Utiliser ISO 27001 pour créer des indicateurs de performance et des indicateurs clés de risque (KPI et KRI) exploitables dans le cadre du TPRM

Ash : Bon, donnons à tout le monde une minute pour s'installer avec leurs boissons et leurs collations. Et pendant ce temps, je vais lancer notre premier sondage. Nous sommes simplement curieux de savoir ce qui vous amène au webinaire d'aujourd'hui. Est-ce pour des raisons éducatives ? En êtes-vous aux prémices de votre parcours TPRM ? Aimez-vous entendre l'accent britannique ? Quoi qu'il en soit, je ne porte aucun jugement. Je les adore aussi. Cela étant dit, passons aux présentations. Je m'appelle Ash. Je travaille dans le développement commercial chez Prevalent et nous sommes rejoints par des invités très spéciaux. Tout d'abord, notre chef de projet Thomas Humphre. Comment ça va, Thomas ?

Thomas : Oui. Bien. Tout va bien ici.

Ash : Euh, notre ingénieure en solutions, Sophie Apothecary. Comment ça va, Sophie ?

Sophie : Je vais très bien, merci Ashby. J'espère que toi aussi.

Ash : Merci. Et enfin, mais certainement pas des moindres à mes yeux, notre vice-président du marketing produit, Scott Lang. Comment ça va, Scott ?

Scott : Super, Ashley. J'espère que tout le monde va bien aujourd'hui.

Ash : Je vous rappelle rapidement que ce webinaire est enregistré et que nous vous enverrons une copie ainsi que les diapositives de la présentation peu après le webinaire. Euh, je vous ai tous mis en sourdine, mais j'adore les questions. Sophie adore les questions. Thomas adore les questions. Alors, s'il vous plaît, s'il vous plaît, s'il vous plaît, postez-les dans la boîte de questions-réponses et ils y répondront à la fin du webinaire. Euh, aujourd'hui, Thomas et Sophie discuteront de la manière d'utiliser le cadre ISO pour mesurer votre TPR et le succès de votre programme. Nous. Je vais donc vous passer la parole.

Thomas : Fantastique. Merci beaucoup, Ashley. Et oui, bonjour, bon après-midi, bonsoir, euh, mesdames et messieurs. Euh, je m'appelle Thomas Humphre et je vous souhaite la bienvenue à ce webinaire où nous nous concentrerons sur la norme ISO 27,01. Elle est liée à la TPRM et met particulièrement l'accent sur la manière dont nous pouvons définir les contrôles et les exigences lorsque nous examinons les KPI, les KIS et d'autres mesures afin de garantir un résultat positif. Je suis accompagné de Sophie. Sophie, si vous voulez bien vous présenter.

Sophie : Oui, merci beaucoup, Thomas. Je suis ravie d'être ici aujourd'hui. Bonjour, bon après-midi et bonsoir. Je suis ingénieure solutions chez Prevalent, où je travaille en étroite collaboration avec Thomas et l'ensemble de l'équipe afin de développer davantage les programmes TPRM et d'assurer leur succès dans le cadre de la norme ISO 27001 et d'autres normes. Merci, Thomas.

Thomas: Thank you very much. And myself to someies. I’ve been with PEN for 5 years. Um I was previously an ISO auditor for the best part of 10 years working across many standards not least around 27,01 um on a local and uh global level um both in in certification bodies in the UK and in Singapore. Um just a very brief bit of housekeeping. Um as Ashley’s mentioned uh as usual um with these webinars we like to save some time at at the end for for a Q&A, but obviously throughout um today where where appropriate, we’ll answer some questions as well. So, any questions that come to mind, please um uh post them into the there should be a Q&A uh chat box or or window. Um and then as as as we go through um we’ll try and answer as many as we can. So, let’s kick off looking at what we’re going to be covering today. I’ll give an overview of 27,01, paying particular attention to to some of the newer elements um since the standard was re-released for looking at how we can map standard TPRM practices um across to 27,000 and an information security management system. I’ll take a look at some of the key controls and how we can derive and identify key controls particularly if if you’re just starting out on that journey um of using 27 for the first time. I’ll then touch on um performance and risk indicators and what that can look like for your TPRM journey as well as um uh around the 27,000 standard itself. Uh before finishing with some next steps and where we can we can go from here and where how how you can take some of this and some of this information forward um when you’re either beginning your journey or if you’re already partly through um or or ongoing on a on a TPM process. So started an introduction to ISO 27. So for anyone who’s who’s unfamiliar um Um 27 is ISO’s principal standard on information security. It’s one of their older standards and also it’s most widely adopted standards. Um the the overall structure and approach of 27,0001 is to is to provide a a a framework a structured framework for an organization to identify and set some governance in place in terms of identifying risk in in terms of information security. risk and then managing that risk through a series of activities, controls, policies and processes as well. So, it’s built around a very strong core of of governance in terms of how you manage um the life cycle of information security management as well as risk and good uh risk practices and risk best practices as well. Um as say it’s internationally recognized, it’s one of the most widely adopted frameworks um and uh not too dissimilar to many of the other ISO standards. Uh one of the reasons it’s it’s so widely adopted is its universal approach. So regardless of size and complexity of organizations, regardless of industries, sectors and even geographies, um there there’s always a use case to be had for how you can build best practice around 27,000 whether it’s from a certification standpoint or purely using the standard to drive that best practice um and understanding of of a good security posture. Uh just briefly to note that there are um many other standards. We’ll be briefly touching on 27,0002 because there’s a close relationship between 27,0001 which is the certifiable standard and 27,0002 which provides those implementation guidelines on how we can apply and develop and build upon those security controls and what those controls look like um uh in practice. Um it’s always important to note that um although we’re focusing on 27,01 and2 Specifically um as is common with ISO they build what they call a family of wider standards which can sometimes be used to address sector or technology specific applications on how trend 70001 could be best used. So for example how it can be used for cloud environment and cloud provider or how secure how trend 70001 could be applied say in the healthcare sector or in the legal sector for example and so there’s quite a wider uh variety um of of of uh frameworks out there but nevertheless we’ll be dealing um very much with uh 2701 and two. So a very brief background so in 2022 uh the standard was re-released um roughly every 5 years ISO make the decision to formally review all their standards and the decision was made um that 20 uh 27,0001 was needed to be updated um and they seek to make uh updates based on new and emerging technologies where there are changes in um uh the way standards are used, the way standards are are are managed as well. And two of the biggest um outputs of this was a restructuring of the clauses. Um so for those who are perhaps less familiar, 27,000 split across two two main sections. One is the governance leadership management section of of what they call ISMS and then the second part is what they used to call annexa which is where all the technical controls organizational controls um are identified and the selection of which controls to meet the organization’s um use case and business cases. So there’s a restructuring of these clauses and they split them across what they’re called four control areas organizational people physical and technological based controls. So from an organizational con uh perspective areas in terms of uh access business continuity um uh and uh incident management and response, people in terms of background checks, uh personnel training um and on boarding. Obviously, physical controls in terms of physical protection of information systems um and then technological controls um particularly around from a data security perspective. So backup and encryption um addressing malware, addressing vulnerability and threat management. Secondly, and perhaps more interesting uh it developed these three areas it calls operational capability control types and cyber security con concepts and these are areas that I think are quite relevant particularly with regards to some of the areas we’re covering today around identifying key controls and identifying or how we can how we can use the standard from a a KPI ki perspective but broadly speaking these have been identified and are are useful in helping an organization plan for and implement the controls to address the security risks that they’ve identified through the riskmanagement process. Um, and these are attributes uh that have been developed throughout um the framework and are are are developed in more depth around 27,0002. But as we’ll see as we go along um later today um they can provide some useful indicators of trending and trend analysis and where critical controls can be identified and derived as well.

