Comment satisfaire aux exigences de l'ISO en matière de gestion des risques liés aux tiers ?

Prevalent offre un cadre complet pour la gestion des politiques, l'audit et le reporting liés aux risques des tiers et aux exigences de sécurité de la chaîne d'approvisionnement des normes ISO 27001, 27002 et 27036-2.
Par :
Scott Lang
,
VP, Marketing produit
21 mars 2023
Partager :
Blog iso 0323

ISO 27001 et la gestion des risques liés aux tiers

ISO 27001 est une norme internationale pour l'évaluation rigoureuse de cyber et des pratiques de sécurité de l'information. Elle fournit un cadre pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue des systèmes de gestion de la sécurité de l'information. Basée sur un ensemble d'exigences internationales, elle décrit une approche systématique de la gestion sécurisée des informations sensibles de l'entreprise.

Deux suppléments sont à considérer comme des corollaires importants de la norme ISO 27001 en matière de gestion des risques liés aux tiers, à savoir

  • ISO/IEC 27002:2022 Sécurité de l'information, cybersécurité et protection de la vie privée - Contrôles de sécurité de l'information
  • ISO/IEC 27036-2:2022 Cybersécurité - Relations avec les fournisseurs - Partie 2 : Exigences

ISO 27002 et la gestion des risques liés aux tiers

L'ISO 27002 est une norme supplémentaire qui fournit des conseils sur la manière de mettre en œuvre les contrôles de sécurité énumérés dans l'annexe A de l'ISO 27001. Elle aide les organisations à examiner ce qu'elles doivent mettre en place pour répondre à ces exigences.

Ensemble, les normes ISO 27001 et 27002 constituent le fondement de la plupart des normes ISO relatives à la cybersécurité. En ce qui concerne la gestion de la sécurité de l'information dans les relations avec les fournisseurs, la section 15 des normes ISO 27001 et ISO 27002 résume les exigences à respecter pour traiter en toute sécurité avec différents types de tiers.

ISO 27036-2 et la gestion des risques liés aux tiers

La norme ISO 27036-2 spécifie les exigences fondamentales en matière de sécurité de l'information pour la définition, la mise en œuvre, l'exploitation, la surveillance, l'examen, le maintien et l'amélioration des relations avec les fournisseurs et les acquéreurs. Cette norme est particulièrement pertinente pour la gestion des risques liés aux tiers, car les exigences couvrent l'achat et la fourniture de produits et de services.

Les clauses 6 et 7 de la norme ISO 27036-2 définissent les exigences fondamentales et de haut niveau en matière de sécurité de l'information applicables à la gestion de chaque étape du cycle de vie de la relation fournisseur.

Aligner votre programme TPRM sur les normes ISO

La liste de contrôle ISO pour la conformité des tiers est un guide de 30 pages qui révèle quelles pratiques de gestion des risques technologiques correspondent aux recommandations énoncées dans les normes ISO 27001, 27002 et 27036-2.

Lire la suite
Ressources en vedette Liste de contrôle de l'ISO

Exigences de l'ISO en matière de gestion des risques liés aux tiers

En utilisant une approche descendante, basée sur le risque, les normes ISO fournissent les directives suivantes pour la gestion des fournisseurs :

  • Créez une politique de sécurité de l'information pour les relations avec les fournisseurs, qui décrit les politiques et procédures spécifiques et exige la mise en place de contrôles spécifiques pour gérer les risques.
  • Établir des accords contractuels avec les fournisseurs pour tout tiers susceptible d'accéder aux données d'une organisation, de les traiter, de les stocker, de les communiquer ou de fournir une infrastructure informatique.
  • Inclure des exigences pour traiter les risques de sécurité de l'information associés aux services de technologies de l'information et des communications et à la chaîne d'approvisionnement des produits.
  • Contrôler, examiner et auditer la prestation de services des fournisseurs.
  • Gérer les changements dans les services des fournisseurs, en tenant compte de la réévaluation des risques.

Prevalent permet de répondre à chacune de ces exigences.

Respecter les directives ISO pour les tiers en utilisant la plateforme Prevalent

Voici comment Prevalent peut vous aider à répondre aux normes de gestion des risques des tiers dans les normes ISO 27001, 27002 et 27036-2.

Contrôles ISO 27001 Quelle aide nous apportons

5 Contrôles organisationnels

5.1 Politiques de sécurité de l'information

"La politique de sécurité de l'information et les politiques spécifiques doivent être définies, approuvées par la direction, publiées, communiquées et reconnues par le personnel concerné et les parties intéressées, et réexaminées à intervalles planifiés et en cas de changements importants."

5.2 Rôles et responsabilités en matière de sécurité de l'information

"Les rôles et responsabilités en matière de sécurité de l'information doivent être définis et attribués en fonction des besoins de l'organisation.

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques par des tiers (TPRM) en accord avec vos programmes plus larges de sécurité de l'information, de cybersécurité et de protection de la vie privée, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers - de la recherche de sources d'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairs (par exemple, RACI)
  • Inventaires de tiers
  • Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
  • Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
  • Cartographie de la quatrième partie
  • Sources des données de contrôle continu (cyber, business, réputation, financier)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
  • Conformité et exigences de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

5.7 Renseignements sur les menaces

"Les informations relatives aux menaces pesant sur la sécurité de l'information sont collectées et analysées afin de produire des renseignements sur les menaces.

Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance comprennent :

  • Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde.

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

5.11 Rendement des actifs

"Le personnel et les autres parties intéressées, le cas échéant, doivent restituer tous les biens de l'organisation en leur possession en cas de changement ou de cessation de leur emploi, de leur contrat ou de leur accord.

Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Prevalent utilise des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité avec les lois pertinentes, des paiements finaux, etc. La solution suggère également des actions basées sur les réponses aux évaluations d'intégration et achemine les tâches vers les réviseurs si nécessaire.

5.19 Sécurité de l'information dans les relations avec les fournisseurs

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques de sécurité de l'information associés à l'utilisation des produits ou services du fournisseur.

Prevalent offre une bibliothèque de plus de 200 modèles prédéfinis, y compris des questionnaires ISO dédiés, pour évaluer les risques de sécurité de l'information associés aux tiers.

Les évaluations sont gérées de manière centralisée sur la plateforme Prevalent . Elles s'appuient sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves pour permettre une visibilité des risques liés aux tiers tout au long de la relation avec le fournisseur.

Il est important de noter que Prevalent fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante.

Pour les organisations disposant de ressources et d'une expertise limitées, Prevalent peut gérer le cycle de vie des risques liés aux tiers en votre nom - depuis l'intégration des fournisseurs et la collecte de preuves, jusqu'à la fourniture de conseils en matière de remédiation et l'établissement de rapports sur les accords de niveau de service (SLA) contractuels. Ainsi, vous réduisez les risques liés aux fournisseurs et simplifiez la conformité sans alourdir le personnel interne.

5.20 Prise en compte de la sécurité de l'information dans les accords avec les fournisseurs

"Les exigences pertinentes en matière de sécurité de l'information sont établies et convenues avec chaque fournisseur en fonction du type de relation qu'il entretient avec lui."

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il offre également des fonctionnalités de flux de travail permettant d'automatiser le cycle de vie des contrats, de l'entrée à la sortie.

Les capacités clés comprennent :

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
  • Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des technologies de l'information et de la communication (TIC)

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques liés à la sécurité de l'information dans la chaîne d'approvisionnement des produits et services TIC.

Prevalent standardise les évaluations par rapport aux meilleures pratiques ISO et à d'autres cadres de contrôle de la sécurité de l'information, fournissant aux équipes d'audit interne et de sécurité informatique une plate-forme centrale pour mesurer et démontrer le respect des pratiques de développement de logiciels sécurisés et du cycle de vie du développement logiciel (SDLC).

5.22 Suivi, révision et gestion des changements des services des fournisseurs

"L'organisme doit régulièrement contrôler, examiner, évaluer et gérer les changements apportés aux pratiques de sécurité de l'information des fournisseurs et à la prestation de services.

Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance comprennent :

  • Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde.

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

5.23 Sécurité de l'information pour l'utilisation des services en nuage

"Les processus d'acquisition, d'utilisation, de gestion et de sortie des services en nuage doivent être établis conformément aux exigences de l'organisation en matière de sécurité de l'information."

Prevalent standardise les évaluations par rapport à SOC 2, Cyber Essentials, ISO et d'autres cadres de contrôle de la sécurité de l'information, en fournissant des évaluations des contrôles clés par rapport aux exigences des services en nuage.

Ces mêmes évaluations sont également utilisées pour évaluer les contrôles de sécurité de l'information lors de l'abandon des services en nuage.

5.24 Planification et préparation de la gestion des incidents de sécurité de l'information

"L'organisme doit planifier et préparer la gestion des incidents de sécurité de l'information en définissant, en établissant et en communiquant les processus, les rôles et les responsabilités en matière de gestion des incidents de sécurité de l'information.

5.25 Évaluation et décision concernant les événements liés à la sécurité de l'information

"L'organisme doit évaluer les événements liés à la sécurité de l'information et décider s'ils doivent être classés dans la catégorie des incidents de sécurité de l'information.

5.26 Réponse aux incidents liés à la sécurité de l'information

"Les incidents de sécurité de l'information font l'objet d'une réponse conformément aux procédures documentées.

5.28 Collecte de preuves

"L'organisme doit établir et mettre en œuvre des procédures pour l'identification, la collecte, l'acquisition et la conservation des preuves relatives aux événements liés à la sécurité de l'information.

Prevalent permet à votre équipe d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents de fournisseurs tiers en gérant les fournisseurs de manière centralisée, en menant des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance continue de cyber et en accédant à des conseils de remédiation.

Les capacités clés comprennent :

  • Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
  • Suivi en temps réel de la progression du remplissage du questionnaire
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Rapports proactifs des fournisseurs
  • Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

5.30 Préparation des TIC à la continuité des activités

"L'état de préparation des TIC doit être planifié, mis en œuvre, maintenu et testé sur la base des objectifs de continuité des activités et des exigences en matière de continuité des TIC.

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:

  • Automatise la surveillance continue de cyber qui peut prédire d'éventuelles répercussions sur les activités de tiers.
  • Accès à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité des fournisseurs.
  • exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière ou les problèmes opérationnels des fournisseurs

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :

  • Catégoriser les fournisseurs en fonction de leur profil de risque et de leur criticité pour l'entreprise.
  • Définir des objectifs de points de reprise (RPO) et des objectifs de délais de reprise (RTO).
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs pendant les perturbations de l'activité.

