La norme de protection des infrastructures critiques (CIP) de la North American Electric Reliability Corporation (NERC) ( CIP-013-1) établit de nouvelles exigences en matière de cybersécurité pour les entreprises d'électricité et de services publics afin d'assurer, de préserver et de prolonger la fiabilité du système électrique en vrac (BES). Applicable à partir du 1er juillet 2020, les entités responsables ont 18 mois pour se mettre en conformité afin d'éviter les pénalités. Le NERC est autorisé à pénaliser les entités enregistrées jusqu'à 1 million de dollars par jour et par violation non résolue.
Lagestion des risques liés aux tiers joue un rôle essentiel pour garantir la sécurité de la chaîne d'approvisionnement grâce à l'évaluation régulière des contrôles de sécurité internes des partenaires de la chaîne d'approvisionnement et à la surveillance permanente des risques liés aux fournisseurs en temps réel. Cette vision interne et externe offre une visibilité plus complète des risques liés à la chaîne d'approvisionnement.
Ce blog passe en revue les exigences de la norme CIP-013-1 et met en correspondance les capacités disponibles dans la plateforme de gestion des risques des tiers Prevalent avec ces exigences.
Ce blog se concentre sur les exigences fondamentales de la conformité à la norme CIP-013-1, notamment dans les domaines des notifications de cybersécurité, de la gestion des actifs, des changements et des configurations, et de la gouvernance. Chacun de ces domaines peut être facilement évalué grâce aux fonctionnalités disponibles sur la plateforme Prevalent .
Au minimum, les entités évaluent si leur(s) fournisseur(s) peuvent répondre aux critères de sécurité de base :
1.2.1 Notification/reconnaissance des incidents de sécurité Cyber
Les fournisseurs doivent être en mesure d'identifier le moment où un incident s'est produit afin de s'assurer que le fournisseur peut notifier l'entité dans le cas d'un tel incident. Prevalent permet aux entités responsables d'évaluer régulièrement les plans de réponse aux incidents de leurs fournisseurs, en exigeant le téléchargement des plans sur la plateforme pour validation. Avec ce niveau d'examen, les entités ont une visibilité sur la façon dont un partenaire de la chaîne d'approvisionnement répondrait à une violation ou à un incident sur le site cyber . Les outils de surveillance et de notation ne peuvent pas fournir ce niveau de contrôle interne ou de visibilité des processus, mais ils peuvent compléter les évaluations pour déclencher la divulgation publique d'un incident.
1.2.2 Coordination des réponses aux incidents de sécurité Cyber
Les fournisseurs doivent coordonner avec l'entité leurs réponses aux incidents liés aux produits ou services fournis à l'entité qui posent un risque de sécurité pour l'entité ( cyber ). Prevalent fournit une plateforme centrale pour l'examen des preuves soutenant les plans de communication et de réponse aux incidents, avec la flexibilité de construire un flux de travail, des tâches et des voies d'escalade personnalisés pour permettre une réponse rapide.
1.2.3 Notification lorsque l'accès à distance ou sur place n'est plus nécessaire ou ne devrait plus être disponible pour les représentants du fournisseur
Les fournisseurs devraient réagir en conséquence aux changements de personnel. Un fournisseur devrait être en mesure d'informer l'entité lorsqu'un changement de personnel se produit, qui pourrait avoir une incidence sur la question de savoir si l'accès à distance doit encore être disponible ou non pour les représentants du fournisseur. La plateforme Prevalent comprend un assistant de création d'enquêtes personnalisées qui permet aux organisations de créer et d'émettre une enquête personnalisable pour le départ, posant des questions spécifiques au fournisseur et à l'équipe interne concernant l'accès au système, la destruction des données et les paiements finaux, avec des flux de travail intégrés pour garantir que le processus de séparation est transparent.
1.2.4 Identification des vulnérabilités Les vendeurs doivent informer une entité lorsqu'une vulnérabilité liée à un produit ou à un service est identifiée.
