Gestion des risques liés aux tiers : Comment rester en dehors du radar réglementaire

Note de l'éditeur : Ceci est le premier blog d'une série intitulée Third-Party Risk Management : Comment rester en dehors du radar réglementaire. Chaque semaine, nous analyserons une réglementation, une norme industrielle ou un cadre de sécurité qui exige des organisations qu'elles adoptent un programme de gestion des risques liés aux tiers pour renforcer les contrôles de sécurité informatique et réduire les risques. Nous mettrons en évidence les principales exigences en matière de gestion des risques liés aux tiers et les mesures à prendre pour respecter la conformité réglementaire et tenir les auditeurs à distance.

Quel que soit le secteur d'activité, la conformité et le reporting d'entreprise constituent une partie essentielle des opérations quotidiennes. Garantir l'adhésion interne aux réglementations, aux directives et aux normes industrielles est, au mieux, complexe et difficile, mais si l'on y ajoute les mandats de conformité relatifs aux tiers, aux fournisseurs, aux associés commerciaux et aux partenaires de la chaîne d'approvisionnement, la charge de la gestion du risque lié aux données prend une toute autre trajectoire.

Il est clair qu'avec l'augmentation des menaces sur cyber , les organisations doivent faire davantage pour renforcer leurs défenses. Cela inclut l'examen de la position de sécurité des fournisseurs de l'organisation.

Une société numérique de plus en plus complexe

Grâce aux technologies modernes et à l'internet, les organisations externalisent aujourd'hui à un rythme rapide. Il y a de nombreuses raisons à cela. L'une des plus importantes est de se concentrer sur les compétences de base et de développer la propriété intellectuelle. Une autre raison est de réduire les coûts. L'externalisation de fonctions spécifiques à des prestataires de services spécialisés permet de réaliser des gains d'efficacité, car il est moins coûteux pour l'expert de le faire. Cela stimule les performances et aide les entreprises à rester pertinentes dans un contexte de concurrence féroce.

Les entreprises développent leur "entreprise étendue", souvent jusqu'à 20% l'année dernière. Les fournisseurs deviennent de plus en plus des "partenaires stratégiques", où tout le monde est gagnant, mais cela a un coût.

Les tiers sont d'énormes cibles pour les attaques

Il suffit de prendre un journal ou de parcourir les derniers sites de médias sociaux pour constater que les entreprises, grandes et petites, sont confrontées à des violations de données très médiatisées. Cela se produit dans tous les secteurs d'activité et dans toutes les zones géographiques. Selon une récente étude Ponemon, 61 % des entreprises américaines ont déclaré avoir été victimes d'une violation de données causée par l'un de leurs fournisseurs ou des tiers. Et cela ne passe pas inaperçu !

Face aux menaces croissantes, les régulateurs agissent

Il semble que chaque mois, une nouvelle législation ou une mise à jour de la législation existante soit promulguée et se concentre sur la manière de combattre le risque lié aux tiers. Alors que traditionnellement nous supposions que cela s'appliquait principalement aux verticaux des services financiers et de la santé, les réglementations s'étendent à tous les marchés, ainsi que l'examen minutieux des auditeurs qui les accompagne, exigeant que les organisations créent un programme de gestion des risques liés aux tiers pour évaluer, surveiller et gérer les risques liés aux fournisseurs.

Pour se conformer aux réglementations et aux normes, les organisations doivent adopter un programme de gestion des risques liés aux tiers (TPRM). Ce programme comprend une approche en plusieurs étapes dans laquelle vous :

1. Définissez les règles d'engagement des tiers en fonction de la tolérance au risque de votre organisation et de ses politiques en matière de sécurité et de confidentialité des données.
2. Inclure ces règles, ainsi que des exigences en matière d'audit, dans tous les contrats avec des tiers.
3. évaluer les tiers par le biais d'évaluations des risques sous forme de questionnaires ou d'enquêtes
4. Contrôler les tiers pour vérifier la conformité

Comme nous l'avons indiqué, l'une des principales exigences de chaque législation ou norme est la réalisation d'une évaluation des risques liés aux fournisseurs. Ce n'est pas une bonne chose, mais une obligation pour la plupart des législations.