5.31 Exigences légales, statutaires, réglementaires et contractuelles

"Les exigences légales, statutaires, réglementaires et contractuelles relatives à la sécurité de l'information et l'approche de l'organisme pour répondre à ces exigences doivent être identifiées, documentées et tenues à jour."

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il offre également des fonctionnalités de flux de travail permettant d'automatiser le cycle de vie des contrats, de l'entrée à la sortie.

Les capacités clés comprennent :

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
  • Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

5.34 Vie privée et protection des informations personnelles identifiables (IPI)

"L'organisation doit identifier et satisfaire les exigences relatives à la préservation de la vie privée et à la protection des IPI conformément aux lois et réglementations applicables et aux exigences contractuelles.

Prevalent offre une plateforme centralisée et collaborative permettant de réaliser des évaluations de la confidentialité et d'atténuer les risques liés à la confidentialité, qu'ils soient internes ou externes. Les principales fonctionnalités d'évaluation de la sécurité des données et de la confidentialité sont les suivantes

  • Évaluations programmées et cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès, le tout résumé dans un registre des risques qui met en évidence les expositions critiques.
  • Évaluations des incidences sur la vie privée pour découvrir les données commerciales et les informations personnelles identifiables (PII) à risque.
  • Évaluation des fournisseurs au regard du GDPR et d'autres réglementations relatives à la protection de la vie privée via le cadre de conformité (PCF) Prevalent - révèle les points sensibles potentiels en mettant en correspondance les risques identifiés et les contrôles spécifiques.
  • Cartographie des risques liés au GDPR et des réponses aux contrôles. Comprend des notes de conformité en pourcentage et des rapports spécifiques aux parties prenantes.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des violations de données des fournisseurs
  • Centralisation de l'intégration, de la distribution, de la discussion, de la conservation et de la révision des contrats des fournisseurs - garantit que les dispositions relatives à la protection des données sont appliquées dès le début de la relation.

5.36 Respect des politiques, règles et normes en matière de sécurité de l'information

"Le respect de la politique de sécurité de l'information de l'organisme, des politiques spécifiques, des règles et des normes doit être régulièrement vérifié.

Avec Prevalent, les auditeurs peuvent établir un programme pour atteindre et démontrer efficacement la conformité. La solution automatise l'audit de conformité de la gestion des risques des tiers en collectant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels.

Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser rapidement les exigences de conformité importantes et d'y répondre.

Contrôles ISO 27002 Quelle aide nous apportons

5.19 Sécurité de l'information dans les relations avec les fournisseurs

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques de sécurité de l'information liés à l'utilisation des produits ou services du fournisseur.

5.19 a) "identifier et documenter les types de fournisseurs (par exemple les services TIC, la logistique, les services publics, les services financiers, les composants de l'infrastructure TIC) qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation" ; b) "identifier et documenter les types de fournisseurs qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation".

5.19 e) "définir les types de composants de l'infrastructure TIC et les services fournis par les fournisseurs qui peuvent affecter la confidentialité, l'intégrité et la disponibilité des informations de l'organisation ;"

La plateforme Prevalent permet aux organisations de classer automatiquement les fournisseurs en fonction de leur score de risque inhérent, de définir des niveaux de diligence appropriés et de déterminer l'étendue des évaluations continues.

Les organisations peuvent également classer les fournisseurs en fonction d'une logique basée sur des règles, sur la base d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

5.19 b) "établir comment évaluer et sélectionner les fournisseurs en fonction de la sensibilité des informations, des produits et des services (par exemple, à l'aide d'une analyse de marché, de références clients, d'un examen des documents, d'évaluations sur place, de certifications) ;"

Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans le cadre des décisions de sélection des fournisseurs.

Prevalent fait passer chaque fournisseur sélectionné aux phases de diligence raisonnable de contractualisation et/ou d'embarquement, faisant ainsi progresser automatiquement le fournisseur dans le cycle de vie des tiers.

Prevalent propose une bibliothèque de plus de 200 modèles prédéfinis pour l'évaluation continue des risques des tiers. Ces modèles sont intégrés aux fonctionnalités natives de cyber, de surveillance des risques commerciaux, financiers et de réputation, qui valident en permanence les résultats de l'évaluation et comblent les lacunes entre les évaluations.

Des recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.

5.19 c ) "évaluer et sélectionner les produits ou services du fournisseur qui disposent de contrôles de sécurité de l'information adéquats et les examiner ; en particulier, l'exactitude et l'exhaustivité des contrôles mis en œuvre par le fournisseur qui garantissent l'intégrité des informations et du traitement des informations du fournisseur et, par conséquent, la sécurité de l'information de l'organisation ;"

Le Snapshot de profilage des risquesPrevalent vous permet de comparer et de surveiller les données démographiques, les technologies de quatrième partie, les scores ESG, les informations récentes sur les affaires et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. Avec le Snapshot, vous pouvez voir les résultats en ligne avec les réponses à l'appel d'offres pour une vue holistique des fournisseurs - leur adéquation à l'objectif et à l'appétence au risque de votre organisation.

