ou la criticité de ce tiers est telle qu'il ne souhaite qu'une évaluation semestrielle, voire annuelle, des performances. Mais réfléchir au type de contrôles que nous avons appliqués au stade contractuel et aider à les intégrer dans les rapports de service que vous pouvez demander de recevoir. Il peut s'agir de rapports et de statistiques sur les vulnérabilités, les changements, voire les changements de fournisseurs et les contrôles de gestion des fournisseurs que nous recherchons auprès du fournisseur tiers ou du fournisseur quatrième partie, comme décrit. Nous commençons donc à réfléchir au type de statistiques dont nous avons besoin pour nous assurer que les contrôles de sécurité que nous avons demandé au tiers d'appliquer, les contrôles d'accès, les contrôles des incidents, les contrôles de classification des informations, quels qu'ils soient, sont bien respectés. Et c'est grâce à ces évaluations régulières des performances, à ces mises à jour, et peut-être même à des accords de niveau de service, des objectifs, vous savez, des SLA et des cibles, que nous pouvons aider à mesurer ces éléments en fonction de la fréquence et, bien sûr, de la complexité de ces contrôles. Le droit d'audit que j'ai mentionné, disons qu'il est courant de voir cela. Euh, et quand on parle du droit à l'audit, euh, il est évidemment important, surtout de nos jours, de considérer que cela ne signifie pas seulement se présenter physiquement sur le site d'un tiers et procéder à une évaluation complète. Vous connaissez l'astuce ici, et l'important ici est évidemment de comprendre, de délimiter et de définir correctement le champ d'application. Il est donc clair que si vous exercez un droit d'audit, il s'agit d'un audit portant sur ces fonctions, ces processus, ces contrôles, euh, afin de vous assurer que si vous confiez des actifs informationnels clés, euh, qui peuvent évidemment être du matériel, des logiciels, des données, quel que soit le cas. Euh, que vous souhaitez exercer votre droit d'audit pour vérifier que ces systèmes sont sécurisés de la manière dont vous l'avez convenu avec le tiers.

Thomas: Et puis, des communications opportunes concernant la réponse immédiate et la gestion des problèmes. Je dirais donc que la communication est très importante, en particulier sa rapidité, notamment lorsque des menaces ou des vulnérabilités surviennent, qu'il s'agisse de menaces ayant un impact direct sur un système d'information géré par un tiers, par exemple, ou de menaces ayant un impact indirect, mais immédiat, qui se fait sentir tout de suite. Mais il peut y avoir d'autres systèmes qui ont subi une forme de violation ou une forme d'attaque ciblée, par exemple. Il suffit donc que vous justifiiez une enquête plus approfondie, une discussion plus approfondie avec un tiers pour dire quels plans d'action vous mettez en place, quel est votre processus de réponse, comment vous gérez cela du point de vue de la gestion des problèmes. Il existe donc de nombreuses approches et techniques différentes en matière de surveillance et d'audit. Il est évidemment important de les identifier et de les intégrer dans les accords et contrats avec les tiers. Nous passons ensuite à la gestion des changements apportés aux services tiers. Il s'agit donc de définir les changements apportés aux tiers et leur impact sur les systèmes et processus d'information de l'entreprise. Là encore, trois domaines doivent être pris en compte : les changements organisationnels, les changements dans la prestation de services et les changements dans les accords. Je vais commencer par le bas. C'est plus clair, je pense. Il est évident qu'il sera toujours nécessaire de revoir formellement les accords contractuels, en particulier lorsque les processus changent, que les systèmes changent, s'il est nécessaire d'étendre la prestation de services ou de la réduire, et d'avoir ce processus formel de collaboration avec un tiers et de compréhension de l'impact de ces changements sur vous-même et sur eux-mêmes. Et bien sûr, les risques qui peuvent en découler, l'augmentation ou la réduction des risques dans certains cas, en fonction de la manière dont un accord est modifié ou ajusté du point de vue du changement organisationnel. Revenons donc au changement organisationnel, au développement de nouveaux systèmes, à la modification des politiques, aux nouveaux contrôles.

