Les contrôles de sécurité critiques du CIS : Bonnes pratiques pour la gestion des risques liés aux tiers

Contrôle de sécurité critique 15 du CIS : Gestion des fournisseurs de services

Le contrôle 15 du CIS recommande aux organisations de développer un processus d'évaluation de la capacité de leurs fournisseurs de services à protéger les données sensibles, les plates-formes informatiques critiques et/ou les processus clés auxquels ils ont accès ou dont ils sont responsables.

Vous trouverez ci-dessous les meilleures pratiques pour chacune des sept garanties du contrôle 15 :

15.1 Établir et tenir à jour un inventaire des prestataires de services

Créer un inventaire centralisé des fournisseurs de services en important les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise doivent être en mesure de renseigner les détails clés des fournisseurs à l'aide d'un formulaire d'admission centralisé et personnalisable et d'un flux de travail associé. Cette capacité devrait être accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions.

Comme tous les fournisseurs de services sont centralisés, les équipes devraient créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes.

15.2 Établir et maintenir une politique de gestion des prestataires de services

Les principales dispositions d'une politique de gestion des prestataires de services doivent comprendre les éléments suivants :

• Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
• Rôles et responsabilités clairs (par exemple, RACI)
• Classification des fournisseurs et logique de catégorisation
• Seuils d'évaluation des risques basés sur les niveaux de tolérance au risque de votre organisation
• Cartographie des quatrième et neuvième parties pour comprendre où circulent les données de votre organisation
• Déterminer les bonnes évaluations et les bonnes sources de données de contrôle continu (cyber, business, réputation, finances).
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
• Conformité et exigences de rapports contractuels par rapport aux niveaux de service
• Exigences en matière de réponse aux incidents
• Rapports sur les risques et les parties prenantes internes
• Stratégies d'atténuation des risques et de remédiation

15.3 Classer les prestataires de services

Procéder à une évaluation de la diligence raisonnable avant la signature du contrat, en attribuant une note sur la base des critères suivants, afin d'identifier, de suivre et de quantifier les risques inhérents pour tous les tiers :

• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer et hiérarchiser les fournisseurs, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

15.4 Veiller à ce que les contrats des fournisseurs de services incluent des exigences en matière de sécurité

Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs veiller à ce que les principales exigences en matière de sécurité soient intégrées dans le contrat du fournisseur, convenues et appliquées tout au long de la relation au moyen d'indicateurs de performance clés (IPC). Les capacités clés devraient inclure

• Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et l'état, avec des vues personnalisées et basées sur les rôles.
• Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

15.5 Évaluer les prestataires de services

Recueillir et mettre en corrélation des informations sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pesant sur la gestion de l'information, en fonction de la criticité du tiers telle qu'elle a été déterminée par l'évaluation des risques inhérents. Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète du risque fournisseur, examiner la liste des lacunes de contrôle identifiées dans le rapport SOC 2, créer des éléments de risque à l'encontre du tiers, et assurer le suivi des lacunes et en rendre compte.

Évitez d'utiliser des feuilles de calcul pour collecter et analyser les informations relatives aux contrôles des fournisseurs, car cette approche est très manuelle et ne s'applique pas au-delà d'une poignée de fournisseurs.

15.6 Contrôler les données des fournisseurs de services

Suivre et analyser en permanence les menaces externes pesant sur les tiers en surveillant l'Internet et le dark web à la recherche de menaces et de vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance devraient inclure

• Cyber: Forums criminels ; pages en oignon ; forums d'accès spécial du dark web ; flux de menaces ; et sites de collage d'informations d'identification divulguées ; bases de données de violations - ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Opérationnel: Sources publiques et privées d'activités de fusion et d'acquisition, d'informations commerciales et de mises à jour opérationnelles.
• Réputation: Nouvelles négatives, informations réglementaires et juridiques, profils de personnes politiquement exposées, listes de sanctions, listes d'application mondiale et dossiers judiciaires.
• Financier: Bases de données d'entreprises avec performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc.

Les résultats des évaluations et de la surveillance continue doivent être rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

15.7 Déclassement sécurisé des données des fournisseurs de services

Évaluer les contrats et mettre en place des procédures de désengagementafin de réduire le risque d'exposition post-contractuelle, notamment afin de réduire le risque d'exposition post-contractuelle de votre organisation :

• Planification des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émission d'évaluations personnalisées des contrats afin d'en évaluer l'état.
• Grâce à des enquêtes et à des flux de travail personnalisables, il est possible d'établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore.
• Stockage et gestion centralisés des documents et des certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les contrats de service (SOW) et les contrats. Tirer parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte.
• Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.

Contrôle de sécurité critique 17 de l'ECI : gestion des réponses aux incidents

Le contrôle 17 de l'ECI recommande aux organisations de mettre en place un programme visant à développer et à maintenir une capacité de réponse aux incidents (par exemple, des politiques, des plans, des procédures, des rôles définis, une formation et des communications) afin de préparer, de détecter et de répondre rapidement à une attaque. Six garanties spécifiques sont liées au contrôle 17 :

17.1 Désigner le personnel chargé de gérer les incidents

17.2 Établir et tenir à jour les coordonnées des personnes à contacter pour signaler les incidents de sécurité

17.3 Établir et maintenir un processus d'entreprise pour le signalement des incidents

17.4 Établir et maintenir un processus de réponse aux incidents

17.5 Attribuer des rôles et des responsabilités clés

17.6 Définir des mécanismes de communication pendant la réponse à l'incident

Pour le contrôle 17, Prevalent recommande des meilleures pratiques axées sur la gestion centralisée des fournisseurs, l'évaluation des événements, la notation des risques identifiés, la corrélation avec la surveillance continue de cyber et l'accès aux conseils de remédiation. Il s'agit notamment de

• Tirer parti d'un questionnaire centralisé et personnalisable de gestion des événements et des incidents
• Suivi en temps réel de l'état d'avancement du questionnaire
• Définir les responsables des risques et faire des rappels pour que les enquêtes se déroulent selon le calendrier prévu.
• Permettre aux vendeurs de signaler les incidents de manière proactive afin d'ajouter un contexte et d'accélérer la réponse.
• Utiliser des règles de flux de travail pour déclencher des processus automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Publier des orientations en matière de remédiation
• Cartographier les relations de troisième, quatrième et Nième partie pour visualiser les chemins de l'information et déterminer les données à risque.

En centralisant la réponse aux incidents par des tiers

Grâce à la mise en place d'un processus unique de gestion des incidents au sein de l'entreprise, les équipes chargées de l'informatique, de la sécurité, du droit, de la protection de la vie privée et de la conformité peuvent collaborer efficacement pour atténuer les risques.

Prochaines étapes : Télécharger la liste de contrôle complète des contrôles SID

Les contrôles critiques CIS fournissent une structure et les meilleures pratiques pour atténuer le risque d'attaques de cybersécurité de la chaîne d'approvisionnement. Prevalent offre une plate-forme centrale et automatisée pour traiter les contrôles CIS 15 et 17 et développer vos initiatives de gestion des risques des tiers dans le cadre de votre programme plus large de gestion des risques de cybersécurité. Pour en savoir plus, téléchargez la liste de contrôle CIS complète, lisez nos solutions pour les contrôles CIS ou planifiez une démonstration personnalisée dès aujourd'hui.