Sophie : Et Thomas, c'est vraiment intéressant en termes de restructuration. Diriez-vous que cette répartition entre quatre domaines de contrôle, par opposition à deux, rend cette approche plus applicable à certaines de ces organisations ? Vous avez dit que cette approche était largement adoptée. Est-ce que cela facilite l'adhésion d'une organisation à ces normes, maintenant que la répartition s'effectue entre plusieurs domaines de contrôle ?

Thomas : Euh, cela peut se faire de plusieurs façons. Oui. Je veux dire, comme je l'ai dit, euh, oui, euh, vous savez, que vous soyez une grande société de logiciels, une petite agence de publicité, une entreprise du secteur manufacturier ou d'un secteur complètement différent. Euh, le fait qu'il y ait maintenant une restructuration, il est important de noter qu'environ 90 à 95 % des contrôles sont toujours issus de l'ancien cadre de 27 000. Mais oui, le fait qu'ils aient été réorganisés, notamment grâce à l'utilisation de capacités opérationnelles telles que celles-ci, peut aider les entreprises à déterminer ce qui est important pour elles. Et lorsque nous réfléchissons aux risques que vous avez identifiés, comment pouvons-nous déterminer l'ensemble de contrôles le plus approprié, que ce soit du point de vue de la gouvernance organisationnelle ou du point de vue technique, par exemple.

Sophie : Oui, tout à fait. Merci.

Thomas : Je voudrais juste aborder cette section. Euh, cela a légèrement augmenté, en particulier par rapport à 27 0002. Il y a toujours eu un cas dans les versions précédentes de la norme 27,01, et cela vaut également pour les normes d'origine concernant la gestion des tiers, des fournisseurs et de la chaîne d'approvisionnement. Il convient de noter que, même aujourd'hui, cette norme impose les mêmes exigences en matière de gestion de la sécurité de l'information tout au long de la chaîne d'approvisionnement, qu'il s'agisse de la manière dont nous identifions les risques liés à la sécurité de l'information chez nos tiers. La manière dont nous traitons ces risques de sécurité par l'application de contrôles, notamment en termes d'accords et de contrats avec les fournisseurs, et ce que nous voulons saisir en termes de ce que nos tiers nous fournissent. En pensant à la chaîne d'approvisionnement au sens large. Donc, lorsqu'il y a, disons, un quatrième, un cinquième ou même plus loin dans la chaîne d'approvisionnement, et qu'il y a une série d'organisations, il est important pour nous de réfléchir à la manière dont, par exemple, nos accords avec des tiers nous permettent d'appliquer ou, au moins, de nous renseigner sur les contrôles de sécurité pertinents. Et puis, bien sûr, il y a le suivi, l'examen et la gestion du changement lorsqu'il y a des changements dans les activités et les services des fournisseurs, le suivi des performances par le biais d'évaluations, d'audits, d'audits sur site et à distance, etc. Ce qui est assez intéressant ici, et l'un des changements lorsque l'on examine en particulier les points 1 et 2, c'est l'élargissement de la description à travers 27 0002, qui n'est pas très différent d'autres normes telles que NIST 800161 pour ceux qui connaissent ce cadre. Le cadre de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement aborde donc de manière plus large la manière dont vous gérez votre chaîne d'approvisionnement et votre base de tiers. Cela va de l'identification des tiers jusqu'aux accords de sortie et à l'établissement d'accords et de contrats avec les fournisseurs. Et cela peut être assez important, en particulier lorsque l'on examine certaines de ces capacités opérationnelles, certains types de contrôle et certains concepts de cybersécurité, car lorsque nous réfléchissons à la manière dont nous pouvons appliquer la norme 27 0001 lorsque nous établissons ces relations avec des tiers et ce modèle de cycle de vie des tiers. Cela nous pousse à réfléchir à la manière dont nous pouvons passer des risques que nous avons identifiés à ce que nous devons prendre en compte du point de vue des accords, qu'il s'agisse de la notification des violations de données, de la réponse instantanée et de la continuité, ou d'applications plus techniques autour du contrôle d'accès, par exemple en fonction de la manière dont les tiers peuvent traiter et accéder aux données ou aux informations ou aux systèmes connexes. Cela reste très similaire à la version précédente. Mais l'accent est beaucoup plus mis sur l'application de la chaîne d'approvisionnement, et cela s'est étendu à de nouveaux contrôles concernant les services cloud, étant donné que le cloud est de plus en plus courant dans de nombreuses organisations et entités. Thomas, juste une petite question rapide alors que nous passons à cette diapositive, qui touche à une question dans la section Q&A qui, je pense, est tout à fait pertinente par rapport à ce dont vous venez de parler.

Sophie : C'est plus important dans le cloud et nous avons davantage de télétravailleurs. Nous avons beaucoup plus de contrôle en termes d'exigences de contrôle en matière de gestion des accès. L'une des questions qui a été soulevée est la suivante : dans quelle mesure les contrôles physiques sont-ils applicables à l'ère du télétravail ? Quel est le degré de contrôle réel d'une organisation lorsque ses employés travaillent à distance? C'est

