La Securities and Exchange Commission (SEC) des États-Unis a récemment introduit de nouvelles exigences pour que les sociétés cotées en bourse informent le gouvernement lorsqu'elles sont piratées. Ces mises à jour des rapports sont conçues pour mieux informer les investisseurs sur la gouvernance et les pratiques de cybersécurité des entreprises de leurs portefeuilles.
En ce qui concerne les programmes de gestion des risques par des tiers, les nouvelles informations sur la gouvernance exigeront des mises à jour sur les évaluations des risques, en mettant l'accent sur les risques que l'entreprise peut prendre en utilisant des services externes ou tiers. Selon la proposition de règlement, les entreprises seront également interrogées sur les audits de sécurité, les plans de continuité des activités et la manière dont la cybersécurité s'intègre dans leur stratégie commerciale générale.
Pour les entreprises publiques qui ne disposent pas d'un programme formalisé de gestion des risques liés aux tiers, il est temps d'ajouter une certaine structure à vos processus. Voici 6 étapes à suivre.
Commencez par déterminer le degré de maturité de vos processus existants de gestion des risques liés aux tiers (TPRM). Nous vous recommandons d'utiliser le modèle de maturité des capacités (Capability Maturity Model) pour obtenir un instantané des processus actuels. Ce modèle de maturité évalue cinq aspects de votre programme TPRM :
Notez chacun des domaines ci-dessus sur une échelle de 1 (initial) à 5 (optimisation) pour identifier ceux qui nécessitent le plus d'attention. Prevalent propose un service gratuit d'évaluation de la maturité TPRM pour vous guider dans ce processus.
Évaluation gratuite de la maturité du TPRM
Travaillez avec les experts de Prevalent pour obtenir un rapport approfondi sur l'état de votre programme TPRM actuel, ainsi que des recommandations pratiques sur la manière de le faire passer au niveau supérieur.
Vous ne pouvez pas gérer ce que vous ne pouvez pas mesurer. Par conséquent, abandonnez les feuilles de calcul et inventoriez vos fournisseurs à l'aide d'une plateforme centralisée. Cela permettra à plusieurs équipes internes de participer à la gestion des fournisseurs et d'automatiser les processus dans l'intérêt de tous. Vous pouvez soit télécharger vos feuilles de calcul existantes sur une plateforme centrale, soit utiliser une API vers des systèmes d'approvisionnement ou d'autres systèmes d'enregistrement, soit demander aux parties prenantes internes de remplir un formulaire d'inscription des fournisseurs.
Une fois que vos fournisseurs sont gérés de manière centralisée, effectuez une évaluation des risques inhérents pour établir des profils de fournisseurs plus complets et pour déterminer la fréquence et la portée appropriées des évaluations futures. Lorsque vous établissez le profil et le classement de vos tiers, tenez compte d'attributs tels que :
Une fois que vous avez intégré vos fournisseurs et évalué leur risque inhérent, l'étape suivante consiste à effectuer des évaluations de la diligence raisonnable. de diligence raisonnable. Ces évaluations peuvent varier en fonction des normes de contrôle et des exigences de conformité importantes pour votre organisation.
Voici quelques éléments importants à prendre en compte lors de la planification des évaluations :
Les réponses à ces questions vous aideront à déterminer la méthode de collecte à utiliser. Par exemple, gérer la collecte vous-même, tirer parti des dépôts de questionnaires pré-remplis, confier la collecte à un partenaire, ou une combinaison de ces méthodes. Le niveau de ressources et d'expertise de votre organisation guidera probablement cette décision.
Quelle que soit la méthode de collecte, profitez des recommandations intégrées pour remédier aux risques jusqu'à un niveau tolérable pour l'entreprise.
Les évaluations périodiques, basées sur des questionnaires, sont excellentes, mais elles laissent toujours des lacunes en matière de visibilité. Vous pouvez combler ces lacunes en effectuant une surveillance continue de vos vendeurs et fournisseurs sur cyber . Les sources typiques de renseignements provenant de tiers ( cyber ) comprennent les forums criminels, les pages oignons, les forums d'accès spéciaux sur le dark web, les flux de menaces, les sites de collage d'informations d'identification ayant fait l'objet d'une fuite, les communautés de sécurité, les dépôts de code et les bases de données sur les vulnérabilités et les intrusions.
Cependant, toutes les attaques ne sont pas signalées par les sources énumérées ci-dessus. Des changements dans le comportement commercial ou les performances financières d'une entreprise peuvent signaler un changement de stratégie ou un manque de financement pour les défenses de cyber . Par conséquent, étendez votre surveillance aux sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances, telles que :
Vous pouvez surveiller ces sources séparément ou utiliser une solution de surveillance du risque fournisseur pour centraliser ces informations dans votre programme de risque tiers.
Étant donné que la gestion des risques liés aux tiers sera un élément clé du contrôle dans les nouvelles exigences de la SEC, il est important de montrer les progrès réalisés en matière de conformité à ces exigences - pour les auditeurs externes et internes à votre organisation. Les rapports de conformité peut être complexe et prendre beaucoup de temps, c'est pourquoi des rapports intégrés pour les réglementations communes et les cadres sectoriels peuvent accélérer et simplifier le processus.
Obtenir une visibilité sur le niveau de conformité de chaque fournisseur peut faciliter votre reporting. Commencez par établir un seuil de pourcentage de conformité "réussi" par rapport à une catégorie de risque (par exemple, X% de conformité par rapport à un cadre ou une directive particulière). Tous les rapports seront liés à ce pourcentage de conformité, et votre équipe pourra se concentrer sur les sous-domaines où les taux de conformité sont faibles. Veillez également à effectuer des évaluations de conformité au niveau macro pour tous les fournisseurs, et pas seulement au niveau du fournisseur. Les rapports au niveau macro seront importants pour votre conseil d'administration, qui cherchera à déterminer dans quelle mesure votre organisation est conforme à la réglementation "à la mode".
Naviguer dans le cycle de vie du risque fournisseur : les clés du succès
Ce guide gratuit détaille les meilleures pratiques pour gérer avec succès les risques tout au long du cycle de vie des fournisseurs. Découvrez ce que nous avons appris au cours de nos 20 années d'expérience avec des centaines de clients.
En fin de compte, le fait de disposer de données centralisées sur l'évaluation des risques pour tous les fournisseurs sur une seule et même plateforme permettra de.. :
Prevalent peut vous aider. Téléchargez Navigating the Vendor Risk Lifecycle : Keys to Success at Every Stage pour des étapes et des conseils plus prescriptifs, ou demandez une démo.
pour discuter de vos besoins dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024