Directives de sécurité du NERC pour le cycle de vie de la gestion du risque fournisseur

Recueillir des informations sur les plans d'atténuation du fournisseur pour les risques de sécurité spécifiques à la chaîne d'approvisionnement cyber , à l'aide d'une évaluation ciblée ne contenant que des questions pertinentes.

Utiliser une évaluation personnalisable pour rassembler et corréler les contrôles des fournisseurs afin de déterminer les menaces qui pèsent sur les systèmes et les données, en fonction de la criticité du fournisseur.

Rassemblez les données dans un seul registre des risques avec des rapports de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque.

Inclure les conditions de sécurité de cyber dans le contrat du fournisseur, ou identifier les produits livrables spécifiques à mesurer.

Utiliser une solution de gestion du cycle de vie des contrats qui centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Cette solution permet de s'assurer que les principales dispositions contractuelles, telles que les indicateurs clés de performance (KPI), les indicateurs clés de risque (KRI) et les accords de niveau de service (SLA), sont incluses dans les contrats avec les fournisseurs et appliquées tout au long de la relation.

Fournir des preuves à l'appui, telles que des certifications ou des rapports d'audit établis par des évaluateurs tiers qualifiés.

Demander au vendeur de fournir une nomenclature des logiciels (SBOM) énumérant tous les composants de son logiciel et/ou de son micrologiciel qui ont été développés par des tiers.

Effectuer une évaluation des risques liés à la passation de marchés (PRA).

Atténuer tous les risques élevés identifiés dans l'ARP.

Centraliser les documents, les pièces justificatives et les certifications des fournisseurs dans un profil de fournisseur unique associé aux évaluations des risques des fournisseurs et à un registre central des risques.

Recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur.

Posez des questions spécifiques sur la protection de l'accès à distance grâce à l'authentification multifactorielle.

Utilisez un questionnaire qui ne pose que des questions pertinentes.

Prévoir des questionnaires distincts pour les fournisseurs de technologies de l'information et les fournisseurs de technologies de l'information et de la communication.

Envisagez des certifications telles que ISO 27001 ou SOC2.

Automatisez l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux fournisseurs à chaque étape du cycle de vie de ces derniers.

Tirez parti d'une bibliothèque qui comprend des centaines de modèles d'évaluation standardisés - y compris des questionnaires qui ciblent les domaines IT et OT - avec des capacités de personnalisation et des flux de travail et de remédiation intégrés pour tout automatiser, de la collecte et de l'analyse de l'enquête à l'évaluation des risques et à la création de rapports.

Si le fournisseur n'est pas en mesure de réaliser une évaluation standardisée ou s'il n'en a pas la volonté, il convient d'intégrer les certifications ISO ou les rapports SOC 2 dans le registre central des risques afin de gérer les risques liés à ce fournisseur parallèlement aux risques résultant des évaluations d'autres fournisseurs.

Validez les résultats de l'évaluation grâce à des informations continues sur les menaces ( cyber ). La consolidation de tous les renseignements dans un "panneau de verre unique" optimisera vos efforts d'analyse des risques.

Inclure dans l'appel d'offres un libellé identifiant les risques de sécurité et les mesures d'atténuation que le fournisseur doit prendre pour y faire face.

Centraliser et automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans le cadre des décisions de sélection des fournisseurs. Cela permettra de s'assurer que les fournisseurs sont sélectionnés sur la base de mesures de sécurité essentielles ( cyber ).

Inclure dans le contrat des clauses documentant l'engagement du fournisseur à mettre en œuvre des contrôles de sécurité spécifiques, prévoir la possibilité pour l'organisation d'examiner les progrès réalisés par le fournisseur et définir des méthodes de communication future sur ces questions.

Centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. En gérant les contrats d'approvisionnement de cette manière, vous vous assurez que les clauses de sécurité et les mesures d'exécution appropriées sont intégrées dans le contrat.

Définir des mesures correctives spécifiques.

Recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur.

Documenter et communiquer au fournisseur l'écart de performance, le service attendu et les conditions contractuelles applicables ou l'engagement documenté.

Personnalisez les enquêtes pour faciliter la collecte et l'analyse des données nécessaires sur les performances et les contrats dans un registre des risques unique. Identifiez les principaux attributs contractuels relatifs aux accords de niveau de service ou aux performances, renseignez ces exigences dans une plateforme centrale et assignez des tâches à vous et à votre fournisseur à des fins de suivi.

Communiquer au vendeur que les mesures de performance seront prises en compte dans la notation ou l'évaluation future des nouveaux achats de produits ou de services.

Mesurez de manière centralisée les KPI et KRI des fournisseurs par rapport à vos exigences en les extrayant automatiquement du contrat du fournisseur.

Proposer des recommandations de remédiation pour s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante.

Évaluer la possibilité de mettre fin à la relation avec le fournisseur.

Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, tirez parti d'enquêtes et de flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité avec les lois pertinentes, les paiements finaux, et plus encore.

Identifier et atténuer les risques associés à la résiliation ou à la transition (par exemple, détention d'informations sensibles).

Dresser l'inventaire des informations sensibles que le fournisseur détient sur les systèmes et réseaux de l'organisation et exiger de lui qu'il atteste que toutes les informations ont été supprimées.

Automatisez l'évaluation des contrats et les procédures d'abandon pour réduire le risque d'exposition post-contractuelle de votre organisation.

• Planifiez des tâches pour examiner les contrats afin de vous assurer que toutes les obligations ont été respectées. Émettez des évaluations de contrat personnalisables pour évaluer le statut.

• Exploitez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes, les paiements finaux, etc.

• Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Tirez parti de l'analyse automatique intégrée des documents basée sur le traitement du langage naturel et l'apprentissage automatique d'AWS pour confirmer que les critères clés sont pris en compte.

• Prenez des mesures concrètes pour réduire le risque lié aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.

• Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations avec n'importe quel règlement ou cadre.