Thomas : Très bonne question, très pertinente, et oui, vous avez tout à fait raison. Il faut considérer les deux ou trois dernières années en termes d'explosion du télétravail, au point que certaines entreprises débattent encore de la pertinence d'un espace de bureau physique. Ce qui est intéressant dans la nouvelle norme, c'est qu'elle a élargi certains termes et cas d'utilisation, par exemple ceux relatifs aux appareils des utilisateurs finaux et à la gestion de ces appareils. Il s'agit d'une réflexion plus large sur l'utilisation de contrôles pour protéger les actifs de l'organisation, mais aussi les appareils BYOD (Bring Your Own Device) et le concept de télétravail et de travail à domicile. Il est toujours important de noter que, en particulier avec les normes ISO, elles n'en arriveront jamais à un stade où elles mentionnent spécifiquement des technologies ou des applications, car elles sont universelles, indépendamment, disons, de la géographie, du pays et du secteur d'activité. Mais il existe une acceptation plus large dans le cadre de la gestion du personnel et de la gestion des appareils mobiles, en particulier, comme vous le dites, étant donné qu'il y a beaucoup plus de travail à distance et que nous avons également nos propres systèmes et actifs. Il existe toujours une sécurité physique dans l'évaluation qui touche à certains domaines communs. Comment protégez-vous les actifs sensibles ? Comment protégez-vous les zones de travail sensibles ? Je pense que ce qui est plus pertinent ici, c'est de savoir comment vous pouvez reprendre certains de ces contrôles existants et les appliquer à un environnement domestique. Donc, même si traditionnellement, on parle des salles de serveurs dans un espace de bureau, cela ne s'applique évidemment pas si vous travaillez à domicile. Il s'agit donc de voir comment nous pouvons appliquer les mêmes concepts à une solution de travail à domicile. Existe-t-il des contrôles que les organisations peuvent demander à leurs employés de mettre en place pour sécuriser leurs actifs ? Travaillent-ils dans des zones qui peuvent être exposées au regard du public ? Travaillent-ils dans des zones dont les portes sont verrouillées, dans des zones fermées à clé ? Et qu'en est-il des aspects technologiques des ordinateurs portables, des téléphones et des tablettes qu'ils utilisent pour travailler ?

Sophie : Oui.

Thomas : D'accord.

Sophie : Merci.

Thomas : Hum, passons maintenant à la mise en correspondance de ces pratiques TPR avec un SMSI. Je pense que, d'une manière assez générale, nous avons plusieurs domaines à prendre en considération. Hum, hum, donc, évidemment, en partant du haut, comment identifier nos tiers ? Comment les identifier à partir d'un profilage et d'une hiérarchisation ? Comment les classer en catégories pertinentes selon leur niveau de criticité (élevé, moyen, faible) ou leur niveau (1, 2, 3) et comprendre quels sont les risques lorsque nous traitons avec nos tiers ? C'est là que les différents aspects de la norme 27 000 entrent en jeu. Nous pouvons donc voir les clauses 5.1, 6.1, 6.2 et 6.3, qui constituent ce que l'ISO considère comme la structure de haut niveau de son SMSI. Ces domaines concernent principalement la direction d'une organisation, la planification et l'identification des rôles et responsabilités en matière de ressources et d'allocation des ressources, ainsi qu'une approche très bien définie du risque en termes d'identification, d'évaluation, de documentation, de propriété et de traitement du risque. En plus de cela, la clause 5.19, qui est l'un des contrôles de sécurité dont nous avons brièvement parlé plus tôt, la sécurité de l'information et la relation d'approvisionnement combinées, ces domaines peuvent aider à déterminer comment identifier ce que font nos tiers. Disposons-nous des ressources nécessaires au sein de l'organisation pour aider à collaborer avec des tiers et commencer à identifier le niveau de service qu'ils nous fournissent ? Mais ensuite, il s'agit d'appliquer cette- 27,0001, l'interprétation de la gestion des risques pour commencer à réfléchir à la question suivante : si nous savons déjà ce que les tiers nous fournissent en termes de produits et de services, de niveau de données sensibles sur les systèmes d'information, pouvons-nous commencer à déterminer, à partir des clauses 61, 612 et 613, le niveau d'impact d'une perte de confidentialité, d'intégrité et de disponibilité, de sorte qu'une perte dans ces domaines d'information pourrait nous concerner ou nous causer des dommages. Il y a donc un mélange d'exigences structurelles de haut niveau et, disons, de contrôles annexes qui peuvent déjà aider à commencer à cartographier ces activités d'identification des tiers et à comprendre quel est notre risque.

Thomas : Ensuite, nous réfléchissons à la manière dont vous abordez la sécurité dans ces accords avec des tiers, en prêtant à nouveau attention à la chaîne d'approvisionnement et, encore une fois, les points 519 20 et 21, comme nous l'avons vu dans la diapositive précédente, sont tous axés sur ces considérations dans les accords avec les fournisseurs. Le point 27,02 est très utile, car il commence déjà à offrir des suggestions sur les domaines à prendre en compte. Devons-nous donc réfléchir à la gestion des données, à la notification des violations de données ? Devons-nous réfléchir au contrôle instantané et à la continuité des activités ? Devons-nous réfléchir aux domaines liés à l'accès et à l'utilisation acceptable des actifs, par exemple, ainsi qu'à la sécurité physique, le cas échéant ? Une fois encore, grâce à ces trois contrôles techniques, nous pouvons déjà commencer à nous faire une idée de ce que nous devrions examiner lorsque nous élaborons un accord ou un contrat avec un tiers. Nous en sommes ensuite arrivés au stade où nous avons classé les tiers en plusieurs niveaux. Nous connaissons le type de risques sur lesquels nous devons nous concentrer ou qui préoccupent l'entreprise ou le secteur. Je pense à une approche plus large du secteur en ce qui concerne les tiers et les risques liés aux tiers. Ils doivent réfléchir à la manière dont nous allons désormais évaluer ces tiers. C'est là que ces contrôles annexes, qu'ils soient organisationnels ou techniques, peuvent entrer en jeu. Que ce soit de manière globale ou seulement pour un sous-ensemble de contrôles basés sur ces risques, en fonction des accords avec les tiers et de nos objectifs. Vous pouvez donc prendre la norme 27001, que vous soyez certifié ou que vous l'utilisiez simplement comme cadre de bonnes pratiques, pour ensuite élaborer une évaluation qui vous permettra d'évaluer, d'auditer ou d'examiner vos fournisseurs. Et bien sûr, l'objectif ici est d'utiliser cette approche de gestion des risques pour identifier les contrôles qui sont les plus importants pour nous. Et encore une fois, c'est un domaine que nous aborderons en termes de comment identifier les contrôles clés ? Quels sont peut-être certains des contrôles clés les plus importants que nous devrions envisager de manière générale ou plus spécifiquement si vous vous intéressez plus particulièrement à ce que les tiers nous fournissent.

