Ces dernières années, nous avons assisté à un afflux d'attaques par ransomware contre des entreprises de premier plan, à des violations gouvernementales à grande échelle et à des piratages d'infrastructures critiques. Si la mondialisation a apporté des gains économiques sans précédent, elle a compliqué la résilience et la gestion des risques de la plupart des organisations.
Selon notre dernière étude TPRM, 61 % des entreprises ont signalé une violation de données par un tiers ou un incident sur le site cyber au cours de l'année écoulée. Aujourd'hui, une seule cyberattaque peut interrompre des services essentiels. Par exemple, UnitedHealth Group, le plus grand assureur santé des États-Unis, a été victime d'une attaque par ransomware visant sa filiale de technologie de la santé Change Healthcare, ce qui a continué à perturber les hôpitaux et les pharmacies dans tout le pays. La cyberattaque a interrompu les activités des pharmacies et a provoqué des pannes généralisées ainsi que des problèmes de traitement des factures d'assurance et des factures des patients.
Un programme pratique de surveillance des risques ( cyber ) peut aider à identifier les risques de sécurité dans votre chaîne d'approvisionnement et vos opérations commerciales, à garantir la conformité aux réglementations et à réduire le risque de perturbations graves dues à des fournisseurs tiers.
Cyber La surveillance des risques consiste à évaluer régulièrement les fournisseurs tiers afin de s'assurer que leurs politiques de cybersécurité sont conformes aux meilleures pratiques et ne présentent pas un risque inacceptable pour votre organisation. Elle s'inscrit dans le cadre d'un programme plus large de surveillance des tiers.
Les organisations surveillent leurs fournisseurs en fonction de divers critères, notamment la santé financière, les risques ESG et l'exécution du contrat. La surveillance des fournisseurs en matière de risque de cybersécurité se compose généralement de plusieurs éléments constitutifs à inclure :
Surveillance des violations de données
Surveillance des informations d'identification exposées
Contrôle de la conformité
Questionnaires de routine pour l'évaluation des risques des fournisseurs
De nombreuses organisations pensent qu'elles peuvent atténuer efficacement le risque cyber en mettant en place un solide programme interne de sécurité de l'information. Cependant, ces dernières années, les acteurs malveillants ont de plus en plus ciblé des sous-traitants et des fournisseurs tiers ayant accès à des systèmes critiques et à des données sensibles dans d'autres organisations plus importantes. Les attaquants peuvent contourner des programmes de sécurité autrement complexes et bien financés en détournant l'accès d'un fournisseur à ses clients et partenaires commerciaux.
Les violations de données de tiers sont un problème croissant pour les organisations de toutes tailles. Un incident de cybersécurité chez un fournisseur tiers ou quatrième peut mettre en péril des informations propriétaires, des données clients, des données sur les employés, etc. Une surveillance continue peut vous alerter en cas d'exposition des informations d'identification d'un fournisseur ou de lacunes en matière de cybersécurité susceptibles d'entraîner une violation de données.
Les entreprises sont soumises à un nombre croissant d'exigences en matière de cybersécurité et de protection des données. Ces exigences comportent souvent des dispositions strictes en matière de partage des données avec des tiers et de sécurité de l'information. Le partage d'informations sensibles et réglementées avec un fournisseur non sécurisé peut entraîner des amendes, des pénalités et des conséquences juridiques potentielles pour votre organisation et le fournisseur.
Par exemple, en vertu de la loi HIPAA, les fournisseurs qui traitent des informations personnelles sont considérés comme des associés commerciaux. Ils sont donc tenus d'appliquer les mêmes procédures et les mêmes mesures de protection en matière de cybersécurité que l'organisation principale. Si un associé commercial de l'HIPAA ne respecte pas les exigences de conformité, l'organisme de soins de santé et le fournisseur tiers peuvent être tenus pour responsables et se voir infliger de lourdes amendes.
