SIG 2025 : Principales mises à jour et considérations

Mises à jour des SIG pour 2025

Bien qu'aucun nouveau domaine de risque n'ait été ajouté, la version 2025 comporte de nouvelles questions relatives à la gestion des incidents et à la résilience opérationnelle, augmente le nombre de correspondances avec les normes et inclut de nouvelles questions réglementaires.

Nouveau contenu des questions dans SIG 2025

Le SIG 2025 a élargi les domaines de risque existants, en particulier au sein de l'UE :

• Assurance de l'information : 3 nouvelles questions.
• Gestion des incidents de cybersécurité : 5 nouvelles questions portant sur les exigences en matière de réponse aux incidents et sur l'externalisation des rapports d'incidents.
• Résilience opérationnelle : 4 nouvelles questions pour évaluer les besoins en matière de planification d'urgence, de gouvernance des données et de planification de la résilience.

Changements dans les correspondances de contenu pour SIG 2025

Outre l'ajout de questions dans des domaines de contrôle clés, la mise à jour la plus importante du questionnaire SIG 2025 a été l'ajout d'un nouveau contenu lié à des normes de conformité distinctes. Cela reflète l'évolution plus large des risques liés aux tiers. L'ajout de ces correspondances de contenu reconnaît le paysage de plus en plus complexe dans lequel les entreprises opèrent et sur lequel elles doivent interroger leurs fournisseurs.

Les trois nouvelles normes disponibles dans le SIG 2025 sont les suivantes :

• Digital Operational Resilience Act (DORA) de l'Union européenne, un règlement visant à améliorer la résilience du secteur financier européen face à cyber et aux menaces liées aux TIC.
• La directive 2 de l'Union européenne sur la sécurité des réseaux et de l'information (NIS2) est une législation qui prévoit des mesures visant à améliorer la cybersécurité, y compris pour les tiers.
• Le cadre de cybersécurité (CSF) 2.0 du National Institute of Standards and Technology (NIST) est un ensemble de bonnes pratiques et de lignes directrices adoptées dans les secteurs public et privé des États-Unis.

Résilience opérationnelle : DORA

La loi sur la résilience opérationnelle numérique (DORA), qui entrera pleinement en vigueur en janvier 2025, est conçue pour garantir que le secteur financier européen puisse maintenir sa résilience en cas de graves perturbations opérationnelles. La loi DORA crée un cadre réglementaire pour la résilience opérationnelle numérique dans le secteur financier, en vertu duquel toutes les entreprises doivent confirmer qu'elles peuvent résister, réagir et se remettre d'un large éventail de perturbations des TIC et de menaces cyber .

La loi fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d'information. Elle énonce au chapitre V les exigences applicables aux tiers critiques qui fournissent des services de technologies de l'information et de la communication (TIC), tels que des plateformes en nuage ou des services d'analyse de données, au secteur des services financiers.

En vertu de la loi DORA, les organisations doivent classer les incidents, permettre un reporting transparent des incidents et développer un cadre structuré de gestion des risques, qui comprend des outils, des systèmes et des processus de test. Dans le questionnaire SIG 2025, le contrôle J.11 demande si l'organisation a externalisé ses responsabilités en matière de rapports d'incidents à un prestataire de services tiers pour répondre à l'article 18 de la DORA, qui exige que les entités financières signalent les incidents majeurs liés aux TIC à l'autorité compétente concernée.

Sécurité de la chaîne d'approvisionnement : NIST CSF 2.0

Depuis sa publication en 2024, la dernière version du NIST CSF est devenue une référence pour les organisations qui recherchent des conseils et des bonnes pratiques pour améliorer la sécurité de leur chaîne d'approvisionnement et leurs opérations de cybersécurité. Le NIST CSF s'aligne étroitement sur le NIST 800-53, qui est déjà ancré dans le SIG.

Le NIST CSF 2.0 a ajouté une nouvelle fonction de gouvernance, a accru les rôles des équipes juridiques et de conformité, et a fourni des orientations plus précises sur les risques liés à la chaîne d'approvisionnement. Particulièrement pertinente pour la gestion des risques des tiers, l'introduction de la fonction de gouvernance illustre à quel point la gouvernance de la cybersécurité est essentielle pour gérer et réduire les risques de cybersécurité dans les chaînes d'approvisionnement. Une fonction de gouvernance dédiée permet d'aligner et d'intégrer les activités et les processus de cybersécurité des tiers au sein des équipes de gestion des risques des tiers, de gestion des risques de l'entreprise et des équipes juridiques, ce qui a motivé son inclusion dans les derniers questionnaires SIG 2025.

La cybersécurité dans les industries critiques : NIS2

Reconnaissant que les vulnérabilités au sein des chaînes d'approvisionnement peuvent compromettre la sécurité des services essentiels, l'Union européenne a adopté la directive sur la sécurité des réseaux et de l'information 2 (NIS2) en décembre 2022. La NIS2 impose aux organisations de mettre en œuvre des mesures robustes pour gérer et atténuer les risques associés à leurs relations avec les tiers. La directive NIS2 est entrée en vigueur en octobre 2024. Des correspondances avec NIS2 ont été ajoutées au SIG 2025 pour répondre aux exigences de NIS2 en matière de :

• Établir des politiques de sécurité de la chaîne d'approvisionnement.
• Effectuer des analyses et des évaluations des risques.
• Veiller à ce que les procédures de traitement et de signalement des incidents avec des tiers soient solides.
• Contrôler et évaluer en permanence les tiers.
• Faire respecter les obligations contractuelles des tiers.

Par exemple, les contrôles C.11 et C.12 de SIG 2025 ont été ajoutés pour tenir compte de l'article 29 de la directive NIS, qui exige l'échange d'informations sur la cybersécurité concernant les menaces, les incidents évités de justesse, les vulnérabilités, les techniques et les procédures ( cyber ).

Que signifient les mises à jour de SIG 2025 pour le TPRM ?

L'ajout de cartographies de la résilience opérationnelle et de la sécurité de la chaîne d'approvisionnement au questionnaire SIG 2025 reflète l'accent mis sur les risques liés à la cybersécurité et à la chaîne d'approvisionnement qui sont omniprésents dans le paysage commercial moderne. Les organisations constatent de plus en plus de violations de données de tiers, ce qui nécessite une compréhension complète de la chaîne d'approvisionnement en matière de cybersécurité.

Le questionnaire SIG 2025 s'efforce de répondre à certaines de ces préoccupations tout en apportant la tranquillité d'esprit que procure la compréhension des contrôles intégrés dans les défenses de vos fournisseurs. Au fur et à mesure que l'environnement réglementaire évolue au niveau mondial, SIG ajoutera probablement d'autres correspondances de contenu au cours de l'année prochaine.

Comment Mitratech peut aider

Mitratech propose les questionnaires SIG Core et SIG Lite, ainsi que plus de 800 autres modèles d'évaluation basés sur des normes, dans le cadre de la solution de gestion des risques pour les tiersPrevalent . Cette bibliothèque de modèles permet aux clients de Mitratech d'exploiter des données partagées et de rationaliser le processus de questionnaire sur les risques.

En plus de ces évaluations, la solution Prevalent ajoute des automatisations de processus, des rapports, une cartographie de la conformité et des conseils de remédiation intégrés pour rationaliser la gestion des risques des tiers. Une partie du problème de la gestion des risques liés aux tiers est de savoir comment résoudre les problèmes qui se posent. Grâce aux conseils de remédiation de la solution Prevalent , la résolution du problème n'est plus un défi.

Enfin, la solution Prevalent comprend également une intelligence de surveillance continue pour vous aider à surveiller les risques en cours dans votre écosystème tiers. Il est pratiquement impossible pour un gestionnaire de programme TPRM de se tenir au courant de tous les risques possibles, c'est pourquoi la solution Prevalent le fait pour vous.

Téléchargez le SIG 2025 Definitive Guide pour mieux comprendre comment appliquer le questionnaire SIG dans votre programme TPRM, ou demandez une démonstration dès aujourd'hui pour découvrir comment la solution Prevalent peut alimenter votre programme TPRM.