5.19 g) "contrôler le respect des exigences établies en matière de sécurité de l'information pour chaque type de fournisseur et chaque type d'accès, y compris l'examen par un tiers et la validation du produit ;"

5.19 h) l'atténuation de la non-conformité d'un fournisseur, qu'elle ait été détectée par le biais d'un contrôle ou par d'autres moyens ;

Avec Prevalent, les auditeurs peuvent établir un programme pour atteindre et démontrer efficacement la conformité. La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des douzaines de réglementations gouvernementales et de cadres sectoriels.

Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO et d'autres cadres réglementaires et les valide grâce à une surveillance continue, ce qui vous permet de visualiser rapidement les exigences de conformité importantes et d'y répondre.

5.19 i) " gérer les incidents et les imprévus liés aux produits et services des fournisseurs, y compris les responsabilités de l'organisation et des fournisseurs ;"

Le servicePrevalent Third-Party Incident Response Service vous permet d'identifier et d'atténuer rapidement l'impact des violations de la chaîne d'approvisionnement en gérant de manière centralisée les fournisseurs, en menant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

5.19 j ) "la résilience et, si nécessaire, les mesures de récupération et d'urgence pour garantir la disponibilité des informations et du traitement de l'information du fournisseur et, par conséquent, la disponibilité de l'information de l'organisation ;"

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:

  • Automatise la surveillance continue de cyber qui peut prédire d'éventuelles répercussions sur les activités de tiers.
  • Accès à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité des fournisseurs.
  • exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière ou les problèmes opérationnels des fournisseurs

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :

  • Catégoriser les fournisseurs en fonction de leur profil de risque et de leur criticité pour l'entreprise.
  • Définir des objectifs de points de reprise (RPO) et des objectifs de délais de reprise (RTO).
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités.

5.19 m) "les exigences visant à garantir une cessation sûre de la relation avec le fournisseur, y compris :

1) la suppression des droits d'accès ;
2) le traitement de l'information
3) la détermination de la propriété intellectuelle développée au cours de la mission ;
4) la portabilité des informations en cas de changement de fournisseur ou d'externalisation ;
6) la gestion des dossiers
7) la restitution des actifs
8) l'élimination sécurisée des informations et des autres actifs associés ;
9) les exigences permanentes en matière de confidentialité"

La plateforme Prevalent automatise l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation.

  • Planifiez des tâches pour examiner les contrats afin de vous assurer que toutes les obligations ont été respectées. Émettez des évaluations de contrat personnalisables pour évaluer le statut.
  • Exploitez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes, les paiements finaux, etc.
  • Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Tirez parti de l'analyse automatique intégrée des documents basée sur le traitement du langage naturel et l'apprentissage automatique d'AWS pour confirmer que les critères clés sont pris en compte.
  • Prenez des mesures concrètes pour réduire le risque lié aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.
  • Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations avec n'importe quel règlement ou cadre.

5.20 Prise en compte de la sécurité dans les accords avec les fournisseurs

"Les exigences pertinentes en matière de sécurité de l'information doivent être établies et convenues avec chaque fournisseur en fonction du type de relation qu'il entretient avec ce dernier.

5.20 d) "les exigences légales, statutaires, réglementaires et contractuelles, y compris la protection des données, le traitement des informations personnellement identifiables (IPI), les droits de propriété intellectuelle et les droits d'auteur, ainsi qu'une description de la manière dont il sera veillé à ce qu'elles soient respectées ;"

Prevalent centralise la distribution, la discussion, la conservation et l'examen des contrats avec les fournisseurs, en veillant à ce que les dispositions clés soient incluses dans les contrats avec les fournisseurs et fassent l'objet d'un suivi permanent.

Les capacités clés comprennent :

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
  • Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

5.20 e) "l'obligation de chaque partie contractuelle de mettre en œuvre un ensemble convenu de contrôles, y compris le contrôle d'accès, l'examen des performances, la surveillance, l'établissement de rapports et l'audit, ainsi que les obligations du fournisseur de se conformer aux exigences de l'organisation en matière de sécurité de l'information ;"

La solution Prevalent permet de réaliser des évaluations internes basées sur le contrôle (sur la base du cadre normalisé ISO et/ou de questionnaires personnalisés). La plateforme comprend des fonctionnalités intégrées de flux de travail qui permettent aux évaluateurs d'interagir efficacement avec les tiers au cours des périodes de collecte et d'examen de la diligence raisonnable. De solides capacités de reporting et d'audit donnent à chaque niveau de gestion les informations dont il a besoin pour examiner correctement les performances de la tierce partie.

Les organisations peuvent évaluer les tiers en fonction de la cybersécurité, de la performance des accords de niveau de service et d'autres critères, et corréler les résultats avec ceux de la surveillance externe continue pour obtenir une vue complète des risques.

5.20 h) "les exigences en matière de sécurité de l'information concernant l'infrastructure TIC du fournisseur ; en particulier, les exigences minimales en matière de sécurité de l'information pour chaque type d'information et chaque type d'accès devant servir de base à des accords individuels avec le fournisseur fondés sur les besoins commerciaux et les critères de risque de l'organisation ;"

5.20 i) "indemnités et mesures correctives en cas de non-respect des exigences par le contractant ;"

Prevalent fournit un cadre pour mesurer de manière centralisée les KPI et KRI des tiers par rapport à vos exigences et pour réduire les lacunes dans la surveillance des fournisseurs grâce à des informations intégrées d'apprentissage automatique (ML) et à des rapports personnalisables basés sur les rôles.