Qu'est-ce qu'une évaluation des risques par un tiers ?

Lesévaluations des risques fournissent une approche interne pour déterminer la conformité des fournisseurs aux contrôles de sécurité informatique et aux exigences en matière de confidentialité des données, tout en garantissant que les tiers respectent les mêmes niveaux de conformité que votre organisation. L'objectif de l'évaluation est de comprendre comment les données sont sécurisées et d'identifier les risques. Les flux de travail de remédiation entre une organisation et ses fournisseurs facilitent la gestion et l'atténuation des risques.

Si les orientations réglementaires varient légèrement d'une autorité de tutelle à l'autre et d'un organisme de normalisation à l'autre, tous s'accordent à dire que la réalisation d'une évaluation des risques, avec une diligence raisonnable avant et pendant le cycle de vie de chaque relation commerciale, est une étape essentielle pour réduire les risques liés aux tiers. Ces évaluations des risques sont non seulement obligatoires en vertu de la plupart des réglementations, mais elles peuvent également constituer un outil essentiel pour les organisations qui mettent en place des mesures plus strictes de sécurité des données et de la vie privée.

Vous DEVEZ évaluer vos vendeurs !

Toutes les réglementations, directives et normes industrielles énumérées ci-dessous exigent l'utilisation d'évaluations des risques par des tiers, basées sur des contrôles internes. Bien que la notation ou le classement des risques de l'extérieur puisse fournir des informations sur les risques, elle ne répondra pas aux exigences de conformité si elle est utilisée comme seul mécanisme d'évaluation des risques liés aux fournisseurs. Il est préférable de combiner les évaluations et la surveillance, mais vous devez au moins évaluer les fournisseurs.

Comment les solutions Prevalent répondent aux exigences de conformité des tiers

Prevalent offre une plateforme unifiée de gestion des risques liés aux tiers qui vous permet de mieux révéler, interpréter et atténuer les risques. Livrée dans la simplicité du cloud, la plateforme Prevalent combine l'évaluation automatisée des fournisseurs avec la surveillance continue des menaces pour simplifier la conformité, réduire les risques de sécurité et améliorer l'efficacité. Les principales fonctionnalités comprennent :

• Une bibliothèque de plus de 50 questionnaires d'évaluation prédéfinis et personnalisables, soutenue par des capacités automatisées de collecte et d'analyse des données des vendeurs
• des flux de travaux de remédiation bidirectionnels pour faciliter la gestion et l'atténuation des risques, avec des pistes d'audit complètes pour toutes les communications avec les fournisseurs et les décisions relatives aux risques.
• Une console centrale de reporting pour visualiser le statut de conformité et de risque dans l'ensemble du paysage des fournisseurs.
• Des évaluations uniques de la cartographie des données pour identifier où se trouvent les données réglementées au sein d'une organisation - à la fois en interne et avec des fournisseurs tiers.
• Des capacités approfondies d'audit de la sécurité des données et de surveillance des activités qui vous permettent d'aller au-delà des rapports tactiques sur la santé du réseau pour révéler les risques opérationnels, financiers, juridiques et de marque critiques.

Avec Prevalent, vous obtenez une vue à 360 degrés du risque lié aux fournisseurs - à la fois interne et externe - pour gérer la conformité réglementaire et vous aligner sur les normes et directives du secteur.

Faites confiance à Prevalent pour vous aider à gérer la conformité réglementaire

Pour en savoir plus sur la mise en conformité, téléchargez dès aujourd'hui le manuel de conformité de la gestion des risques liés aux tiers. Il passe en revue les principales exigences en matière de gestion des risques liés aux tiers dans les cadres réglementaires et de sécurité courants, tout en mettant en correspondance les capacités de gestion des risques liés aux tiers de Prevalent avec des mandats spécifiques. Il s'agit d'une lecture essentielle pour toute personne responsable de la gestion des initiatives de conformité de la chaîne d'approvisionnement.