Comment un RSSI aborde la gestion des risques liés aux tiers

Nous avons récemment interviewé un leader d'opinion en matière de gestion des risques liés aux tiers dans le but de comprendre comment il perçoit les risques liés aux tiers dans le contexte d'autres considérations relatives à la sécurité et aux risques. Dans ce blog, ce RSSI offre son point de vue sur ce qu'il faut pour construire un programme durable de gestion des risques liés aux tiers. En raison des opinions exprimées ici et parce que le risque et la sécurité sont des sujets sensibles, ce RSSI a demandé que son nom et le nom de sa société ne soient pas utilisés.

Comment la gestion des risques liés aux tiers a-t-elle évolué ? Quel impact cela a-t-il eu sur votre surface de risque globale ?

Au cours des 10 à 15 dernières années, nous avons constaté que, grâce à la numérisation, les écosystèmes se sont rapidement étendus pour inclure davantage de tiers. Dans le passé, ils fournissaient des biens et des services sur place. Mais aujourd'hui, le modèle a évolué pour devenir plus "as a service" dans le nuage, ce qui accroît votre exposition au risque. Vous finissez par renoncer à un peu de contrôle au nom de l'expertise et de la réduction des coûts. Mais il faut faire attention et ne pas tomber dans un piège : externaliser le risque n'est pas nécessairement externaliser la responsabilité.

Quel est le plus grand défi que vous rencontrez dans l'évaluation de vos fournisseurs et autres tiers ?

Ce que je recherche, c'est si mes tiers adhèrent aux mêmes principes que moi, ce qui est rarement, voire jamais, le cas. Le problème est lié à la portée. Ils répondent à une question dans leur questionnaire d'évaluation des risques, mais ne répondent pas à la question dans le cadre de la portée. Par exemple, lorsque je demande à un tiers s'il chiffre les données "en mouvement et au repos" et qu'il répond "oui", c'est tout. Il faut beaucoup plus d'efforts et de contexte que cette simple question pour aller au fond du problème, et c'est difficile à valider. Ce n'est pas évolutif.

En parlant de validation, qu'en est-il des mesures externes pour valider la mise en place des contrôles ?

Cela dépend. Si vous parlez d'outils d'analyse et de notation, je trouve qu'ils sont généralement faux. Ils produisent tous des données différentes, sans contexte ni transparence. C'est de la "sauce secrète".

Quel type de rapport devez-vous fournir au conseil d'administration ? De quoi se soucient-ils ?

Cela varie selon l'organisation, mais il s'agit de trouver un équilibre entre ce dont vous voulez qu'ils se soucient et ce dont ils se soucient réellement. Abordez chaque conversation avec le conseil d'administration sous un angle commercial, en identifiant les risques pour l'entreprise - non pas le risque ou l'incident de sécurité lui-même, mais les implications réelles en aval de ce risque ou de cet incident.

Le problème est qu'il existe toujours un gouffre à franchir entre ce à quoi ressemble réellement le risque et la manière de le communiquer de manière significative. Ce problème est lié à la responsabilité ; sur le plan conceptuel, ce n'est pas différent de l'information financière. Il faut appliquer la même rigueur et la même approche à la communication des risques de sécurité que pour les risques financiers. Je pense que la plupart des conseils d'administration ne comprennent pas cela aujourd'hui et, jusqu'à ce qu'ils le fassent, ces organisations souffriront d'un manque de compréhension. Vous vous souvenez de ce qu'Enron a fait pour les rapports financiers ? J'espère sincèrement qu'il ne faudra pas un incident du type "cyber-Enron " pour réveiller les conseils d'administration. Cependant, si vous ne pouvez pas définir le préjudice, vous n'obtiendrez pas l'adhésion.

Qu'en est-il de la vie privée ? En dehors de la "résilience" ou de la "continuité" des affaires suite à la crise du COVID-19, la "vie privée" a dominé les conversations des tiers ces derniers temps.