Ces fonctionnalités peuvent aider votre équipe à découvrir les tendances en matière de risques et de performances, à déterminer le statut des risques pour les tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie.

Des recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.

5.20 j) "exigences et procédures en matière de gestion des incidents (en particulier la notification et la collaboration pendant la remédiation de l'incident) ;"

Prevalent permet à votre équipe d'identifier rapidement les incidents de sécurité des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact, dans le cadre d'une stratégie plus large de gestion des incidents.

Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact éventuel sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel aux experts de Prevalent .

5.20 l) "les dispositions pertinentes pour la sous-traitance, y compris les contrôles qui doivent être mis en œuvre, tels que l'accord sur l'utilisation des sous-traitants (par exemple, exiger qu'ils soient soumis aux mêmes obligations que le fournisseur, exiger une liste des sous-traitants et une notification avant tout changement) ;"

Prevalent peut identifier les relations de sous-traitance de quatrième et de nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins de l'information et les dépendances qui pourraient exposer votre environnement à des risques.

Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP.

Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique.

5.20 o) "les mécanismes de preuve et d'assurance des attestations de tiers pour les exigences pertinentes en matière de sécurité de l'information liées aux processus du fournisseur et un rapport indépendant sur l'efficacité des contrôles ;"

5.20 q) "l'obligation pour le fournisseur de remettre périodiquement un rapport sur l'efficacité des contrôles et l'accord sur la correction en temps utile des problèmes pertinents soulevés dans le rapport ;"

Leservice de validation des contrôles Prevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués.

Prevalent Les experts examinent d'abord les réponses à l'évaluation, qu'elles proviennent de questionnaires personnalisés ou normalisés. Nous mettons ensuite les réponses en correspondance avec les normes ISO et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour développer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Prevalent offre l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes.

5.20 x) "les clauses de résiliation à la fin de l'accord, y compris la gestion des dossiers, la restitution des actifs, l'élimination en toute sécurité des informations et des autres actifs associés, et toute obligation de confidentialité en cours ;"

5.20 y) la mise à disposition d'une méthode permettant de détruire en toute sécurité les informations de l'organisation stockées par le fournisseur dès qu'elles ne sont plus nécessaires ;"

5.20 z) assurer, à la fin du contrat, le transfert du soutien à un autre fournisseur ou à l'organisation elle-même ;"

Prevalent Les fonctionnalités degestion du cycle de vie des contrats garantissent que les dispositions clés sont incluses dans les contrats avec les fournisseurs et qu'elles font l'objet d'un suivi permanent. Les évaluations automatisées des contrats et les procédures d'abandon, telles que les rapports sur l'accès aux systèmes, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes et les paiements finaux, réduisent le risque d'exposition post-contractuelle de votre organisation.

5.21 Gérer la sécurité de l'information dans la chaîne d'approvisionnement en TIC

"Des processus et des procédures doivent être définis et mis en œuvre pour gérer les risques liés à la sécurité de l'information dans la chaîne d'approvisionnement des produits et services TIC.

5.21 b) "exiger que les fournisseurs de services TIC propagent les exigences de sécurité de l'organisation tout au long de la chaîne d'approvisionnement s'ils sous-traitent des parties du service TIC fourni à l'organisation ;"

5.21 c ) "exiger que les fournisseurs de produits TIC propagent des pratiques de sécurité appropriées tout au long de la chaîne d'approvisionnement si ces produits comprennent des composants achetés ou acquis auprès d'autres fournisseurs ou d'autres entités (par exemple, des développeurs de logiciels en sous-traitance et des fournisseurs de composants matériels) ;"

5.21 f) "mettre en œuvre un processus de contrôle et des méthodes acceptables pour valider que les produits et services TIC fournis sont conformes aux exigences de sécurité énoncées. Des exemples de ces méthodes d'examen par le fournisseur peuvent inclure des tests de pénétration et la preuve ou la validation d'attestations de tiers pour les opérations de sécurité de l'information du fournisseur ;"

Prevalent peut identifier les relations de sous-traitance de quatrième et de Nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique du tiers.

La carte des relations qui en résulte décrit les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques.

Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP.

Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique.

5.21 g) "mettre en œuvre un processus permettant d'identifier et de documenter les composants du produit ou du service qui sont essentiels au maintien de la fonctionnalité et qui, par conséquent, nécessitent une attention, un examen et un suivi accrus lorsqu'ils sont fabriqués en dehors de l'organisation, en particulier si le fournisseur sous-traite certains aspects des composants du produit ou du service à d'autres fournisseurs ;"

Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de leur criticité ou de l'ampleur des menaces qui pèsent sur leurs actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation.

5.22 Suivi, révision et gestion des changements des services des fournisseurs

"L'organisme devrait régulièrement surveiller, examiner, évaluer et gérer les changements dans les pratiques de sécurité de l'information des fournisseurs et dans la prestation de services.

5.22 a) "contrôler les niveaux de performance des services pour vérifier le respect des accords ;"

Avec la plateforme Prevalent , les organisations peuvent personnaliser les enquêtes pour faciliter la collecte et l'analyse des données nécessaires sur les performances et les contrats dans un registre des risques unique. Prevalent identifie les attributs clés des contrats relatifs aux accords de niveau de service ou aux performances, remplit ces exigences dans la plateforme et vous assigne des tâches, à vous et à votre tiers, à des fins de suivi.