Afin de respecter cette obligation, un fournisseur doit savoir quand une vulnérabilité existe dans son environnement. La plateforme Prevalent offre des preuves et des processus de validation de l'existence de telles politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. Les capacités intégrées de surveillance continue complètent les évaluations en effectuant un balayage externe des vulnérabilités pour les interfaces de services Web, les résultats étant intégrés dans un registre unique des risques.
1.2.5. Vérification de l'intégrité et de l'authenticité de tous les logiciels et correctifs fournis par le vendeur pour être utilisés dans le système BES Cyber .
La plateforme Prevalent comprend plus de 50 questionnaires standard intégrés (tels que ceux de la CIP, du NIST, de l'ISO et d'autres), dont beaucoup posent des questions spécifiques sur la cadence des correctifs et les contrôles d'intégrité des logiciels pour les systèmes internes. Les réponses à ces questions sont transformées en risques si les seuils de correctifs appropriés ne sont pas atteints, ce qui permet d'informer les entités responsables des risques potentiels.
1.2.6 Coordination des contrôles pour l'accès à distance interactif initié par un fournisseur et l'accès à distance de système à système avec un fournisseur
Les fournisseurs doivent se coordonner avec les entités pour contrôler l'accès à distance interactif initié par le fournisseur et s'assurer que l'accès à distance de système à système avec un fournisseur est géré de manière appropriée. La plateforme Prevalent offre une preuve et un processus de validation de l'existence de telles politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir cette preuve.
Lorsqu'une entité effectue une évaluation des risques et considère l'exposition aux risques des produits ou services à acquérir dans son environnement, des contrôles de sécurité supplémentaires sur cyber peuvent être nécessaires pour protéger l'environnement opérationnel de l'entité. Une entité peut envisager d'obtenir et d'évaluer des informations supplémentaires concernant les capacités du fournisseur en ce qui concerne les domaines de sécurité suivants.
La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques.
Lorsqu'une entité effectue une évaluation des risques et considère l'exposition aux risques des produits ou services à acquérir dans son environnement, des contrôles de sécurité supplémentaires sur cyber peuvent être nécessaires pour protéger l'environnement opérationnel de l'entité. Une entité peut envisager d'obtenir et d'évaluer des informations supplémentaires concernant les capacités du fournisseur en ce qui concerne les domaines de sécurité suivants.
La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques.
La plateforme de gestion des risques des tiers (TPRM)Prevalent contribue à la conformité à la norme CIP du NERC en permettant aux compagnies d'électricité de centraliser l'évaluation des contrôles internes de leurs partenaires de la chaîne d'approvisionnement, en fournissant un référentiel de preuves et de documents justificatifs qui peuvent être utilisés pour auditer et valider la présence de la mesure de sécurité appropriée de la chaîne d'approvisionnement. Grâce à la surveillance continue intégrée de la sécurité et de l'activité de cyber qui peut informer l'émission d'évaluations secondaires basées sur des critères déclenchés, la plateforme Prevalent fournit une solution plus complète pour la gestion des risques de la chaîne d'approvisionnement que ce qui est offert par les outils de notation uniquement.
De plus, la plateforme d'évaluation Prevalent prend en charge les questionnaires, les registres de risques et les rapports par rapport à plusieurs cadres standard de l'industrie, notamment le NIST CSF, PCI DSS 3.2, HIPAA et SOC 2, en utilisant le cadre de conformité Prevalent . Les organisations n'ont qu'à poser une seule série de questions et à faire correspondre les résultats à un certain nombre de ces réglementations, ce qui simplifie et accélère les rapports de conformité.
Pour en savoir plus sur la façon dont Prevalent peut aider à répondre aux exigences de conformité de plusieurs réglementations, téléchargez notre livre blanc : Le manuel de conformité de la gestion des risques liés aux tiers.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024