Préparation d'un plan d'intervention en cas d'incident impliquant un tiers

Considérations préliminaires concernant la réponse aux incidents par des tiers 

L'augmentation des cyberattaques par des tiers accroît considérablement les risques de violation au sein des organisations partenaires. Les gestionnaires de risques doivent évaluer dans quelle mesure ils peuvent protéger leur organisation dans de tels cas. Prenons l'exemple suivant :

• Visibilité: comment gérez-vous actuellement vos fournisseurs ? Disposez-vous d'une visibilité sur l'ensemble de leur situation en matière de risques ? Cette visibilité est-elle continuellement mise à jour ? 

• Notification: Pouvez-vous identifier rapidement les vulnérabilités potentielles des fournisseurs et recommander des mesures correctives ? 

• Analyse: Si une violation s'est produite chez un tiers essentiel, quel est le processus d'évaluation de l'impact sur votre organisation et quels sont les contrôles en place pour garantir une notification rapide ? Combien de temps l'analyse prendra-t-elle et quels outils seront utilisés pour fournir à votre organisation des preuves médico-légales ? 

• Communications: Une fois que les données médico-légales sont fournies, qui gère et analyse l'impact ? Si vous utilisez des feuilles de calcul, partagez-vous et communiquez-vous efficacement ces informations à toutes les parties prenantes ? 

• Preuves: Tenez-vous des registres des événements qui soient de qualité d'audit ? Sont-ils facilement accessibles lorsque les gestionnaires de risques, les dirigeants et les auditeurs demandent des données ? 

• Ressources: Votre programme est-il extensible sans ajout de personnel chargé de la sécurité et de la gestion des risques ? Combien de ressources pouvez-vous réorienter vers un projet urgent comme celui-ci ? Quel est l'impact sur l'équipe ou sur d'autres projets ? 

9 bonnes pratiques pour l'élaboration d'un plan d'intervention en cas d'incident impliquant un tiers 

Un plan d'intervention solide est essentiel pour protéger votre organisation en cas d'intrusion d'un fournisseur essentiel. Suivez ces neuf étapes pour élaborer un plan d'intervention efficace en cas d'incident avec un tiers :

1. Former une équipe interfonctionnelle 

Identifier et attribuer les responsabilités aux principales parties prenantes internes et externes dans les domaines de l'informatique, de la sécurité, de la protection de la vie privée, des risques, du droit et de la communication. Utilisez des exercices sur table pour simuler des incidents, tester l'efficacité de votre plan d'intervention et vous assurer que votre équipe est prête avec les capacités et les ressources nécessaires.

2. Créer une base de données centralisée des fournisseurs 

La gestion des fournisseurs à l'aide de feuilles de calcul est sujette aux erreurs et n'est pas évolutive. Gérez les tiers à l'aide d'une plateforme centralisée pour des enquêtes, des réponses, des analyses et des rapports cohérents.

3. Établir des procédures de communication et des accords de niveau de service 

Fournissez aux fournisseurs un moyen simple de vous informer des violations ou des incidents de sécurité. Incluez des protocoles de communication, tels que des étapes de collecte d'informations et des voies d'escalade, et appliquez des mesures contractuelles, telles que des accords de niveau de service (SLA) en matière de réponse aux incidents.

Utiliser des solutions qui facilitent la réponse proactive aux incidents. Envisagez d'élaborer et de partager un cahier des charges pour les procédures préalables et postérieures à l'intrusion afin d'offrir une meilleure visibilité à toutes les parties. 

4. Profil et classement de tous les fournisseurs 

Chaque tiers représente un niveau de risque distinct pour une organisation. L'établissement de profils et de niveaux pour les tiers vous aide à comprendre l'impact potentiel d'une violation de fournisseur en fonction de facteurs tels que leur secteur d'activité, leur emplacement ou la criticité de leur solution ou de leur service pour votre entreprise. 

5. Évaluer les capacités de réponse aux incidents du fournisseur 

De nombreuses enquêtes sur les risques liés aux tiers se concentrent principalement sur les défenses d'un fournisseur, mais dans l'environnement actuel, les équipes doivent partir du principe que les incidents sont inévitables. Les organisations doivent également évaluer la capacité d'un fournisseur à répondre aux incidents, y compris ses politiques de traitement, d'investigation et de récupération des violations.

Cette évaluation devrait inclure des procédures d'escalade et de communication, des exigences en matière de notification, des politiques de journalisation, la collecte de données médico-légales, des capacités d'analyse (internes ou externes) et des tests réguliers pour garantir l'efficacité.

6. Automatiser les enquêtes auprès des fournisseurs 

S'appuyer sur une approche basée sur des feuilles de calcul pour identifier les lacunes dans les capacités de réponse aux incidents et/ou les alertes d'incidents est inefficace et laisse les organisations avec une mauvaise protection. Automatisez la collecte et l'analyse des informations sur les événements tiers pour garantir une visibilité continue et actualisée des risques.

7. Utiliser une matrice des risques pour les pondérer 

Un risque pour un fournisseur peut ne pas être un risque pour un autre. Évaluez ou pondérez les risques en fonction du rôle du fournisseur et de l'interaction avec les données afin que votre équipe se concentre sur les menaces les plus graves.

8. Fournir des orientations en matière de remédiation et mettre en œuvre des améliorations de processus 

Fournissez à vos tiers des conseils clairs sur la manière d'améliorer leurs plans de réponse aux incidents, puis suivez, évaluez et gérez le risque résiduel. Cela aide les partenaires à devenir plus proactifs et accélère l'identification des risques et les contrôles d'atténuation.  