Entre CCPA et d'autres projets de loi connexes, la vie privée alimentera les discussions sur la responsabilité. C'est le résultat le plus prometteur de toute législation : la responsabilité. Ce niveau d'application doit accroître la surveillance et obliger les entreprises à se pencher plus sérieusement sur la question au lieu de simplement "cocher la case".

Le problème est que les lois sont dessinées à l'intérieur des frontières, mais l'internet a brisé les frontières. Quelle loi régit l'internet au niveau mondial ? Elle ne s'applique pas aux frontières physiques. Conceptuellement, c'est différent de la façon dont ce pays a été construit.

À quoi ressemble pour vous le programme idéal de gestion des risques liés aux tiers ? Quels sont les bons composants ou éléments ?

Tout d'abord, allez voir l'entreprise et documentez ce qui est important pour elle. Déterminez si leurs besoins sont en phase avec la mission et les objectifs de votre entreprise. Plus important encore, prenez l'avis de l'entreprise de manière holistique. Ensuite, dressez la liste du nombre X de choses les plus importantes, hiérarchisez-les et retournez voir l'entreprise avec une gamme de risques qu'elle est prête à tolérer. C'est le début de la gouvernance.

Une fois ce cadre de gouvernance défini, examinez les tiers et la façon dont ils se mesurent au risque que l'entreprise a déclaré être prête à tolérer. Ensuite - et c'est là que réside la partie la plus laborieuse - trouvez un moyen de procéder à cette évaluation de manière continue. Déterminez quelles informations sont nécessaires à cet effet, si elles s'appliquent à tous les tiers et comment elles seront gérées au fil du temps.

La mise en place d'une structure de gouvernance adéquate - avec une transparence permanente en matière d'éducation - est essentielle pour un succès à long terme.

Lorsque vous parlez à d'autres organisations, quels conseils leur donnez-vous ? Par où commencer, comment établir des priorités, etc.

Vous devez commencer par comprendre ce qui est important pour l'entreprise, comme je l'ai évoqué dans la question précédente. Une fois que vous savez ce qui est important - et que les communications circulent dans les deux sens entre vous et l'entreprise - vous disposez d'une base plus solide sur laquelle vous pouvez vous appuyer pour effectuer une diligence raisonnable et prendre des décisions fondées sur les risques.

N'oubliez pas non plus qu'il ne s'agit pas seulement d'évaluer le risque financier pour votre entreprise - vous devez également tenir compte de la confidentialité des données. Vous devez avoir ces conversations au plus haut niveau. La décision et la responsabilité incombent à l'entreprise, pas à la sécurité. Le travail de la sécurité n'est pas d'accepter le risque - mon travail est de faire l'évaluation. Vous devez informer l'entreprise sur la signification du risque, examiner les données, poser des questions et informer l'entreprise afin qu'elle puisse accepter un goût du risque adapté à son activité.

Qu'est-ce qui vous empêche de dormir la nuit ?

Je suis un CISO. Je n'ai pas dormi depuis des années 😊. Sérieusement, cependant, je me demande régulièrement si j'ai fait tout ce que je peux raisonnablement faire pour remplir la mission. Par exemple, si quelque chose se produit, puis-je aller voir l'entreprise et lui rapporter en toute confiance ce qui s'est passé, comment, et ce que nous faisons à ce sujet ? Il y a longtemps que j'ai accepté le fait qu'il n'y a pas de sécurité de l'emploi en tant que RSSI, mais je dois me dire que j'ai fait tout ce que j'ai pu et que je contrôle ce que je peux contrôler. Maintenant, mes vendeurs sauvages, c'est une toute autre histoire...

Pour en savoir plus sur la manière dont Prevalent peut vous aider à relever vos défis en matière de gestion des droits des tiers, contactez-nous dès aujourd'hui, téléchargez notre guide des meilleures pratiques ou effectuez une évaluation rapide en ligne pour vous aider à déterminer le niveau de maturité de votre programme TPRM.