5.22 b) "surveiller les changements apportés par les fournisseurs, y compris :

1) l'amélioration des services actuellement offerts ;
2) le développement de nouvelles applications et de nouveaux systèmes ;
3) les modifications ou mises à jour des politiques et procédures du fournisseur ;
4) des contrôles nouveaux ou modifiés pour résoudre les incidents de sécurité de l'information et pour améliorer la sécurité de l'information ;"

5.22 c) "surveiller les changements dans les services des fournisseurs, y compris :

1) les modifications et l'amélioration des réseaux
2) l'utilisation de nouvelles technologies
3) l'adoption de nouveaux produits ou de nouvelles versions ;
4) nouveaux outils et environnements de développement
5) modification de l'emplacement physique des installations de service ;
6) changement de sous-fournisseurs
7) la sous-traitance à un autre fournisseur ;"

Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

Les sources de surveillance comprennent :

  • Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde.

Comme toutes les menaces ne sont pas des cyberattaques directes, Prevalent incorpore également des données provenant des sources suivantes pour ajouter du contexte aux conclusions de cyber :

  • 550 000 sources publiques et privées d'informations sur la réputation, notamment les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
  • Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performance financière, y compris le chiffre d'affaires, les profits et pertes, les fonds des actionnaires, etc.
  • 30 000 sources d'information mondiales
  • Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
  • Listes de sanctions mondiales et plus de 1 000 listes d'exécution mondiales et dossiers judiciaires

5.22 e) "effectuer des audits des fournisseurs et des sous-fournisseurs, conjointement avec l'examen des rapports des auditeurs indépendants, le cas échéant, et assurer le suivi des problèmes identifiés ;"

Le service de validation des contrôles Prevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués.

Prevalent Les experts examinent d'abord les réponses à l'évaluation, qu'elles proviennent de questionnaires personnalisés ou normalisés. Nous mettons ensuite les réponses en correspondance avec les normes ISO et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour développer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Prevalent offre l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes.

5.22 f) "fournir des informations sur les incidents de sécurité de l'information et revoir ces informations comme l'exigent les accords et les lignes directrices et procédures correspondantes ;"

5.22 g) "examiner les pistes d'audit du fournisseur et les dossiers relatifs aux événements liés à la sécurité de l'information, aux problèmes opérationnels, aux défaillances, à la localisation des pannes et aux interruptions liées au service fourni ;"

5.22 h) "réagir à tout événement ou incident identifié en matière de sécurité de l'information et le gérer ;"

Prevalent permet à votre équipe d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents de fournisseurs tiers en gérant les fournisseurs de manière centralisée, en menant des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance continue de cyber et en accédant à des conseils de remédiation.

Les capacités clés comprennent :

  • Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
  • Suivi en temps réel de la progression du remplissage du questionnaire
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Rapports proactifs des fournisseurs
  • Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

5.22 i) "identifier les vulnérabilités en matière de sécurité de l'information et les gérer ;"

Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille Internet et le dark web à la recherche de menaces et de vulnérabilités sur cyber , en corrélant les données de surveillance avec les résultats de l'évaluation et en les centralisant dans un registre des risques unifié pour chaque fournisseur, ce qui rationalise l'examen des risques, les rapports et les initiatives de réponse.

Les sources de surveillance comprennent :

  • Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour

5.22 j) "examiner les aspects relatifs à la sécurité de l'information dans les relations du fournisseur avec ses propres fournisseurs".

Prevalent peut identifier les relations de sous-traitance de quatrième et de nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins de l'information et les dépendances qui pourraient exposer votre environnement à des risques.

Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP.

5.22 k) veiller à ce que le fournisseur maintienne une capacité de service suffisante ainsi que des plans réalisables conçus pour garantir que les niveaux de continuité de service convenus sont maintenus à la suite de défaillances de service ou de catastrophes majeures ;"

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :

  • Catégoriser les fournisseurs en fonction de leur profil de risque et de leur criticité pour l'entreprise.
  • Définir des objectifs de points de reprise (RPO) et des objectifs de délais de reprise (RTO).
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs pendant les perturbations de l'activité.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité.

5.22 m) "évaluer régulièrement que les fournisseurs maintiennent des niveaux de sécurité de l'information adéquats ;"

Prevalent automatise l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.

Grâce à une bibliothèque de plus de 200 évaluations standardisées, à des capacités de personnalisation, à un flux de travail et à des mesures correctives intégrés, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports.

Avec Prevalent, vous pouvez facilement rassembler et corréler les renseignements sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pour la gestion de l'information, en fonction de la criticité du tiers, telle que déterminée par l'évaluation du risque inhérent.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre unique des risques avec des cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à cet aperçu, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

ISO 27036-2 Contrôles Quelle aide nous apportons

6 Sécurité de l'information dans la gestion des relations avec les fournisseurs

6.1.1.1 Processus d'accord / Processus d'acquisition / Objectif

Établir une stratégie de relations avec les fournisseurs qui :

  • est basé sur la tolérance au risque de sécurité de l'information de l'acquéreur ;
  • définit les fondements de la sécurité de l'information à utiliser lors de la planification, de la préparation, de la gestion et de la clôture de l'acquisition d'un produit ou d'un service.