Voici quelques réglementations et normes supplémentaires qui comportent des exigences spécifiques en matière de contrôle des risques liés aux tiers ( cyber ):
Tous les fournisseurs n'ont pas besoin d'accéder à des informations sensibles ou réglementées. Cependant, il peut être utile de comprendre leur position en matière de sécurité s'ils ont accès à des systèmes d'information ou s'ils travaillent sur site. Les profils de cybersécurité des fournisseurs évoluent souvent au fur et à mesure que leurs organisations adoptent de nouvelles normes, changent de logiciels, achètent d'autres entreprises et se développent. Une surveillance continue tout au long du cycle de vie de la relation peut permettre d'éviter des surprises que le questionnaire initial sur les risques liés aux fournisseurs n'aurait pas permis d'appréhender.
Par exemple, Target a été victime d'une violation de données en 2013 qui a exposé les IPI (informations personnelles identifiables) de dizaines de millions de ses clients. La violation provenait d'un fournisseur de systèmes de chauffage, de ventilation et de climatisation (CVC), une entreprise qui ne fait généralement pas l'objet d'un examen approfondi. Comprendre la position d'un fournisseur en matière de cybersécurité et surveiller en permanence les violations peut aider votre organisation à décider à quels systèmes et à quelles informations accéder et à formuler des contrôles pour réduire le risque d'une violation.
Comment pouvez-vous garder une longueur d'avance sur les risques liés aux fournisseurs Cyber ?
Téléchargez ce guide stratégique de 11 pages pour découvrir comment structurer votre programme de gestion des risques des tiers (TPRM) afin d'identifier et de traiter efficacement les risques de cybersécurité dans l'ensemble de votre écosystème de fournisseurs.
Nous avons établi l'importance de surveiller les risques liés aux fournisseurs de troisième, quatrième et Nième partie sur le site cyber . Mais comment concevoir une surveillance efficace des risques liés à cyber dans un monde de plus en plus interconnecté et complexe ? Voici les étapes à suivre pour mettre en place un système robuste de surveillance des risques cyber , capable de vous alerter avant que vous n'échouiez à un audit de conformité ou que vous ne subissiez une violation de données.
Chaque fournisseur avec lequel vous travaillez présente un certain niveau de risque pour votre organisation. Vous devez définir les risques qui vous conviennent et veiller à ce que les fournisseurs reçoivent des notes de sécurité qui reflètent exactement le risque qu'ils représentent pour vos opérations et vos données sensibles. Dans de nombreux cas, vous devrez peut-être exiger des fournisseurs qu'ils réduisent leur niveau de risque jusqu'à ce que leur risque résiduel soit acceptable.
Les questionnaires sur les risques liés aux fournisseurs sont essentiels pour l'intégration des fournisseurs par des tiers. En particulier lorsque les fournisseurs peuvent accéder à des données sensibles ou que votre organisation est soumise à de nombreuses exigences de conformité. Les questionnaires sur le risque fournisseur peuvent porter sur la santé financière, la stabilité opérationnelle, l'ESG et d'autres aspects, mais la cybersécurité est l'un des éléments les plus importants. Voici quelques questions que vous pourriez envisager :
Votre organisation dispose-t-elle de certifications tierces en matière de sécurité de l'information, telles que SOC2, ISO27001 ou CMMC ?
Votre organisation adhère-t-elle à un cadre ou à un modèle de cybersécurité spécifique ?
Votre organisation dispose-t-elle d'une équipe interne de cybersécurité ou travaille-t-elle avec un fournisseur de services informatiques ou de services de sécurité gérés externe ?
L'utilisation d'un logiciel de gestion des risques pour les tiers peut vous permettre de créer rapidement et facilement des questionnaires basés sur une bibliothèque de dizaines de modèles personnalisables. Vous pouvez envisager de réaliser des questionnaires d'évaluation de routine pour les fournisseurs dont le profil de risque est particulièrement élevé ou qui traitent de grandes quantités de données sensibles de votre organisation.