Thomas : Et enfin, nous sommes arrivés au stade où nous avons identifié nos tiers. Nous avons conclu des accords formels. Nous les avons évalués. Nous procédons à des évaluations semestrielles, trimestrielles et annuelles. La dernière étape consiste à déterminer comment assurer un suivi et un examen continus de ces tiers. Et puis, la section 522 ou le contrôle 522 passe en revue les détails concernant la manière dont nous pouvons et devons surveiller nos tiers et notre chaîne d'approvisionnement au sens large. Nous pouvons donc voir un mélange de contrôles structurels de haut niveau dans 27,01 et de contrôles techniques plus annexes concernant la gestion des tiers et de la chaîne d'approvisionnement ou la gestion des risques liés à la chaîne d'approvisionnement. Je vais aborder brièvement ces trois domaines de manière un peu plus approfondie, en particulier ces nouveaux concepts. Lorsque nous examinons l'aspect leadership de la structure de haut niveau, d'une manière générale, il demande aux organisations de définir des politiques de sécurité, de fixer des objectifs et, en particulier, de veiller à ce que les ressources soient gérées et planifiées et que les rôles soient clairement établis, tant en termes de gestion des activités de sécurité que de reporting à la direction générale, à la haute direction et à toute autre partie intéressée. En utilisant cette approche de gouvernance, dans ce cas, le cours 5.1 de la norme. Et encore une fois, en examinant ce contrôle 519, ces deux éléments combinés peuvent commencer à aider à mettre en place ce processus de chaîne d'approvisionnement et cette étude de cas en termes de la manière dont nous allons surveiller et gérer nos fournisseurs, et réfléchir à la question, même si elle se concentre sur la politique de sécurité, de la politique plus large en matière de risques liés à la chaîne d'approvisionnement et à l'utilisation du noyau 61 pour mettre en place cette gestion des risques, un cycle de vie peut alors aider à établir, euh, euh, euh, vous savez, comment pouvons-nous comprendre et identifier quels sont ces risques liés aux tiers, s'il s'agits'agisse de risques techniques, de risques liés à l'industrie et au secteur, ou d'autres domaines également. Comme mentionné, l'un des points forts de la norme 2701 est le fait qu'elle entre dans les détails concernant la définition des critères de risque et les processus d'identification, d'analyse, d'évaluation et de traitement des risques de sécurité.

Thomas : Euh, en utilisant notamment des approches très connues telles que la probabilité et l'impact pour attribuer un certain niveau de notation et d'évaluation des risques. Euh, mais aussi en réfléchissant en détail à la manière dont nous traitons ces risques et, sur la base de ces notes globales et des risques les plus critiques, à ce que nous voulons atténuer par rapport à ce que nous voulons éviter d'accepter, euh, ou à ce que nous voulons traiter par une autre voie de gestion et de correction des risques. Aborder la sécurité dans les accords avec des tiers. Comme nous l'avons mentionné, le document 27 000 approfondit considérablement les considérations dont nous devons tenir compte en matière d'accords avec des tiers. Une fois les risques identifiés et les tiers et services connus, nous pouvons commencer à réfléchir à ce qui nous préoccupe le plus. Cela peut dépendre de ce que font les tiers, du type de données auxquelles ils ont accès, du niveau de classification ou de sensibilité de ces donnéesutilisent, s'ils détiennent nos propres données ou si nous achetons une sorte de système d'information et d'infrastructure informatique qui pourrait contenir ce type de données sensibles, et si tel est le cas, s'agit-il d'un risque critique pour nous en termes de personnel, en fonction du nombre de personnes et du type de personnes, en particulier s'il y a des sous-traitants ainsi que des employés à temps plein. Y a-t-il des exigences que nous devons prendre en compte et intégrer dans les contrats concernant la sélection et la vérification des antécédents du personnel, le niveau de formation et les types de formation dispensés ? Y a-t-il d'autres menaces plus courantes que nous avons observées au cours des deux ou trois dernières années, telles que les attaques par hameçonnage et par ransomware, et comment les employés peuvent-ils y répondre, par exemple, ainsi que l'utilisation acceptable des données et des informations. En identifiant ces préoccupations majeures, nous pouvons alors commencer à rassembler, sur la base de ces quatre domaines de contrôle (personnel, physique et technologique), ce qui est le plus important pour nous et comment nous pouvons extraire les 90, 93 ou 94 contrôles qui sont capturés dans ces quatre domaines de contrôle.

Thomas : Voulons-nous tout couvrir, ce qui dans certains cas peut être pertinent, en particulier compte tenu de la complexité accrue des organisations et des tiers, peut-être en fonction du tarage et de la nature de ce qu'ils fournissent ? Il peut être véritablement nécessaire d'adopter une vision globale de la sécurité de l'information en tenant compte de ces quatre domaines de contrôle. Cela peut dépendre du niveau de tarage appliqué au tiers ou de la nature de ce qu'il fournit en tant que produit ou service, qui sont des domaines moins critiques. Le contrôle physique, par exemple, basé sur... Si une organisation n'a pas accès à des informations et des données sensibles, devons-nous nous préoccuper des contrôles physiques que cette organisation peut avoir mis en place ? En particulier si elle dispose encore d'un certain espace de bureau ou si elle loue des bureaux, par exemple, quelle est l'importance de ces contrôles physiques pour nous permettre de comprendre la bonne posture de sécurité de cette organisation ? Il se peut que certains contrôles soient toujours obligatoires, compte tenu de la nature de ce que ce tiers nous fournit également. Il faut donc commencer à rassembler les éléments qui composent ces risques. Il faut évaluer le niveau de visibilité de ce que les tiers nous fournissent et le type de services qu'ils fournissent, puis commencer à rassembler les pièces du puzzle. Combien de ces contrôles nous préoccupent réellement et voulons-nous évaluer nos tiers par rapport à ceux-ci ?

Sophie : Thomas, en ce qui concerne l'évaluation des tiers dont vous venez de parler, il est évident que nous pouvons nous appuyer sur vous pour déterminer le niveau et le type d'évaluation, en fonction de la criticité et des types de services, etc. Une question qui a été posée et qui est assez intéressante ici est la suivante : quelle est l'approche de la restructuration ISO en matière de continuité des activités et de reprise après sinistre ? Quels sont les contrôles clés associés à la gestion des risques liés aux tiers (TPRM)?

Thomas : Oui, c'est intéressant, donc la continuité existe toujours dans le cadre et autour des contrôles organisationnels, je crois que j'ai abordé ce sujet plus tard dans les évaluations de notation. Nous allons examiner cela plus en détail. Mais oui, quand on regarde en particulier le point 27.02, on constate une tendance plus marquée à dire qu'en termes d'activités de reprise, il faut qu'il y ait un lien entre, évidemment, les activités des fournisseurs et les services qu'ils fournissent. Mais il faut réfléchir au niveau d'effort de continuité et à la relation que vous entretenez avec votre fournisseur, en particulier en termes d'accords et de mandat pour certains de ces domaines de contrôle. Il y a donc des sujets à prendre en considération, comme les considérations relatives à la sécurité de l'information et à la continuité des activités, l'élaboration de programmes de continuité et de reprise après sinistre, ainsi que le test de ces programmes. Et là encore, c'est le test qui est un peu plus important, car lorsque vous testez, vous ne testez pas seulement de manière isolée, mais vous testez avec vos fournisseurs si nécessaire, vous savez où, quand et pourquoi. Il faut donc faire appel à des fournisseurs essentiels pour s'assurer que, en cas de défaillance de vos systèmes ou de problème, il existe un certain niveau d'interconnexion entre ce que les fournisseurs doivent faire pour vous et ce que vous devez faire pour eux. Cela se traduit donc par deux aspects. D'une part, la gestion de la continuité au sein de votre propre organisation, mais aussi, d'autre part, le fait de demander spécifiquement à vos fournisseurs quels sont leurs efforts de reprise.