6.1.2.1 Processus d'accord / Processus d'approvisionnement / Objectif

Établir une stratégie de relations avec les acquéreurs qui :

  • est basé sur la tolérance au risque de sécurité de l'information du fournisseur ;
  • définit le référentiel de sécurité de l'information à utiliser lors de la planification, de la préparation, de la gestion et de la clôture de la fourniture d'un produit ou d'un service.

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risques et de conformité, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques, et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairs (par exemple, RACI)
  • Inventaires de tiers
  • Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
  • Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
  • Cartographie de la quatrième partie
  • Sources des données de contrôle continu (cyber, business, réputation, financier)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
  • Conformité et exigences de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

6.2.1 Processus organisationnel d'appui au projet / Processus de gestion du modèle de cycle de vie

a) L'acquéreur et le fournisseur doivent établir le processus de gestion du modèle de cycle de vie lors de la gestion de la sécurité des informations dans les relations avec les fournisseurs.

Prevalent permet d'éliminer les risques de sécurité et de conformité liés à la collaboration avec des vendeurs, des fournisseurs et d'autres tierces parties tout au long du cycle de vie du risque lié aux vendeurs, de la recherche et de la sélection à l'intégration et à tout ce qui se trouve entre les deux.

6.2.2.1 Processus organisationnel d'appui au projet / Processus de gestion de l'infrastructure / Objectif

a) Fournir l'infrastructure nécessaire pour aider l'organisation à gérer la sécurité des informations dans le cadre des relations avec les fournisseurs.

Prevalent fournit une plateforme SaaS centrale qui permet aux acquéreurs et aux fournisseurs de collaborer à la réduction des risques en automatisant les évaluations des risques par rapport à plus de 200 normes industrielles, dont l'ISO. Grâce à cette plateforme, les acquéreurs bénéficient d'un flux de travail et de mesures correctives intégrés, d'analyses et de rapports automatisés.

6.2.2.2 Processus organisationnels facilitant le projet / Processus de gestion des infrastructures / Activités

b) Définir, mettre en œuvre, maintenir et améliorer les dispositions d'urgence afin de garantir que l'achat ou la fourniture d'un produit ou d'un service puisse se poursuivre en cas d'interruption due à des causes naturelles ou anthropiques.

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes ISO et d'autres cadres de contrôle.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:

  • Automatise la surveillance continue de cyber qui peut prédire d'éventuelles répercussions sur les activités de tiers.
  • Accès à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité des fournisseurs.
  • exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière ou les problèmes opérationnels des fournisseurs

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :

  • Catégoriser les fournisseurs en fonction de leur profil de risque et de leur criticité pour l'entreprise.
  • Définir des objectifs de points de reprise (RPO) et des objectifs de délais de reprise (RTO).
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs pendant les perturbations de l'activité.

6.2.3.2 Processus / Activités de gestion du portefeuille de projets

a) Définir, mettre en œuvre, maintenir et améliorer un processus permettant d'identifier et de classer les fournisseurs ou
acquéreurs en fonction de la sensibilité des informations qui leur sont communiquées et du niveau d'accès qui leur est accordé aux actifs de l'acquéreur ou du fournisseur, tels que les informations et les systèmes d'information ;

Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de leur criticité ou de l'ampleur des menaces qui pèsent sur leurs actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation.

6.3.4.1 Processus de projet / Processus de gestion des risques / Objectif

a) Traiter en permanence les risques liés à la sécurité de l'information dans les relations avec les fournisseurs et tout au long de leur cycle de vie, notamment en les réexaminant périodiquement ou en cas de changements importants dans les activités, les lois, les règlements, l'architecture, les politiques et les contrats.

Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

Les sources de surveillance comprennent :

  • Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde.

Comme toutes les menaces ne sont pas des cyberattaques directes, Prevalent incorpore également des données provenant des sources suivantes pour ajouter du contexte aux conclusions de cyber :

  • 550 000 sources publiques et privées d'informations sur la réputation, notamment les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
  • Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performance financière, y compris le chiffre d'affaires, les profits et pertes, les fonds des actionnaires, etc.
  • 30 000 sources d'information mondiales
  • Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
  • Listes de sanctions mondiales et plus de 1 000 listes d'exécution mondiales et dossiers judiciaires

6.3.7.1 Processus de projet / Processus de mesure / Objectif

a) Collecter, analyser et rendre compte des mesures de sécurité de l'information liées à l'achat ou à la fourniture d'un produit ou d'un service afin de démontrer la maturité de la sécurité de l'information dans une relation de fournisseur et de soutenir une gestion efficace des processus.

Prevalent automatise l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.

Grâce à une bibliothèque de plus de 200 évaluations standardisées, à des capacités de personnalisation, à un flux de travail et à des mesures correctives intégrés, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports.

Avec Prevalent, vous pouvez facilement rassembler et corréler les renseignements sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pour la gestion de l'information, en fonction de la criticité du tiers, telle que déterminée par l'évaluation du risque inhérent.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre unique des risques avec des cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à cet aperçu, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

7 Sécurité de l'information dans une relation avec un fournisseur

7.2.1 Processus de sélection des fournisseurs / Objectifs

a) Choisir un fournisseur qui offre une sécurité de l'information adéquate pour le produit ou le service qui peut être acheté.