Thomas: Donc, si l'organisation, le tiers avec lequel vous travaillez, met à jour ses politiques de sécurité, ses politiques de confidentialité, par exemple ses politiques de recrutement des employés, tout ce qui peut avoir un impact, ou si elle applique de nouveaux contrôles. Elle a renforcé certains contrôles de sécurité et dispose désormais d'un système d'authentification plus solide, par exemple, ou elle renforce d'autres contrôles, par exemple en remplaçant son système d'âge. Bien sûr, ce sont là des changements positifs qui, espérons-le, devraient profiter à votre organisation. Être attentif et conscient de ces changements peut vous aider à comprendre et à réduire certains des risques que vous aviez initialement appliqués au tiers. De même, les changements apportés aux prestations de services, l'adoption de nouveaux produits ou de versions et de mises à jour plus récentes des systèmes. Ainsi, si des tiers ont pris la décision d'améliorer, par exemple, des systèmes permettant de saisir des informations relatives aux incidents et à la gestion du changement, cela peut être une chose positive. Cela signifie que vous pourriez alors être soumis à un niveau de détail plus élevé lorsque des changements surviennent. En cas d'incident, il se peut que les connaissances saisies dans le cadre de ces produits améliorés ou de ces versions mises à jour soient plus approfondies. Mais il y a aussi d'autres domaines critiques à prendre en compte. Le changement d'emplacement des installations de service, par exemple. Si vous avez engagé un tiers pour gérer certaines de vos informations ou certains de vos actifs informationnels et que l'accord initial prévoyait que ceux-ci seraient conservés dans une zone géographique particulière. Si l'on pense par exemple à la confidentialité des données et, disons, au RGPD d'un point de vue européen, si le tiers demande ou propose maintenant de transférer ces informations d'une installation à une autre, cela peut évidemment avoir un impact considérable sur l'organisation.

Thomas: Encore une fois, cela peut être positif ou négatif selon le type de déménagement ou de changement d'emplacement, et il est donc absolument essentiel d'en être informé en temps utile, en particulier si cela implique une révision des contrôles de sécurité ou des contrôles basés sur la confidentialité, s'ils déménagent, s'ils changent de zone géographique ou d'emplacement, et bien sûr s'ils changent de fournisseurs, car la chaîne d'approvisionnement ne cesse de s'étendre etcertains secteurs où elle s'étend jusqu'au quatrième, cinquième, sixième, voire septième degré. Bien sûr, si votre tiers change de fournisseur et en ajoute un nouveau afin d'améliorer la prestation de services et d'offrir un service plus structuré, par exemple, ou parce qu'un incident a affecté l'un de ses fournisseurs en aval de la chaîne et qu'il souhaite déménager et changer de fournisseur. Si cela vous affecte directement ou indirectement, il est évidemment essentiel que l'organisation en soit informée et dispose du temps nécessaire pour examiner la situation, engager le tiers afin de comprendre le risque et la complexité, et bien sûr le contester. En particulier s'il s'agit de quelque chose qui va avoir un impact important sur les systèmes d'information, les solutions ou les actifs informationnels utilisés par le tiers. À ce stade, nous procédons donc à un examen rapide. Nous avons examiné de manière générale comment la norme ISMS ISO 27001 peut être utilisée pour aider à identifier les risques liés aux tiers et à appliquer et identifier les contrôles appropriés grâce à elle. Un processus de gestion des risques clairement défini, l'utilisation des contrôles de l'annexe 114, puis, bien sûr, les processus que vous devez mettre en place pour saisir ces exigences en matière de sécurité de l'information d'un point de vue contractuel, puis le processus de surveillance continue, d'examen continu, de gestion et d'examen des changements et de prise de conscience de la chaîne d'approvisionnement au sens large. Que devons-nous faire maintenant ? Si vous venez de vous lancer dans ce processus, la première étape consiste à identifier vos tiers.