Sophie : Oui.

Thomas : Et comment pouvez-vous nous le démontrer également ? Grâce à des programmes de test, à des points de communication clés, par exemple, des rôles et des responsabilités clés. Je veux dire, l'un des domaines intéressants qui, encore une fois, devient de plus en plus courant, c'est... Je l'ai peut-être déjà mentionné tout à l'heure, en ce qui concerne les contrats, il n'y a pas de notification en cas de violation. Le 27e 02 figure en bonne place dans la liste et c'est un bon exemple, car si nous sommes confrontés à ce scénario malheureux où un fournisseur subit une violation de données, avons-nous pris en compte dans l'accord et dans la manière dont nous évaluons notre fournisseur la façon dont il nous répond sur la nature de la violation et ce qu'il a fait pour récupérer et revenir à la normale. Euh, parce que, évidemment, si cela n'est pas prévu dans le contrat et si je manque ce lien, alors, comme nous le savons, le risque peut augmenter considérablement, en particulier lorsque les régulateurs et les forces de l'ordre commencent à s'en mêler.

Sophie : Bien sûr.

Thomas: Finally, monitoring, review, and reevaluate. So, sending out the third party assessment of course is only the beginning. What should we be doing? Um obviously, when the results come back and this is worth touching on these three c these three aspects of operational capabilities, control types and cyber security concepts um for anyone who’s um familiar with NIST particularly um the the cyber security concepts or yeah the concepts will be um uh very familiar because these follow on um uh based on NIST and NIST CSF cyber security framework. So these five areas around identifi identify protect detect respond and recover based controls basically controls that can help organize your cyber security activities. We’re thinking out OC operational capabilities. These are attributes and this is where we find a greater volume um of of of attributes is around operational capability and one of the key purposes here is to help assessors practitioners of the framework when planning and delivering a management system and then control types. So how controls can help modify risks particularly where information security incidents occur uh and these split across preventative, detective and corrective based controls. So that is to say controls that should be in place to help prevent the occurrence of a security incident. Controls that are used to help detect vulnerabilities and weaknesses and when a security incident may occur. And then there’s corrective controls, what what is being put in place and what controls do we need to put in place post incident to to get back to usual. So again, and thinking about some of the um uh uh uh uh controls from a from a continuity perspective. Um and so we can see on the screen three examples. So from an operational capability perspective, let’s look at information protection. And so looking at the 9394 controls set out across the standard, uh there are several that are labeled with this concept of information protection. And we can see a few examples here from protection against malware, classifying information labeling information, protecting records, privacy and protection of of personal information and endpoint devices. And so because this is is is meant to be an aid to help assessor and practitioners where it can be most useful is certainly at that um at that end of the process where we’re receiving risks back from our third parties. Um and let’s say we’re receiving 30 40 50 60 risks back and we’re now at the stage of saying well how do we What do we do with these? What do we man? How do we manage these? We may have our risk scores of critical high, medium, and low or or another similar process. But if we’re already identifying capabilities that are relevant to us, for example, data security, information protection, we can then obviously group risks as well to say, well, how many risks are associated with information protection and protection based controls? Can we start to see some trending here based on the type of controls that third parties um that that we’re receiving from third parties based on their 27,000 to1 assessment or or the way they’ve carried out the assessment. Um in a similar vein um by by categorizing controls based on say preventive, detective or corrective controls and as you can see here corrective controls, instant management planning, instant response, readiness for continuity, disciplinary process where there’s been a breach of of of corporate policy and security policy um and information back up. And again, if we can start to see there’s a larger volume of risks around um um these particular controls, that may help to shape our view of how do we approach these um not necessarily in isolation, but together particularly if you’re seeing there’s there’s there’s a trend between um multiple organizations or third parties um and risks in similar similar areas. And then in terms of cyber security concepts, so controls uh used in identifying um um good practice identifying security requirements for the supplier based uh aspects threat intelligence and engaging with um um um threat intelligence based organizations and how we invent inventory our information and other assets. So it can be used at the tail end in terms of how do we manage and and and bucket our risks if you will. It’s also worth thinking about when we’re looking at identifying key controls as well. If we know that there are capabil that we’re quite concerned about. They’re important to us based on our risks based whether it may be um uh sort of threat and vulnerability management or data security or the protection of information um or other areas. This can then help make it easier to say which controls are important to us and thinking about those 94 um which ones uh can we already do we already know uh are applicable to these type of third parties. And this can then make it so much easier when we’re starting to plan Do we need to give all 94 controls to this third party, this tier one or tier 2 organization, or can we give a subset based on capabilities important to us as a business and based on some of the security concepts um that maybe over time we’re seeing are more of a concern. Um if we feel for example that there are third parties we’re concerned more about the recovery and recovery efforts, let’s look at those controls under the banner of recovery and recover in terms of cyber concepts and perhaps we can use them as focused assessments and focused audits when engaging with our third parties. So it gives a lot more capability and really opens up the framework um um to give a lot more thought around which are the controls that are right for us at this time and then when risks occur and when risks are apparent to us through the assessment and assessment results. Uh how can we categorize these um and I say are there any trends um that are coming up that perhaps for a lot of have not been aware of um that are new to us that we can pay attention to particularly when engaging with the third parties or at least explaining from an executive and top management perspective as well. So impactful key controls. So as indicated with 94 controls there are many controls that will see multiple risk scenarios and considerations for risk treatment. Um and so thinking about those um uh uh uh uh cyber security concepts, if we can start to align the risks to controls that will help protect those assets, detect threats and vulnerabilities or provide a level of response and recovery. All this can help determine what for us is key particular when we’re looking at um how we monitor and analyze um the effectiveness of control requirements. Now generally speaking um as as as stated from the beginning. You know, this is a standard that’s open to any organization in the world regardless of industry and sector. So, it can be sometimes can be quite difficult to work out are there always controls that any organization regardless of size and complexity will will will need to adhere to or are recommended. Um, in general, yes, there always can be some controls that we find um almost all organizations or 99% of organizations should have in their back pocket. So, whether it’s areas concerning good access management and access controls. Um anything to do with managing a critical information system or critical data. Naturally, you want to be concerned about are they good practices in how they manage privileged access rights and access reviews and assigning and revoking access. Data backup and data recovery. Again, anything to do with proprietary information, intellectual property, personal information, uh having clear processes to to back up and recover. Um should the un unfortunate happen. Um again, these are also controls um that we’d find most companies um will be dealing with. And of course, we’ve briefly touched on it today around continuity as well. Um regardless of whether you are um a oneperson band, a mom and pop shop um um or whether you’re a a 10,000 employee multinational organization, there will always be a need to having a level of continuity um of covery and incident response as well. Obviously, will look very different depending on the type of organization but gives you a idea that there will always be some controls um in in standards like 27,01 that we can apply across the board.