9. Surveiller en permanence les événements indésirables 

Ne comptez pas uniquement sur les fournisseurs pour signaler les incidents. Surveillez en permanence les menaces cyber nouvelles et émergentes dans votre écosystème de fournisseurs. Au lieu d'essayer de suivre manuellement l'actualité de la sécurité et les publications de la communauté, recherchez des fournisseurs de renseignements sur les menaces capables d'automatiser et d'étendre le processus de surveillance pour vous. 

Autres considérations à inclure dans votre stratégie de réponse aux incidents :

Examiner les contrôles de sécurité de base
Évaluer l'accès des fournisseurs à votre infrastructure et à vos données. Mettez en œuvre des outils tels que l'analyse comportementale, la micro-segmentation et la gestion des utilisateurs privilégiés.

Effectuer un suivi après l'incident
Analyser les incidents afin d'en tirer des enseignements et d'éviter de nouvelles erreurs. Mettre en œuvre des mesures correctives et élaborer des cas pratiques pour les exercices futurs.

Comparez votre plan de réponse aux incidents aux normes de l'industrie

Plusieurs normes industrielles et cadres de cybersécurité fournissent des orientations supplémentaires sur la réponse aux incidents impliquant des tiers. Notamment :

• NIST 800-61R2 : Guide de traitement des incidents de sécurité informatique 

• ISO/IEC 27035-1:2023 : Gestion des incidents de sécurité de l'information - Partie 1 : Principes et processus

• ISO/IEC 27035-2:2023 : Gestion des incidents de sécurité de l'information - Partie 2 : Lignes directrices pour la planification et la préparation de la réponse aux incidents 

• OCC 2021-55 : Règle finale de notification des incidents bancaires, publiée le 23 novembre 2021. 

• OCC2022-8 : Information technology Points of Contact for Bank's Computer Security Incident Notifications, publié le 29 mars 2022.

Pour un examen détaillé des lignes directrices du NIST, téléchargez notre liste de contrôle pour la réponse aux incidents impliquant des tiers (NIST Third-Party Incident Response Checklist).

Incorporer les exigences en matière de réponse aux incidents dans la gestion des risques des tiers

L'intégration des exigences en matière de réponse aux incidents dans un plan programmatique de gestion des risques des tiers aide les organisations à maintenir une visibilité sur tous les risques et à réagir plus rapidement lorsque des incidents se produisent. Les avantages de cette approche sont les suivants 

• Réduction du délai moyen de résolution (MTTR) : L'automatisation de l'analyse des incidents fournisseurs permet de réduire plus rapidement les risques internes.

• Mises à jour accélérées : Une plateforme centralisée permet aux tiers de soumettre de manière proactive des mises à jour sur les événements, ce qui permet à votre équipe de disposer d'informations en temps voulu.

• Audits simplifiés: Une plateforme tierce de gestion des risques peut permettre aux auditeurs d'accéder facilement aux données, éliminant ainsi la nécessité d'établir des rapports manuels. La plateforme devrait inclure des capacités de réponse aux incidents et des contrôles permettant de suivre automatiquement les plans, les événements, la remédiation et l'impact.

• De meilleurs rapports: Tirez parti d'une solution centralisée pour conserver des enregistrements détaillés des réponses aux incidents et partager des mises à jour opportunes avec les dirigeants et le conseil d'administration.

En se préparant à l'avance, en établissant des canaux de communication et en disposant d'un plan complet de réponse aux incidents, votre organisation sera mieux équipée pour faire face aux violations de données de tiers. La gestion proactive des risques protège votre entreprise, vos partenaires et vos clients des conséquences des menaces liées à la cybersécurité.

Prochaines étapes : Rationaliser la gestion de la réponse aux incidents

De nombreuses organisations sont confrontées à des retards dans la réception d'informations sur les violations de la part de leurs fournisseurs. Les processus de notification manuels ralentissent l'évaluation des risques et les mesures correctives. Pour accélérer la réponse aux incidents, il convient d'utiliser des plates-formes automatisées de TPRM et le site services manages.

Le service de réponse aux incidents d'une tierce partie Prevalent 

Le service Prevalent Third-Party Incident Response aide les organisations à gérer les fournisseurs de manière centralisée, à les évaluer à l'aide d'un questionnaire contextuel, à noter les risques de manière flexible et à offrir des conseils prescriptifs en matière de remédiation. Disponible en tant que service géré ou plateforme en libre-service, Prevalent automatise les tâches clés, vous aidant à identifier et à atténuer rapidement les vulnérabilités des fournisseurs.

Le service Prevalent™ Third-Party Incident Response Service permet aux organisations de : 

• Simplifier la gestion des réponses grâce à une base de données centralisée des fournisseurs.

• Automatiser la collecte et l'analyse des informations relatives aux incidents survenus chez les fournisseurs.

• Accélérer les temps de réponse grâce à des notifications d'événements proactives.

• Accélérer les mesures correctives grâce à des recommandations intégrées.

• Se préparer à répondre aux questions du conseil d'administration et de la direction sur les incidents liés aux fournisseurs.

• Présenter aux auditeurs les plans d'intervention des tiers en cas d'infraction.

• Surveiller en permanence l'Internet et le dark web pour détecter les menaces cyber et les données compromises. 

Découvrez comment vous pouvez rationaliser et améliorer votre stratégie de réponse aux incidents. Demandez une démonstration et un appel stratégique dès aujourd'hui.