Thomas: Commencez à identifier, analyser et même profiler vos tiers en fonction de leur importance pour l'entreprise, du type d'informations qu'ils utilisent, auxquelles ils ont accès ou auxquelles on leur donne accès. Commencez donc à adopter une notation pour les tiers en fonction de leur importance. Ainsi, haut, moyen, bas, rouge, orange, vert, niveau 1, niveau 2, niveau 3, selon le cas. Cela peut vous aider à structurer vos tiers et à déterminer ceux qui sont les plus importants et ceux qui sont essentiels à la fourniture de nos produits et services finaux ou à notre client final. Et ceux-ci sont essentiels pour nous, mais ne nous préoccupent pas trop du point de vue des risques. Ensuite, il faut évidemment établir le profil des tiers pour aider à atteindre cet objectif et à identifier la catégorie. Donc, le type de service fourni, le type de données traitées, l'emplacement géographique, tout ce qui peut suffire à vous donner une idée de ce que fait ce tiers et des fournisseurs et quatrièmes parties avec lesquels il travaille. Et bien sûr, une fois que nous avons cela en poche, nous pouvons commencer à développer ce processus d'évaluation des risques. Donc, comme je l'ai dit, la force de la norme 27001 réside dans son approche clairement définie des risques. Pour identifier et gérer les risques, il faut donc commencer par identifier l'accès ou le soutien de ces tiers à vos actifs informationnels. Quels sont les actifs informationnels dont vous disposez en tant qu'entreprise et lesquels sont utilisés, gérés et soutenus par des tiers ? Identifier le calcul du risque, c'est-à-dire l'impact sur la probabilité plus la CIA, la confidentialité, l'intégrité et la disponibilité. Il s'agit de la confidentialité des informations, de l'intégrité des informations et de la disponibilité des informations. Il faut donc réfléchir au risque de perte de la CIA ou au moment où l'on envisage de créer et de calculer votre risque, euh, votre cadre de risque. Et enfin, identifier une méthode d'enregistrement du risque. Enregistrez-vous les risques à l'aide de feuilles de calcul, de plateformes, ou d'une combinaison des deux ? Quelle approche adoptez-vous ? Cela vous permet de rester informé et de mettre à jour et de revoir continuellement vos risques. Troisièmement, il faut bien sûr procéder à l'évaluation des risques liés aux tiers.

Thomas: Il s'agit donc d'identifier l'accès de tiers aux actifs, d'identifier les menaces et les capacités. Donc, tout d'abord, les risques liés à la cybersécurité, les risques liés à la continuité des activités, les risques géopolitiques, les risques liés à la confidentialité environnementale, quel que soit le cas. Identifiez les menaces et les vulnérabilités les plus critiques pour l'organisation et la manière dont elles seront affectées par les tiers. Donc, comment vous serez affecté par vos tiers. Évidemment, la probabilité de survenue de ces menaces et vulnérabilités. Puis, identifier et sélectionner ces contrôles. Encore une fois, il est évident que les 27 000 contrôles ne sont pas exhaustifs, mais les 114 contrôles qui incluent l'accès à la sécurité opérationnelle du réseau, etc. constituent une bonne base ou un bon cadre pour commencer à constituer un ensemble de contrôles les plus appropriés et que vous devez appliquer à vos tiers. Enfin, il faut créer et, bien sûr, mettre en œuvre un plan pour faire face aux risques. Il s'agit donc d'élaborer cette politique de sécurité de l'information des tiers, de souligner les facteurs de contrôle, les contrôles de sécurité, les contrôles de confidentialité dans les accords et contrats avec les tiers et d'intégrer les exigences de la chaîne d'approvisionnement le cas échéant. Et enfin, bien sûr, il faut vérifier et agir. Donc, du côté PDCA, la vérification et l'action sur vos tiers. Donc, la surveillance continue, l'examen des performances, la fixation d'objectifs et le SLA. Et l'amélioration continue par l'examen des risques, par l'examen des nouveaux risques, des domaines nouveaux et émergents que vous devez peut-être améliorer, et l'introduction de nouveaux contrôles pour y faire face, évidemment sur la base de l'engagement des tiers en fonction du type d'actifs informationnels qu'ils gèrent pour vous. Je vais m'arrêter là pour l'instant. Je pense que mon collègue Scott va aborder quelques autres sections. À ce stade, je vous redonne la parole, Amanda.

Amanda: Oui. Scottva prendre le relais. Thomas, si tu veux passer quelques diapositives pour voir ici. Scott: Oui, allons-y. Passons directement aux diapositives de la liste de contrôle. Scott: La liste de contrôle serait parfaite. Voilà. C'est tout. C'est tout ce que je voulais partager. Juste une petite remarque pour compléter ce que Thomas a dit au sujet des meilleures pratiques, de la mise en place de votre cadre et de l'harmonisation de vos structures de questionnement. Vous savez, les fonctionnalités de la plateforme Prevalent vous aident à évaluer vos fournisseurs sur la base de ces normes, d'une manière qui harmonise les informations et vous aide à clarifier très rapidement quelles sont les lacunes en matière de contrôle et ce que vous devez faire pour y remédier. À partir de là, pour vous donner une longueur d'avance, nous avons publié un document intitulé « Liste de contrôle ISO et de gestion des risques liés aux tiers ». Il passe en revue les exigences en matière de gestion des risques liés aux tiers et aux fournisseurs qui s'appliquent au SMSI. Euh, puis il définit les capacités spécifiques que vous devez rechercher dans une solution, et vous savez alors comment Prevalent répond à ces exigences. Nous vous fournirons un lien pour que vous puissiez télécharger le document vous-même, mais nous l'avons également mis à votre disposition ici, si vous tapez très vite. C'est un excellent outil qui vous permettra de comparer vos exigences et pratiques ISO existantes avec les meilleures pratiques du point de vue des tiers. C'est la seule publicité que je voulais faire. Je vois que vous avez beaucoup de questions, et elles sont toutes excellentes. Je vais donc m'arrêter là et redonner la parole à l'expert.