Thomas : Cela dit, il est tout de même important de reconnaître que, euh, cela dépend en grande partie de la manière dont nous développons et comprenons nos risques, euh, et les risques liés à nos tiers et à nos fournisseurs, euh, et de la compréhension, notamment à travers ces capacités opérationnelles, par exemple, de ce qui est le plus important pour nous. Et évidemment, plus nous pouvons être rigoureux et approfondir nos activités de gestion des risques, plus nous pouvons déterminer ce qui nous préoccupe vraiment, ce qui nous empêche de dormir la nuit, nous aidera vraiment à commencer à renforcer les contrôles sur lesquels nous devons nous concentrer, que ce soit à court terme au cours des 12 prochains mois ou à long terme, car nous savons qu'il s'agit de risques à long terme et de risques qui ne disparaîtront peut-être jamais, plutôt que de risques qui sont peut-être plus réactionnaires. D'accord, donc en termes de contrôles clés les plus efficaces, les contrôles clés à prendre en compte en termes de... nos tiers appliquent-ils les meilleures pratiques... c'est une arme à double tranchant, il y en a certains, mais cela dépend beaucoup de ce que les tiers font pour vous. Hum, mais comme je le dis, les domaines généraux autour de... hum... hum... la gestion des accès, le contrôle des accès, la sauvegarde des données, la sécurité des données, la continuité et la réponse aux incidents et la reprise... hum... et bien sûr la chaîne d'approvisionnement également. Donc, ces quatre contrôles que vous avez couverts de 519 à 5... hum... 20 à 22 autour de... hum... la gestion de la chaîne d'approvisionnement et la sécurité de la chaîne d'approvisionnement. Hum, je recommanderais toujours de commencer par ces contrôles, en particulier ceux qui concernent la chaîne d'approvisionnement. Cela permet de bien comprendre ce que nous demandons aux tiers de faire pour nous. Hum, vous savez, ce que nous attendons d'eux et ce qu'ils doivent nous démontrer pour prouver qu'ils ont mis en place de bonnes pratiques en fonction des produits et services qu'ils fournissent.

Scott : Euh, vas-y.

Thomas : Je pense que cela est pertinent et je sais que vous examinez ce type de contrôles clés. Je suppose que cela s'applique en fonction de ce qui est considéré comme critique selon le service, mais je pense que beaucoup de nos auditeurs présents aujourd'hui seront probablement d'accord avec cela en ce qui concerne certaines des plus grandes organisations telles que Google, Microsoft, AWS, qui disposent généralement de preuves de leur état de préparation pour étayer ces cartographies et ce suivi des contrôles clés. Peut-on s'attendre à ce que ces grands fournisseurs fournissent des preuves de leur état de préparation afin que chacun de leurs clients n'ait pas à effectuer des tests en continu ? Ou bien s'agit-il d'une norme qui ne s'adresse pas nécessairement à certaines de ces organisations spécifiques et qui doit être adoptée par toutes les organisations ?

Thomas : Euh, tout d'abord, euh, c'est une norme que tout le monde peut adopter. Il est intéressant de noter que lorsque l'on examine des domaines tels que, euh, prenons l'exemple d'Amazon et de Microsoft, euh, en particulier en ce qui concerne leurs centres de données et leurs opérations dans le cloud. Euh, Microsoft en particulier est un bon exemple, euh, vous savez , ils ont obtenu plusieurs certifications ISO depuis des années et je crois que Microsoft fait même partie de certains comités chargés d'élaborer les cadres de référence. Il y a donc une grande reconnaissance de la part de ces très grandes organisations quant à l'importance de ces normes, et vous avez tout à fait raison, car ces entreprises ont souvent quatre, cinq, six cadres ISO, elles ont des évaluations Sock 2, elles ont des PCIDSS, elles peuvent avoir d'autres cadres différents en fonction de la nature de leurs activités, et il est donc très courant qu'elles poussent à la mise en place de normes. évaluations SOC 2, elles ont le PCIDSS, elles peuvent avoir d'autres cadres différents en fonction de la nature des activités de l'organisation, et il est donc très courant pour elles de mettre en avant leur ensemble de mesures de cybersécurité et de confidentialité des données par défaut. Je pense que l'une des raisons pour lesquelles c'est très courant est qu'elles ont de toute façon tellement d'audits à l'échelle mondiale, par le biais des régulateurs, des clients, d'autres agences, etc., que répondre à chaque entreprise individuellement reviendrait à dire « non, nous ne pouvons pas le faire ». C'est donc une pratique courante. Il y a certaines choses que vous pouvez toujours faire pour vous assurer qu'elles appliquent de toute façon de bonnes pratiques. Le fait d'avoir une visibilité sur les certifications les plus récentes est certainement un gage de sécurité. Je pense que la difficulté avec les certifications et les normes réside parfois dans le fait que vous pouvez recevoir une copie d'un certificat ISO, par exemple, ou d'autres certificats, qui vous indiquent les lieux et la portée de ce qui est appliqué. Vous pouvez donc être rassuré en sachant que s'ils ont été certifiés par un organisme indépendant, il y aura toujours certains contrôles, comme je l'ai mentionné plus tôt, concernant l'accès, la sécurité des données, la continuité, par exemple, qui devraient être en place, car ce sont des contrôles qui ne seront jamais exclus d'aucune entreprise. Ainsi, si un incident majeur venait à se produire dans un centre de données Amazon, par exemple, dans le cadre de sa configuration cloud, vous pourriez vous attendre à ce qu'ils aient mis en place des mesures de continuité et de reprise ou de transfert entre les systèmes très bien exécutées. Donc oui, dans les grandes organisations, cela peut parfois être un défi, en particulier pour obtenir des informations, surtout si vous essayez de les évaluer. Mais il est courant que beaucoup d'entre elles aient des déclarations par défaut sur les concepts de sécurité et de confidentialité. Elles sont disponibles au public et sur demande, mais cela montre bien à quel point les normes ISO sont universelles dans la complexité des organisations qui les utilisent.

Scott : Oui, tout à fait. J'ai une petite question : la norme ISO 27k facilite-t-elle d'une manière ou d'une autre l'intégration de la gestion des risques avec d'autres familles de risques, comme les risques financiers, les risques de réputation, etc.

Thomas : Euh, en dehors de la norme 27, il existe d'autres cadres, dont le plus reconnu est peut-être la norme ISO 31000, qui est une norme de gestion des risques assez similaire au cadre de gestion des risques du NIST. Euh, elle est universelle dans le sens où elle ne se concentre pas sur la confidentialité ou la sécurité, ni sur d'autres risques particuliers liés aux entreprises et aux stratégies. Il existe donc des normes qui peuvent être utilisées de manière générale, en particulier si vous essayez de les intégrer, ce qui est important. Et quand on regarde certains des termes utilisés dans la norme 27001 par rapport à la norme ISO 31000, on constate qu'il y a beaucoup de similitudes. En fait, la norme 27 fait référence à la norme 31K à cet égard. Il existe donc des cadres universels de gestion des risques que vous pouvez appliquer d'un point de vue stratégique, financier, environnemental ou autre.

