Note de l'éditeur : Ceci est le premier blog d'une série intitulée Third-Party Risk Management : Comment rester en dehors du radar réglementaire. Chaque semaine, nous analyserons une réglementation, une norme industrielle ou un cadre de sécurité qui exige des organisations qu'elles adoptent un programme de gestion des risques liés aux tiers pour renforcer les contrôles de sécurité informatique et réduire les risques. Nous mettrons en évidence les principales exigences en matière de gestion des risques liés aux tiers et les mesures à prendre pour respecter la conformité réglementaire et tenir les auditeurs à distance.
Quel que soit le secteur d'activité, la conformité et le reporting d'entreprise constituent une partie essentielle des opérations quotidiennes. Garantir l'adhésion interne aux réglementations, aux directives et aux normes industrielles est, au mieux, complexe et difficile, mais si l'on y ajoute les mandats de conformité relatifs aux tiers, aux fournisseurs, aux associés commerciaux et aux partenaires de la chaîne d'approvisionnement, la charge de la gestion du risque lié aux données prend une toute autre trajectoire.
Il est clair qu'avec l'augmentation des menaces sur cyber , les organisations doivent faire davantage pour renforcer leurs défenses. Cela inclut l'examen de la position de sécurité des fournisseurs de l'organisation.
Grâce aux technologies modernes et à l'internet, les organisations externalisent aujourd'hui à un rythme rapide. Il y a de nombreuses raisons à cela. L'une des plus importantes est de se concentrer sur les compétences de base et de développer la propriété intellectuelle. Une autre raison est de réduire les coûts. L'externalisation de fonctions spécifiques à des prestataires de services spécialisés permet de réaliser des gains d'efficacité, car il est moins coûteux pour l'expert de le faire. Cela stimule les performances et aide les entreprises à rester pertinentes dans un contexte de concurrence féroce.
Les entreprises développent leur "entreprise étendue", souvent jusqu'à 20% l'année dernière. Les fournisseurs deviennent de plus en plus des "partenaires stratégiques", où tout le monde est gagnant, mais cela a un coût.
Il suffit de prendre un journal ou de parcourir les derniers sites de médias sociaux pour constater que les entreprises, grandes et petites, sont confrontées à des violations de données très médiatisées. Cela se produit dans tous les secteurs d'activité et dans toutes les zones géographiques. Selon une récente étude Ponemon, 61 % des entreprises américaines ont déclaré avoir été victimes d'une violation de données causée par l'un de leurs fournisseurs ou des tiers. Et cela ne passe pas inaperçu !
Il semble que chaque mois, une nouvelle législation ou une mise à jour de la législation existante soit promulguée et se concentre sur la manière de combattre le risque lié aux tiers. Alors que traditionnellement nous supposions que cela s'appliquait principalement aux verticaux des services financiers et de la santé, les réglementations s'étendent à tous les marchés, ainsi que l'examen minutieux des auditeurs qui les accompagne, exigeant que les organisations créent un programme de gestion des risques liés aux tiers pour évaluer, surveiller et gérer les risques liés aux fournisseurs.
Pour se conformer aux réglementations et aux normes, les organisations doivent adopter un programme de gestion des risques liés aux tiers (TPRM). Ce programme comprend une approche en plusieurs étapes dans laquelle vous :
Comme nous l'avons indiqué, l'une des principales exigences de chaque législation ou norme est la réalisation d'une évaluation des risques liés aux fournisseurs. Ce n'est pas une bonne chose, mais une obligation pour la plupart des législations.
Lesévaluations des risques fournissent une approche interne pour déterminer la conformité des fournisseurs aux contrôles de sécurité informatique et aux exigences en matière de confidentialité des données, tout en garantissant que les tiers respectent les mêmes niveaux de conformité que votre organisation. L'objectif de l'évaluation est de comprendre comment les données sont sécurisées et d'identifier les risques. Les flux de travail de remédiation entre une organisation et ses fournisseurs facilitent la gestion et l'atténuation des risques.
Si les orientations réglementaires varient légèrement d'une autorité de tutelle à l'autre et d'un organisme de normalisation à l'autre, tous s'accordent à dire que la réalisation d'une évaluation des risques, avec une diligence raisonnable avant et pendant le cycle de vie de chaque relation commerciale, est une étape essentielle pour réduire les risques liés aux tiers. Ces évaluations des risques sont non seulement obligatoires en vertu de la plupart des réglementations, mais elles peuvent également constituer un outil essentiel pour les organisations qui mettent en place des mesures plus strictes de sécurité des données et de la vie privée.
Toutes les réglementations, directives et normes industrielles énumérées ci-dessous exigent l'utilisation d'évaluations des risques par des tiers, basées sur des contrôles internes. Bien que la notation ou le classement des risques de l'extérieur puisse fournir des informations sur les risques, elle ne répondra pas aux exigences de conformité si elle est utilisée comme seul mécanisme d'évaluation des risques liés aux fournisseurs. Il est préférable de combiner les évaluations et la surveillance, mais vous devez au moins évaluer les fournisseurs.
Prevalent offre une plateforme unifiée de gestion des risques liés aux tiers qui vous permet de mieux révéler, interpréter et atténuer les risques. Livrée dans la simplicité du cloud, la plateforme Prevalent combine l'évaluation automatisée des fournisseurs avec la surveillance continue des menaces pour simplifier la conformité, réduire les risques de sécurité et améliorer l'efficacité. Les principales fonctionnalités comprennent :
Avec Prevalent, vous obtenez une vue à 360 degrés du risque lié aux fournisseurs - à la fois interne et externe - pour gérer la conformité réglementaire et vous aligner sur les normes et directives du secteur.
Pour en savoir plus sur la mise en conformité, téléchargez dès aujourd'hui le manuel de conformité de la gestion des risques liés aux tiers. Il passe en revue les principales exigences en matière de gestion des risques liés aux tiers dans les cadres réglementaires et de sécurité courants, tout en mettant en correspondance les capacités de gestion des risques liés aux tiers de Prevalent avec des mandats spécifiques. Il s'agit d'une lecture essentielle pour toute personne responsable de la gestion des initiatives de conformité de la chaîne d'approvisionnement.
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024