Évaluez judicieusement les risques liés à vos tiers !

Si vous êtes un praticien du risque tiers en entreprise, il y a de fortes chances que vous lisiez ce blog dans un aéroport, en attendant votre prochain vol. Après tout, c'est la saison des conférences, sommets et forums du secteur des tiers. Comme vous, j'ai vécu dans ma valise le mois dernier, en tant que participant et présentateur à divers événements, pour écouter et apprendre. Dans toutes les discussions, un thème central a émergé autour du sujet de l'évaluation des risques, avec la perception que les rapports et les tableaux de bord open source sont un moyen adéquat de fournir une évaluation précise pour réduire le paysage des risques d'une organisation lors de la manipulation ou du traitement des données. Mais attendez...

La perception n'est pas la réalité

Oui, j'insiste sur le mot "perception", car prendre un instantané du risque, qu'il s'agisse de renseignements sur les cybermenaces ou de renseignements commerciaux, n'est que cela : un instantané. Les catégories de couleur, de nombre et d'alpha que les sociétés d'évaluation des risques fournissent aujourd'hui piquent mon intérêt, mais si elles ne sont pas utilisées de manière appropriée, elles conduiront très certainement à un faux sentiment de sécurité. Je félicite les organisations qui utilisent ces informations de manière appropriée. Cependant, pour celles qui mettent tous leurs œufs dans le même panier et qui comptent fortement sur le score pour fournir la diligence raisonnable nécessaire, je vous invite à la prudence.

Ne vous méprenez pas, l'évaluation des risques liés aux logiciels libres est une mesure destinée à informer les organisations des actions à entreprendre. En voici quelques exemples :

• Aide à la priorisation de la diligence raisonnable des tiers
• Détermination de la sélection des demandes de propositions ou d'informations
• Déterminer les domaines d'amélioration des pratiques de sécurité
• Identifier les informations qui sont accessibles aux conseillers

N'oublions pas que dans certains programmes tiers matures, il peut également vous informer d'un événement en temps réel qui nécessite une gestion immédiate de l'incident/de la crise. Mais il est essentiel d'examiner la manière dont vous mettez en œuvre les outils de notation et de déterminer les seuils de ce qui est acceptable pour votre appétit pour le risque et vos programmes. Pour ceux qui cherchent à utiliser les outils de classement des risques pour la première fois, une approche évolutive de la manière dont vous absorbez et utilisez les informations pour appliquer le contenu de manière responsable peut contrôler la manière de réduire les risques et distinguera votre programme de gestion des tiers des autres. Par exemple, les pratiques de sécurité matures utilisent les rapports d'évaluation des flux de sources ouvertes pour créer un partenariat avec leurs tiers de manière à aider ces derniers à améliorer leur posture de sécurité grâce à une nouvelle prise de conscience. En même temps, il est inquiétant de voir que les rapports d'évaluation sont positionnés d'une manière qui aboutit finalement à une décision d'exclure le tiers sur la base d'un rapport mal interprété.

L'évaluation des risques liés aux logiciels libres n'est qu'une pièce du puzzle.

La notation du risque comporte de multiples facettes. La notation du risque lié aux sources ouvertes n'est qu'un indicateur qui doit être associé aux quatre identificateurs de risque suivants :

• Questionnaires de sécurité remplis (informations fiables)
• Rapports d'évaluation sur place (informations sur la validation)
• Plans de remédiation des risques acceptés (informations sur l'acceptation)
• Événements et incidents en temps réel (informations en temps réel)

L'utilisation d'une technique de notation segmentée est le meilleur moyen d'obtenir une image holistique de la sécurité des tiers. Votre relation avec les tiers dépend de l'évaluation de tous les identificateurs de risque. N'oubliez donc pas qu'une partie fondamentale de l'évaluation continue du risque est fournie par les rapports de source ouverte, mais n'oubliez pas les identificateurs de risque qui reflètent l'image complète de votre risque de tiers.

En savoir plus sur l'approche globale de la gestion des risques liés aux tiers adoptée parPrevalent.

Brenda Ferraro est directrice principale à Prevalent, Inc. C'est une praticienne du risque de tierce partie très recherchée, qui a été reconnue par les organismes de réglementation, les centres d'analyse et de sécurité de l'information (ISAC) et les organisations du cadre normalisé de tierce partie. Elle apporte une attention toute particulière aux risques liés aux tiers en mettant à disposition son expérience en matière de mesures, de rapports et de maîtrise des processus afin de conduire les entreprises vers un écosystème de solutions uniques qui permet de surmonter les complexités de la gouvernance des risques liés aux tiers.