Le Snapshot de profilage des risquesPrevalent vous permet de comparer et de surveiller les données démographiques, les technologies de quatrième partie, les scores ESG, les informations récentes sur les affaires et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. Avec le Snapshot, vous pouvez voir les résultats en ligne avec les réponses à l'appel d'offres pour une vue holistique des fournisseurs - leur adéquation à l'objectif et à l'appétence au risque de votre organisation.

7.3.1 Processus de gestion des relations avec les fournisseurs / Objectif

Établir et approuver un accord de relation avec le fournisseur portant sur les points suivants :
- les rôles et responsabilités de l'acquéreur et du fournisseur en matière de sécurité de l'information ;
- les contrôles de sécurité requis en matière de sécurité de l'information, de sécurité des TIC, de sécurité du personnel et de sécurité physique ;
- un processus de transition lorsque le produit ou le service a été précédemment exploité ou fabriqué par une partie différente du fournisseur ;
- la gestion des changements en matière de sécurité de l'information ;
- la gestion des incidents liés à la sécurité de l'information ;
- le contrôle et l'application de la conformité
- un processus de résiliation.

La plateforme Prevalent automatise les flux de travail nécessaires à l'évaluation, la gestion, le contrôle continu et la correction des risques liés à la sécurité, à la confidentialité, à la conformité et à la chaîne d'approvisionnement des tiers à chaque étape du cycle de vie des fournisseurs. La solution :

  • Automatisation de l'intégration et de la désintoxication des fournisseurs
  • Profils, niveaux, scores de risque inhérent pour tous les fournisseurs
  • Automatisation de la cartographie des tiers et des données démographiques des fournisseurs dans un profil central
  • Fournit la plus grande bibliothèque d'évaluations des risques standardisées et personnalisées avec gestion intégrée des flux de travail, des tâches et des preuves.
  • Intégration de la surveillance native des risques cyber, commerciaux, financiers et de réputation, afin d'établir une corrélation entre les risques et les résultats de l'évaluation et de valider les conclusions.
  • Inclut des analyses d'apprentissage automatique pour normaliser et corréler les résultats provenant de sources multiples.
  • Fournit des rapports sur la conformité et les risques en fonction du cadre ou de la réglementation
  • Améliore la gestion des mesures correctives grâce à des conseils intégrés
  • Inclut la gestion des contrats et des appels d'offres pour permettre une gestion plus complète des risques avant l'intégration.
  • Automatisation de la réponse aux incidents par des tiers

7.4.1 Processus de gestion des relations avec les fournisseurs / Objectifs

a) Maintenir la sécurité de l'information pendant la période d'exécution de la relation avec le fournisseur conformément à l'accord sur la relation avec le fournisseur et en tenant particulièrement compte des éléments suivants :

4) Contrôler et faire respecter par le fournisseur les dispositions relatives à la sécurité de l'information définies dans l'accord de relation avec le fournisseur.

Grâce à la plateforme Prevalent , les acquéreurs peuvent automatiquement mettre en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les cadres réglementaires - y compris les normes ISO et bien d'autres - afin de visualiser et de traiter rapidement les exigences de conformité importantes à chaque étape du cycle de vie des fournisseurs.

7.5.1 Processus de résiliation de la relation avec le fournisseur / Objectifs

a) Protéger la fourniture du produit ou du service pendant la résiliation afin d'éviter tout impact sur la sécurité de l'information, la législation et la réglementation après la notification de la résiliation ;

b) Mettre fin à la fourniture du produit ou du service conformément au plan de résiliation.

La plateforme Prevalent automatise l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation.

  • Planifiez des tâches pour examiner les contrats afin de vous assurer que toutes les obligations ont été respectées. Émettez des évaluations de contrat personnalisables pour évaluer le statut.
  • Exploitez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes, les paiements finaux, etc.
  • Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Tirez parti de l'analyse automatique intégrée des documents basée sur le traitement du langage naturel et l'apprentissage automatique d'AWS pour confirmer que les critères clés sont pris en compte.
  • Prenez des mesures concrètes pour réduire le risque lié aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.
  • Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations avec n'importe quel règlement ou cadre.

Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.

Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources en vedette Manuel de conformité Cybersécurité

Les prochaines étapes de la conformité ISO

Les normes ISO présentées ici exigent une gestion et un suivi rigoureux des risques liés à la sécurité des fournisseurs tiers et à la confidentialité des données. Elles précisent ce qui suit :

  • Une politique de sélection des fournisseurs basée sur les pratiques de sécurité de l'information doit être mise en place.
  • Une politique de gestion des risques doit être mise en place
  • Une politique doit être codifiée dans les accords avec les fournisseurs
  • Les fournisseurs doivent être gérés et audités selon les exigences convenues.

Disposer de solides systèmes de gestion de la sécurité de l'information fait partie du cycle de vie du fournisseur et nécessite une vision interne complète des contrôles en place ainsi qu'une surveillance continue de tous les tiers. Cela ne peut pas être abordé avec un simple scan automatisé externe ou avec des feuilles de calcul. Prevalent fournit une plate-forme unifiée qui peut aider à auditer efficacement les contrôles de sécurité des fournisseurs pour assurer la conformité ISO.

Contactez-nous dès aujourd'hui pour une démonstration personnalisée ou téléchargez la liste de contrôle de la conformité des tiers aux normes ISO pour savoir comment Prevalent peut répondre à vos exigences ISO.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo