SIG 2024 : Principales mises à jour et considérations

Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2024 et apprenez ce que ces mises à jour signifient pour vos évaluations des risques par des tiers.

Par :

Thomas Humphreys

Prevalent Expert en conformité

20 novembre 2023

La semaine dernière, Shared Assessments a publié ses mises à jour du questionnaire Standard Information Gathering (SIG) pour 2024. Le questionnaire SIG est une norme unifiée permettant d'évaluer le risque fournisseur dans une multitude de domaines. Il existe deux versions de l'enquête : SIG Core et SIG Lite, avec un nombre de questions sensiblement différent entre ces deux enquêtes et des niveaux de détail distincts.

SIG Core est une évaluation de grande envergure qui comporte plus de 600 questions couvrant 21 catégories de risques. SIG Lite a une portée plus réduite et est généralement utilisé pour les fournisseurs qui nécessitent moins de diligence raisonnable ou qui ne sont pas aussi critiques. Prevalent est titulaire d'une licence pour ces questionnaires SIG et les inclut tous les deux dans la plate-forme de gestion des risques des tiersPrevalent .

Ce billet examine les nouveaux domaines de risque disponibles dans le SIG 2024 et passe en revue les mises à jour des mandats de conformité inclus dans la nouvelle enquête.

Domaines de risque SIG nouveaux et actualisés pour 2024

SIG 2023 couvrait 19 domaines de risque dans son questionnaire. Avec la nouvelle révision, Shared Assessments a ajouté deux domaines de risque supplémentaires et a modifié les noms de deux autres. Les deux révisions ont remplacé "Sécurité des applications" par "Gestion des applications" et "Services d'hébergement en nuage" par "Services en nuage".

La mise à jour de la rubrique "Gestion des applications" met en évidence la portée plus large du risque lié aux applications. La sécurisation des applications peut signifier beaucoup de choses différentes, mais la gestion des applications s'étend à l'ensemble du cycle de développement des logiciels. Cela inclut un codage sécurisé, les meilleures pratiques en matière de risque et la communication des normes au reste de l'organisation.

De même, l'évolution des "services d'hébergement dans le nuage" vers les "services dans le nuage" tient compte d'un changement plus large du marché. L'hébergement en nuage peut signifier la sécurité sous-jacente de l'infrastructure en nuage comme AWS et Azure, mais il n'est pas nécessairement lié aux meilleures pratiques concernant la réduction des risques des bases de données basées sur le nuage et d'autres activités se déroulant dans le nuage.

Les deux nouveaux domaines de risque sont la "gestion des risques liés à la chaîne d'approvisionnement" et l'"intelligence artificielle", que Shared Assessments définit comme suit :

La gestion des risques de la chaîne d' approvisionnement (SCRM) consiste à gérer les risques de la chaîne d'approvisionnement par le biais d'une évaluation continue des risques. Ces outils et ressources sont utilisés pour minimiser les vulnérabilités et assurer la continuité en collaboration avec les partenaires de la chaîne d'approvisionnement.
L'intelligence artificielle est la pratique qui consiste à comprendre les impacts, les limites et les améliorations de l'IA en termes de performance, de fiabilité, de confiance et d'efficacité.

L'ajout de ces deux nouveaux domaines de risque reflète l'évolution de la réalité dans laquelle évoluent les gestionnaires de risques pour les tiers. La gestion des risques de la chaîne d'approvisionnement gagne en importance dans l'espace TPRM, car les équipes chargées des achats s'impliquent dans la gestion du cycle de vie des risques des tiers. Cela reflète le besoin croissant de gestion des risques de cybersécurité dans la chaîne d'approvisionnement.

Comme le décrit Shared Assessments dans son guide sur le domaine des risques, "les organisations devraient établir des normes de programme de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM) qui englobent l'ensemble du cycle de vie, depuis le développement jusqu'à la maintenance. Ces normes de programme peuvent être mises en place grâce à la recherche, à la fourniture de ressources et à la collaboration des parties prenantes et aideront les organisations à gérer efficacement les risques de cybersécurité dans leurs chaînes d'approvisionnement".

En ce qui concerne l'intelligence artificielle, l'objectif du nouveau domaine de risque inclus dans le questionnaire SIG est de déterminer et de réduire le risque des outils d'IA pour les individus, les organisations, la société et l'environnement. Les principales préoccupations sont la protection de la vie privée, la fiabilité, la précision, la résilience, la sécurité et l'équité sans biais nuisibles, entre autres. Shared Assessments souhaite que les organisations aident les développeurs et d'autres à élaborer des normes autour de l'IA afin de réduire les risques associés.

Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.

Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Ressources en vedette Manuel de conformité Cybersécurité

Mappages de contenu nouveaux et mis à jour pour SIG 2024

Outre l'ajout de deux nouveaux domaines de risque, la dernière mise à jour du questionnaire SIG a ajouté un nouveau contenu lié à des normes de conformité distinctes.

Intelligence artificielle : NIST AI RMF

Avec l'ajout du nouveau domaine de risque de l'intelligence artificielle, Shared Assessments a également ajouté le cadre de gestion du risque de l'intelligence artificielle du National Institute of Standards and Technology (NIST) (NIST AI 100-1 ) à ses normes de conformité.

Le NIST a introduit l'AI RMF en janvier 2023 en reconnaissance de l'utilisation croissante des outils d'IA par les entreprises et du manque de conseils sur la façon de gérer les risques. Consultez notre article dans lequel nous nous sommes plongés dans le cadre de référence de l'IA pour comprendre ses implications sur la gestion des risques pour les tiers. L'ajout du cadre au questionnaire SIG par Shared Assessments est une acceptation solide de la valeur de l'orientation dans son ensemble.

Gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité : NIST 800-161 r1

L'ajout de la gestion des risques liés à la chaîne d'approvisionnement à la liste des domaines de risque a également conduit à l'ajout de la norme NIST SP 800-161r1, une mise à jour des orientations relatives à la gestion des risques de cybersécurité liés à la chaîne d'approvisionnement. Le guide du NIST a été publié en mai 2022 et décrit les meilleures pratiques en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement (C-SCRM). Le volet "chaîne d'approvisionnement" du questionnaire SIG met l'accent sur la cybersécurité, et l'ajout de NIST 800-161 r1 est donc révélateur de cette orientation.

Environnement, social et gouvernance

En ce qui concerne les mandats de conformité environnementale, sociale et de gouvernance (ESG), les évaluations partagées ont ajouté deux nouveaux règlements :

La loi allemande sur la chaîne d'approvisionnement, ou loi sur l'obligation de diligence dans la chaîne d'approvisionnement, qui est entrée en vigueur le 1er janvier 2023, a été incluse dans cette itération du questionnaire SIG.
Les directives du DFS de New York sur le climat (ESG), qui guident la gestion des risques financiers liés au changement climatique, ont également été incluses dans le questionnaire 2024.

Orientations interagences sur les relations avec les tiers

Les évaluations partagées ont également ajouté à leur questionnaire le document intitulé The Interagency Guidance on Third-Party Relationships : Risk Management, publié par le Conseil des gouverneurs du Système fédéral de réserve (le Conseil), la Federal Deposit Insurance Corporation (FDIC) et l'Office of the Comptroller of the Currency (OCC), à son questionnaire.

L'objectif de l'Interagency Guidance est d'apporter de l'uniformité et de la cohérence dans la manière dont les organisations bancaires développent et appliquent les principes de gestion des risques dans le cadre des relations avec les tiers. Selon le document, "les orientations finales présentent le point de vue des agences sur les principes sains de gestion des risques pour les organisations bancaires lors de l'élaboration et de la mise en œuvre des pratiques de gestion des risques à tous les stades du cycle de vie des relations avec les tiers".

Autres mises à jour

Enfin, Shared Assessments a ajouté la version 8 des contrôles de sécurité critiques CIS et ajoutera les questions SEC Cybersecurity Rule 206(4)-9 dans la bibliothèque de contenu. Ces ajouts permettront de déterminer avec plus de précision le risque de cybersécurité chez vos fournisseurs.

Ces mises à jour comprennent

La norme de sécurité des données de l'industrie des cartes de paiement PCI DSS v4.0
ISO27001 v2022
ISO27002 v2022
CMMC 2.0, qui nécessite de passer de la concordance à l'intégration

Les entreprises évoluent dans un environnement réglementaire très complexe. Ces changements en sont la preuve.

Qu'est-ce que cela signifie pour le TPRM ?

Les mises à jour du questionnaire SIG pour 2024 reflètent un environnement plus nuancé et plus risqué pour les gestionnaires de risques tiers. ChatGPT a été rendu public il y a seulement 12 mois, déclenchant une "course aux armements" de l'IA générative dans l'industrie technologique. L'ajout de l'IA au questionnaire SIG reflète la nécessité pour les entreprises de comprendre le risque que les outils d'IA représentent pour elles et de mettre en place des garde-fous autour de l'utilisation de la technologie.

En outre, l'ajout de la gestion des risques liés à la chaîne d'approvisionnement au questionnaire reflète l'accent mis sur les risques liés à la chaîne d'approvisionnement en matière de cybersécurité qui sont omniprésents dans le paysage commercial moderne. Les organisations constatent de plus en plus de violations de données de tiers, ce qui nécessite une compréhension complète de la chaîne d'approvisionnement en matière de cybersécurité. Le questionnaire SIG s'efforce de répondre à certaines de ces préoccupations, tout en apportant une certaine tranquillité d'esprit grâce à la compréhension des contrôles intégrés dans les défenses de vos fournisseurs.

Comment Prevalent peut aider

Prevalent propose les questionnaires SIG Core et SIG Lite dans le cadre de sa plateforme de gestion des risques pour les tiers, ainsi que plus de 600 autres modèles d'évaluation basés sur des normes. Cette bibliothèque de modèles permet aux clients de Prevalent d'exploiter des données partagées et de rationaliser le processus de questionnaire sur les risques.

En plus de ces évaluations, nous ajoutons des automatisations de processus, des rapports, une cartographie de la conformité et des conseils de remédiation intégrés pour rationaliser la gestion des risques des tiers. Une partie du problème de la gestion des risques liés aux tiers est de savoir comment résoudre les problèmes qui se posent. Avec les conseils de remédiation de Prevalent, la résolution des problèmes n'est plus un défi.

Nous ajoutons également une intelligence de surveillance continue pour faciliter le suivi des risques en cours dans votre écosystème de tiers. Il est pratiquement impossible pour un responsable de programme TPRM de se tenir au courant de tous les risques possibles, c'est pourquoi la plateforme Prevalent le fait pour vous. Demandez une démonstration dès aujourd'hui pour découvrir comment Prevalent peut renforcer votre programme TPRM.

Tags : Conformité