Amanda: ce n'est pas moi, mais je vais poser la question. Bon, les amis. Je sais que nous sommes pressés par le temps. Je viens de lancer un sondage. Il est explicite. Je ne vais même pas le lire. Vous le voyez là. Passons tout de suite aux questions-réponses. Je vais aller aussi vite que possible, en commençant par le haut de la liste. Si vous avez posté des questions dans le chat, je suis désolée, je ne peux pas tout parcourir pour l'instant. Il y en a trop. Mais bon, la première question est : pourquoi certains secteurs, comme celui de la santé, ont-ils été plus réceptifs à l'application de la norme 27,01 ? Thomas: C'est une très bonne question. C'est une question que nous essayons de suivre de près. Vous savez, quels secteurs sont plus intéressés que d'autres. Je pense que, compte tenu de certains événements au Royaume-Uni, il y a eu des attaques malveillantes au cours des dernières années qui ont certainement eu un impact sur certains systèmes de santé et certaines organisations de soins de santé, et parfois, c'est tout ce qu'il faut pour que les organismes de réglementation disent qu'il faut commencer à mettre en œuvre la norme 27 000, étant donné son caractère mondial et sa reconnaissance en tant que norme de bonnes pratiques. Parfois, c'est tout ce qu'il faut pour que les organismes de réglementation disent qu'il faut commencer à mettre en œuvre la norme 27 000, étant donné son caractère mondial et sa reconnaissance en tant que norme de bonnes pratiques.il suffit que les organismes de réglementation disent qu'il faut commencer à mettre en œuvre une plateforme 27 000, étant donné son caractère mondial et sa reconnaissance en tant que norme de bonnes pratiques, parfois c'est tout ce qu'il faut pour faire avancer les choses. En général, lorsqu'un secteur l'adopte, cela vient soit de la pression des leaders du secteur, soit des régulateurs. C'est là que nous en trouvons le plus. Il y a toujours quelques surprises. Je pense avoir mentionné le secteur de la construction. Je crois qu'il ne compte actuellement qu'une trentaine de certifications, tandis que certaines industries manufacturières en comptent entre 300 et 400, ce qui est évidemment plus élevé à l'échelle mondiale.

Amanda: D'accord, parfait. La question suivante est : les 114 contrôles sont-ils classés par ordre d'importance ? Thomas: Non, ce n'est pas le cas. Le concept est le suivant : ces 114 contrôles couvrent un large éventail de sujets et de thèmes. J'ai mentionné le contrôle d'accès et le développement de systèmes, mais non, ils ne sont pas classés par ordre de priorité dans ce sens. L'objectif est donc, lorsqu'une organisation procède à une évaluation des risques à l'aide de la norme 2701, une fois que vous connaissez les risques, et en particulier une fois que vous connaissez les risques pour la confidentialité, l'intégrité et la disponibilité des informations. La théorie veut donc qu'une fois que vous savez, par exemple, que le risque est le plus élevé en cas de perte de confidentialité des données. Par exemple, vous pouvez alors déterminer, à l'aide des 140 contrôles, quels sont les meilleurs contrôles à appliquer pour réduire le risque de perte de confidentialité des données. Mais non, ils ne sont certainement pas prioritaires. Cela dépend beaucoup du type d'entreprise, du secteur dans lequel vous travaillez et, bien sûr, de la taille et de la complexité de l'entreprise.