Scott : Parfait. Merci.

Thomas : Parmi tous les contrôles disponibles dans la norme 27 000, lesquels sont les plus importants ? Comme je l'ai dit, il peut être difficile de les identifier précisément. Nous avons ici quelques exemples. Si nous pensons à la sensibilité ou au fait que des données sensibles et critiques sont consultées et traitées, nous pouvons réfléchir aux contrôles de protection et de sécurité que nous pouvons mettre en œuvre à partir du cadre. Les contrôles relatifs à l'accès et à l'authentification, à la protection des données, au chiffrement et aux méthodes DLP pour le travail à distance et la sécurisation des environnements de travail à distance et des terminaux, ainsi qu'à la protection contre les logiciels malveillants. La norme 27 0001 comporte quelques contrôles techniques qui touchent à tous ces concepts. Si nous savons que nous sommes préoccupés par l'accès de tiers à des données sensibles et critiques, nous pouvons déjà commencer à élaborer le programme en nous basant sur la manière dont les contrôles de protection sont regroupés dans le cadre. Cela peut nous aider à déterminer plus facilement où nous avons besoin de visibilité et de validation pour nous assurer que ce type de contrôles est en place. De même, si vous vous intéressez à la sécurité des systèmes d'information critiques et à la nature de ce qui se trouve sur ces systèmes, nous voulons des contrôles basés sur la protection. Vous souhaitez également disposer de contrôles basés sur la récupération. Comment cet équipement est-il cité et protégé ? Encore une fois, cela est d'autant plus pertinent aujourd'hui que nous avons évoqué précédemment le concept du télétravail, du travail à distance et du mode de vie professionnel. Comment ces systèmes qui peuvent accéder à des informations hautement sensibles sont-ils protégés physiquement ? Euh, la gestion de la capacité de ces systèmes et la manière dont la prévision, la planification et les seuils de gestion de la capacité sont établis, la sauvegarde des informations et la redondance dans ces systèmes, si ces systèmes d'information critiques tombent en panne, quel est le niveau de redondance en place. Euh, s'agit-il peut-être de domaines plus traditionnels où il pourrait encore y avoir des salles de serveurs, des centres de données et des centres de données de sauvegarde, ou s'agit-il d'autre chose en termes de niveau de redondance ?

Thomas : Euh, naturellement, il y aura toujours des recoupements entre les différents contrôles, et il y aura des contrôles lorsque nous réfléchissons à un système d'information critique que nous pourrions tirer des préoccupations concernant les données sensibles ou critiques et la gestion des données également. Mais cela commence à vous donner une indication sur les domaines dans lesquels nous pourrions commencer à nous appuyer sur ces concepts, ces thèmes. Il s'agit donc d'identifier les contrôles basés sur la protection, les contrôles basés sur la protection des informations qui peuvent commencer à former ce que nous voulons mettre en place comme contrôles clés, contrôles obligatoires que nous attendons des tiers qu'ils mettent en œuvre. Ensuite, nous passons à... nous avons un programme, nous avons des critères d'évaluation établis. Nous lançons des évaluations auprès de nos tiers. Alors, à quoi d'autre devons-nous penser ? Évidemment, lorsque nous pensons aux indicateurs de risque KISS, K, nous devons réfléchir à notre paysage de risque plus large. Dans ce cas, cela peut concerner la gestion des tiers et le niveau de risque que cela comporte. Il est important de s'assurer que nous développons des indicateurs basés sur les types de risques et les domaines de risque que l'organisation a jugés importants et impératifs à surveiller, qu'il s'agisse de domaines tels que la détection des logiciels malveillants, les violations de données, les réponses aux violations, les menaces pesant sur la chaîne d'approvisionnement, les ransomwares, le phishing et d'autres domaines critiques. Ces domaines critiques concernent par exemple la perte de données, la vulnérabilité de la chaîne d'approvisionnement aux ransomwares, d'autres cibles spécifiques... Bien sûr, l'élaboration d'une évaluation à l'aide d'une norme telle que la 27 000 peut aider à définir les meilleures pratiques de contrôle afin d'obtenir le niveau d'assurance nécessaire pour que les tiers maintiennent une bonne posture de sécurité, par exemple dans le traitement des données sensibles et critiques et des systèmes d'information. Donc, lorsque nous réfléchissons aux risques qui sont critiques pour nous et à ceux que nous considérons comme les plus élevés ou les plus préoccupants, nous réfléchissons à la manière dont nous appliquons différents contrôles ISO pour aider à obtenir cette validité, cette validation et cette visibilité de la part des tiers qui appliquent les meilleures pratiques. C'est évidemment une étape pour pouvoir faire cette déclaration et commencer à prendre ces décisions.

Thomas : Donc , en réfléchissant à la journalisation des événements, à la protection contre les logiciels malveillants, à la sensibilisation à la sécurité et à la formation à la sensibilisation, à la sécurité pendant les perturbations et les incidents liés à l'information, aux niveaux de cryptographie appliqués aux points de contrôle de la sécurité des informations de la chaîne d'approvisionnement, il existe de nombreux autres contrôles qui pourraient aider à traiter et à répondre à ces risques et à faire face à ces risques potentiels. Il est évident qu'il faut gérer les risques liés aux fournisseurs sur des périodes de 6, 12, 18 mois ou plus. Les principaux risques que nous avons identifiés peuvent évidemment changer, qu'il s'agisse de nouveaux risques, de risques nouveaux et émergents ou de tendances chez les fournisseurs, notamment en termes de non-adoption de bonnes pratiques de sécurité ou d'une bonne hygiène de sécurité. Ainsi, l'examen des améliorations continues de la réduction des risques ou, dans certains cas, de leur persistance chez les tiers d'une année sur l'autre, peut contribuer à fournir cette assurance ou cette visibilité, en particulier à la direction, afin de s'assurer que ces risques sont gérés en temps utile. Il convient donc de commencer à examiner comment nous appliquons les indicateurs en fonction de nos risques les plus importants et de nos domaines de risque les plus importants, et comment ces risques augmentent au fil du temps ou grâce à l'application d'évaluations d'assurance, d'audits et de contrôles de sécurité. Démontrons-nous que ces domaines de risque commencent à diminuer ou avons-nous davantage confiance dans le fait que, si un risque survient, il existe des contrôles suffisants pour protéger, détecter, réagir et récupérer, par exemple ? Deuxièmement, lorsque l'on réfléchit aux indicateurs de performance clés et à l'utilisation de la norme 27001 pour réduire le risque fournisseur, il faut évidemment commencer par identifier les contrôles clés qui permettront de mieux gérer ces risques liés aux tiers. Il faut donc peut-être examiner les notes globales de sécurité des fournisseurs à un niveau plus élevé. Nous avons donc identifié et classé les fournisseurs en différents niveaux et catégories, et nous savons où se situent nos risques les plus critiques. Nous pouvons donc déterminer quels sont les fournisseurs qui présentent le plus de risques en surveillant leurs notes globales de risque au fil du temps et le temps nécessaire pour réagir et résoudre les risques.