Avant d'intégrer un nouveau fournisseur, recueillez des informations sur les violations de données qu'il a subies, y compris des détails sur les systèmes et les dossiers touchés, ainsi que sur les mesures correctives et d'atténuation. Ensuite, surveillez en permanence les nouvelles et les preuves de nouvelles violations de données. Par exemple, l'analyse du dark web devient rapidement essentielle à la gestion des risques pour les tiers. Dans de nombreux cas, les organisations ont des courriels et des mots de passe exposés à la vente sur le dark web dont elles ne sont pas conscientes, ce qui pourrait facilement conduire à une violation de données ou à un incident de sécurité. Heureusement, l'analyse spécifique des informations d'identification exposées est facile et peut fournir des informations précieuses pour déterminer si l'organisation a déjà subi une violation de données ou si elle a de mauvaises pratiques de gestion des utilisateurs. Recherchez des solutions qui proposent l'analyse du dark web et le reporting des violations de données dans le cadre de leur solution de surveillance des risques fournisseurs.
Les fournisseurs peuvent souvent avoir besoin d'un accès sur site aux actifs informatiques pour mener à bien les travaux contractuels. Toutefois, le risque de cybersécurité ne s'arrête pas une fois que le fournisseur a quitté le site, et vous devez vous assurer que votre organisation dispose de politiques claires pour régir l'accès du fournisseur à vos technologies de l'information. Il est important de se rappeler que les erreurs du fournisseur ou les violations de données peuvent en fin de compte devenir votre responsabilité, en particulier avec des exigences de conformité spécifiques.
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Vous pouvez réduire votre exposition aux menaces de cybersécurité des tiers en intégrant ces meilleures pratiques dans votre programme :
Les évaluations de cybersécurité basées sur des questionnaires sont généralement réalisées une ou deux fois par an. En complétant les évaluations périodiques par une surveillance continue des risques sur le site cyber , vous pouvez rester au fait des changements dans la position de risque du fournisseur cyber à mesure que de nouvelles menaces apparaissent. Le suivi des performances d'un fournisseur en matière de cybersécurité vous permet également de valider ses réponses à l'évaluation par rapport à des preuves externes observables de violations de données et d'autres incidents. En mettant en œuvre une solution robuste de surveillance des risques par un tiers, vous pouvez gérer en toute confiance le cycle de vie de la gestion des risques des fournisseurs et répondre aux lacunes de sécurité, aux problèmes de conformité et aux violations de données potentielles avant qu'elles n'aient un impact sur votre entreprise.
Le passé ne prédit pas nécessairement l'avenir, mais il peut donner une idée du sérieux avec lequel une organisation prend la cybersécurité. Si une organisation a subi de nombreuses violations de données dans un passé récent, cela peut être un bon indicateur que les données de votre organisation pourraient être compromises.
Vous devez appliquer le principe du moindre privilège à tous les fournisseurs avec lesquels vous travaillez. Veillez à ce qu'ils n'aient accès qu'aux systèmes et données critiques nécessaires à l'exécution de leur travail. Pendant que le fournisseur effectue son travail, confirmez que vous disposez d'un contrôle adéquat pour vous assurer qu'il n'accède pas à des systèmes ou à des données inutiles. Enfin, assurez-vous que vous disposez d'un programme efficace d'intégration des fournisseurs pour révoquer l'accès à l'issue de leur mission.
Les fournisseurs dotés de solides programmes de cybersécurité et qui ne traitent pas d'informations sensibles peuvent nécessiter moins de surveillance que les fournisseurs qui traitent des informations sur les clients ou des secrets commerciaux. Au cours du processus d'intégration des fournisseurs, veillez à établir le profil des tiers, à les classer et à les hiérarchiser en fonction de leur risque inhérent. Il vous sera ainsi plus facile de déterminer la fréquence et l'étendue des évaluations des risques, ainsi que le niveau de contrôle à effectuer pour chaque fournisseur. Ainsi, vous utiliserez vos ressources à bon escient et adapterez vos activités de contrôle sur cyber au risque que représente le fournisseur.
L'élaboration d'un programme efficace de surveillance des risques cyber n'a jamais été aussi cruciale. Prevalent permet de gérer les risques de tiers et de quatrième partie tout au long de votre chaîne d'approvisionnement. Notre plateforme de gestion du risque fournisseur combine une surveillance continue du risque cyber avec une surveillance commerciale, financière et de la réputation - couplée à des capacités d'évaluation automatisée du risque fournisseur pour une vue à 360 degrés du risque fournisseur. Demandez une démonstration dès aujourd'hui pour voir si Prevalent vous convient.
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024