Les contrôles de sécurité critiques du Center for Internet Security® (CIS) est un ensemble de 18 contrôles recommandés et de 153 sous-contrôles (appelés "sauvegardes") conçus pour aider les équipes de sécurité informatique à réduire l'impact des incidents de cybersécurité. Le CIS décrit les contrôles comme un "ensemble d'actions prescriptives, hiérarchisées et hautement ciblées qui disposent d'un réseau de soutien communautaire pour les rendre applicables, utilisables, évolutives et conformes à toutes les exigences de sécurité de l'industrie ou du gouvernement".
Actuellement, dans la version 8, les 18 contrôles CIS et les 153 sauvegardes sont classés par ordre de priorité dans trois groupes de mise en œuvre (IG) :
Le CIS classe également chaque Safeguard par fonction de sécurité NIST afin de simplifier la mise en correspondance avec chaque fonction de base NIST : Identifier, Détecter, Protéger, Répondre et Récupérer.
Deux contrôles comprennent des orientations spécifiques relatives à la gestion des risques liés aux tiers : le contrôle 15 : gestion des fournisseurs de services et le contrôle 17 : gestion des réponses aux incidents. Cet article présente les meilleures pratiques permettant d'accélérer et de simplifier la mise en œuvre de chaque contrôle.
Aligner votre programme TPRM sur les contrôles de sécurité critiques du CIS
Découvrez les garanties de gestion des risques des tiers dans les contrôles CIS 15 et 17, ainsi que les meilleures pratiques pour accélérer et simplifier leur mise en œuvre.
Le contrôle 15 du CIS recommande aux organisations de développer un processus d'évaluation de la capacité de leurs fournisseurs de services à protéger les données sensibles, les plates-formes informatiques critiques et/ou les processus clés auxquels ils ont accès ou dont ils sont responsables.
Vous trouverez ci-dessous les meilleures pratiques pour chacune des sept garanties du contrôle 15 :
Créer un inventaire centralisé des fournisseurs de services en important les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise doivent être en mesure de renseigner les détails clés des fournisseurs à l'aide d'un formulaire d'admission centralisé et personnalisable et d'un flux de travail associé. Cette capacité devrait être accessible à tous par le biais d'une invitation par courrier électronique, sans nécessiter de formation ou d'expertise en matière de solutions.
Comme tous les fournisseurs de services sont centralisés, les équipes devraient créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes.
Les principales dispositions d'une politique de gestion des prestataires de services doivent comprendre les éléments suivants :
Procéder à une évaluation de la diligence raisonnable avant la signature du contrat, en attribuant une note sur la base des critères suivants, afin d'identifier, de suivre et de quantifier les risques inhérents pour tous les tiers :
À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer et hiérarchiser les fournisseurs, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.
Centraliser la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs veiller à ce que les principales exigences en matière de sécurité soient intégrées dans le contrat du fournisseur, convenues et appliquées tout au long de la relation au moyen d'indicateurs de performance clés (IPC). Les capacités clés devraient inclure
Recueillir et mettre en corrélation des informations sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pesant sur la gestion de l'information, en fonction de la criticité du tiers telle qu'elle a été déterminée par l'évaluation des risques inhérents. Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète du risque fournisseur, examiner la liste des lacunes de contrôle identifiées dans le rapport SOC 2, créer des éléments de risque à l'encontre du tiers, et assurer le suivi des lacunes et en rendre compte.
Évitez d'utiliser des feuilles de calcul pour collecter et analyser les informations relatives aux contrôles des fournisseurs, car cette approche est très manuelle et ne s'applique pas au-delà d'une poignée de fournisseurs.
Suivre et analyser en permanence les menaces externes pesant sur les tiers en surveillant l'Internet et le dark web à la recherche de menaces et de vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.
Les sources de surveillance devraient inclure
Les résultats des évaluations et de la surveillance continue doivent être rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.
Évaluer les contrats et mettre en place des procédures de désengagementafin de réduire le risque d'exposition post-contractuelle, notamment afin de réduire le risque d'exposition post-contractuelle de votre organisation :
Le contrôle 17 de l'ECI recommande aux organisations de mettre en place un programme visant à développer et à maintenir une capacité de réponse aux incidents (par exemple, des politiques, des plans, des procédures, des rôles définis, une formation et des communications) afin de préparer, de détecter et de répondre rapidement à une attaque. Six garanties spécifiques sont liées au contrôle 17 :
17.1 Désigner le personnel chargé de gérer les incidents
17.2 Établir et tenir à jour les coordonnées des personnes à contacter pour signaler les incidents de sécurité
17.3 Établir et maintenir un processus d'entreprise pour le signalement des incidents
17.4 Établir et maintenir un processus de réponse aux incidents
17.5 Attribuer des rôles et des responsabilités clés
17.6 Définir des mécanismes de communication pendant la réponse à l'incident
Pour le contrôle 17, Prevalent recommande des meilleures pratiques axées sur la gestion centralisée des fournisseurs, l'évaluation des événements, la notation des risques identifiés, la corrélation avec la surveillance continue de cyber et l'accès aux conseils de remédiation. Il s'agit notamment de
En centralisant la réponse aux incidents par des tiers
Grâce à la mise en place d'un processus unique de gestion des incidents au sein de l'entreprise, les équipes chargées de l'informatique, de la sécurité, du droit, de la protection de la vie privée et de la conformité peuvent collaborer efficacement pour atténuer les risques.
Les contrôles critiques CIS fournissent une structure et les meilleures pratiques pour atténuer le risque d'attaques de cybersécurité de la chaîne d'approvisionnement. Prevalent offre une plate-forme centrale et automatisée pour traiter les contrôles CIS 15 et 17 et développer vos initiatives de gestion des risques des tiers dans le cadre de votre programme plus large de gestion des risques de cybersécurité. Pour en savoir plus, téléchargez la liste de contrôle CIS complète, lisez nos solutions pour les contrôles CIS ou planifiez une démonstration personnalisée dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024