Thomas : Donc, si nous constatons que ces notes de sécurité commencent à baisser, cela signifie que la sécurité commence à mûrir au sein de l'organisation, ce qui peut être un bon indicateur pour la direction et les cadres supérieurs que les fournisseurs à haut risque sont gérés correctement, de manière efficace, et que les risques identifiés sont résolus de manière appropriée. Mais il faut également penser à d'autres domaines. Une fois que vous avez identifié les fournisseurs à haut risque, quel est le niveau de préparation en matière de sécurité ? Pouvons-nous examiner ou évaluer le pourcentage de sensibilisation et de formation achevées ? Quels sont les niveaux de détection des menaces et de réponse aux vulnérabilités qui sont capturés par les tiers en fonction du produit ou du service qui nous est fourni ? Qualité des tests de continuité et de réponse instantanée. Vous savez, nous posons ces questions dans les contrats et les accords. Comment les tiers nous informent-ils en cas de violation de données et de notification de violation de données ? Avons-nous la visibilité nécessaire pour savoir s'ils ont des plans de continuité qui sont gérés et révisés tous les 6 mois, tous les 12 mois, et qui sont testés régulièrement afin que, dans le pire des cas, par exemple en cas de ransomware ou d'attaque ciblée similaire, ils aient déjà mis en place des processus, se soient préparés et aient identifié les contrôles les plus appropriés pour aider à sécuriser ces services, ces produits, ces systèmes et ces opérations. En réfléchissant à cela et en pensant à certaines des cibles clés, nous devrions peut-être envisager la manière dont nous identifions et appliquons les contrôles clés liés à la gestion des risques liés à la sécurité de l'information. Que pouvons-nous faire maintenant ? D'un côté, il est évident que nous devons commencer à réfléchir à la manière dont nous pouvons utiliser la norme 27 0001, en particulier la gouvernance, la structure de haut niveau et le cadre de risque, pour améliorer ou développer ce processus tiers.

Thomas : En utilisant ce processus structuré, nous pouvons déterminer les risques les plus critiques dont nous devons nous préoccuper lorsque nous collaborons avec nos tiers, identifier ces risques et les exigences en matière de contrôle, et bien sûr utiliser ces capacités opérationnelles et ces concepts de cybersécurité pour aider à définir le contenu de l'évaluation que nous devons demander à nos tiers.Nous les aiderons à déterminer le niveau et la complexité de ces évaluations, en utilisant à nouveau l'annexe de contrôle ISO 27 0001 comme moteur. Une fois cette section terminée, nous publierons ces évaluations de sécurité, puis nous passerons par un processus continu de surveillance et d'examen afin de déterminer si les objectifs que nous avons identifiés s'améliorent et si nous arrivons à un stade où la préparation en matière de sécurité de nos tiers ou fournisseurs s'améliore. Ces évaluations des risques sont-elles en baisse ? Ainsi, les fournisseurs qui présentaient traditionnellement un risque très élevé ou qui suscitaient de vives inquiétudes améliorent en fait leur posture de sécurité, ce qui nous rassure beaucoup en termes de bonnes pratiques du point de vue de la sécurité. D'accord. Avant de terminer, je vais brièvement passer la parole à Scott.

Scott : Merci beaucoup, Thomas. J'apprécie. Si vous pouviez arrêter de partager votre écran pour que je puisse partager le mien, ce serait parfait. J'ai juste une diapositive à partager avec tout le monde avant de passer aux questions-réponses. Je ne veux pas retenir tout le monde trop longtemps aujourd'hui. Très bien. Super. Très bien. Je vais faire très vite, je ne vais pas vous présenter un aperçu général de la situation actuelle, car nous n'avons tout simplement pas le temps après ce webinaire très riche. Mais je tiens à rappeler à tout le monde que nous mett ons à votre disposition des ressources pour vous aider à tirer le meilleur parti du cadre ISO dans vos organisations en ce qui concerne les risques liés aux tiers. Nous avons élaboré un guide très complet qui établit une correspondance entre les contrôles ISO courants et certains indicateurs clés de performance (KPI), indicateurs clés de sécurité (KIS) et mesures que vous souhaiterez appliquer dans votre organisation, puis qui aide à démystifier certaines des complexités de l'ISO et à clarifier certaines de ces cartographies des risques. Donc, si vous recherchez un guide rapide, oui, 30 pages comme guide rapide.

Scott : Si vous recherchez un guide rapide pour appliquer la norme ISO à votre programme TPRM, nous avons élaboré une liste de contrôle pour vous aider à y parvenir. Donc, pas de limite. C'est tout ce que je voulais partager avec vous aujourd'hui. Je vais maintenant passer la parole à Ashley, qui répondra à vos questions.

Ash : Oui. Merci, Scott. Euh, et n'oubliez pas de consulter la liste de contrôle ISO. Notre site web regorge de ressources exceptionnelles. Euh, nous en avons justement une dans le chat, et elle s'adresse à vous, Scott. Elle dit : « Comment la plateforme dominante prend-elle en charge le déploiement de ces pratiques TPRM et/ou NIST, pardon, le lien vers les cadres ISO ou NIST ? »

Scott : Oui, excellente question. Nous disposons d'une série de questionnaires que Thomas et son équipe ont élaborés et téléchargés sur la plateforme Prevalent. Nous avons plus de 600 modèles de questionnaires sur la plateforme. Plusieurs d'entre eux sont consacrés à des sections spécifiques de la norme ISO. Nous avons donc des risques spécifiques basés sur les réponses et les seuils qui sont appliqués, puis des preuves qui sont téléchargées pour répondre à ces contrôles et questions particuliers. Grâce à la cartographie des risques, vous obtenez en fait un score de risque qui vous indique les domaines sur lesquels vous devez vraiment vous concentrer avec ce fournisseur ou ce prestataire, conformément à ces contrôles. Il s'agit donc d'une sorte de cadre dans le système, puis le rapport aide à définir la marche à suivre.

Ash : Excellent. Eh bien, merci beaucoup Thomas, Sophie, Scott et tout le monde pour toutes vos questions. Elles nous ont toutes apporté des informations fantastiques à assimiler aujourd'hui. J'espère donc vous retrouver tous dans votre boîte mail ou lors d'un prochain webinaire. Salut à tous et passez une excellente fin de semaine.

Scott : Au revoir tout le monde.