Amanda: D'accord, la question suivante est la suivante : si un risque est déjà atténué par un contrôle, que faites-vous ? Ne l'incluez-vous pas dans l'évaluation des risques ou le classez-vous comme un risque résiduel faible, ou n'est-ce pas un risque dès le départ ? Thomas: Pouvez-vous répéter la question , Amanda? Amanda: Si un risque est déjà atténué par un contrôle, que faites-vous ? Donc, Thomas: le risque est déjà atténué. Donc, si vous avez identifié un risque et que vous savez qu'il existe des mesures d'atténuation, qu'il existe des politiques de contrôle, des procédures, quelle que soit la formation mise en place, qui ont contribué à réduire le risque à un point tel que vous pouvez affirmer en toute sécurité que nous l'avons atténué. Il pourrait être assez simple de simplement maintenir la visibilité de ce risque, mais vous n'aurez peut-être pas besoin de prendre d'autres mesures. Vous devrez peut-être vous en occuper et y revenir, bien sûr, si quelque chose change et justifie que le risque puisse alors augmenter. Ainsi, par exemple, si les contrôles initiaux qui ont été appliqués lorsque vous pensiez avoir atténué ce risque ont changé, s'ils ont été réduits ou si le risque lui-même s'est accru en raison de nouvelles menaces émergentes. C'est pourquoi il est si important de procéder à un examen continu des risques afin de s'assurer que les risques que vous avez initialement identifiés et, espérons-le, atténués ou traités, le sont toujours. Et si ce n'est pas le cas et s'ils ont augmenté, nous pouvons alors les réexaminer et déterminer quelles mesures de contrôle supplémentaires ou quelles actions supplémentaires nous pouvons ou devons prendre pour ramener ce risque à un niveau acceptable pour notre entreprise. Je vais donc répondre au hasard pour tout le monde. Une autre question est la suivante : existe-t-il des exemples de clauses d'audit que l'on peut intégrer dans un accord ? Un fournisseur de services cloud serait-il pénalisé ?

Thomas: Euh, les fournisseurs de services cloud seront pénalisés, euh... C'est intéressant. Euh, ils seront pénalisés. Je veux dire, tout cela revient en partie, je suppose, à l'aspect juridique des contrats. C'est un domaine intéressant que nous rencontrons souvent lorsque nous parlons de certaines de ces très grandes multinationales, par exemple lorsque nous leur disons que nous aimerions les auditer et que la réponse typique pourrait être « non, nous n'acceptons pas les audits ». Je suppose que c'est en partie parce que s'ils en autorisaient un, ils autoriseraient potentiellement tout le monde à effectuer un audit. Et ce que nous voyons généralement, c'est qu'ils disent : « Cependant, nous sommes multi-certifiés. Nous avons 27 0001. Nous avons 22 certifications pour la continuité des activités. Nous avons des évaluations SOCK et nous pouvons vous fournir un grand nombre de ces certifications que nous avons dans tous nos centres de données, par exemple, ou dans nos infrastructures critiques. Si vous ne pouvez pas appliquer le droit, il existe évidemment d'autres méthodes, il devrait y avoir d'autres moyens de vérifier les contrôles de sécurité qui sont en place, en particulier dans certaines de ces organisations qui disent être certifiées 27 000,000, par exemple, nous sommes certifiés Sock, nous avons la certification 22301 pour la continuité des activités, il y a d'autres informations que vous pouvez trouver pour vous rassurer sur le fait qu'ils ont mis en place des capacités de contrôle suffisantes, et cela peut être suffisant, mais oui, le droit à cela peut être parfois un sujet controversé, mais si vous avez la possibilité de le mettre en place pour dire, sur la base de notre accord avec vous, en fonction du niveau de service que vous fournissez, euh, nous aimerions demander, euh, vous savez, nous exigeons une évaluation, euh, de vos contrôles que nous avons convenu que vous appliquerez comme convenu, et ce qui est intéressant ici, c'est que cela ne signifie pas nécessairement un audit physique sur place, comme vous le souhaiteriez avec un auditeur ISO venant sur place, mais de nos jours, cela pourrait être, euh, un examen à distance. Euh, cela pourrait être un autre examen qui serait considéré comme un audit.

Amanda: Oui. Eh bien, merci beaucoup, Thomas. Malheureusement, c'est tout le temps dont nous disposons. Nous avons déjà dépassé de quelques minutes, mais si vous n'avez pas obtenu de réponse à votre question, n'hésitez pas à nous contacter à l'adresse [email protected]. Nous veillerons à y répondre, mais nous apprécions vraiment le temps que vous nous avez consacré et remercions ceux qui sont restés un peu plus longtemps. Il y avait tellement de questions. J'aurais aimé que nous ayons plus de temps, mais pour ceux qui souhaitent connaître les réponses, n'hésitez pas à nous contacter et nous y répondrons. Merci également à Scott. Thomas, c'est toujours un plaisir de vous voir et j'espère vous revoir tous lors de la prochaine session. Merci à tous pour votre temps aujourd'hui. Au revoir.

Thomas: Merci.