Explication du questionnaire standard de collecte d'informations (SIG)

Découvrez les évaluations SIG Core et SIG Lite et comment vous pouvez les utiliser pour rationaliser votre programme de gestion des risques liés aux tiers.
Par :
Thomas Humphreys
,
Prevalent Expert en conformité
20 décembre 2023
Partager :
Blog sig expliqué 1022

Qu'est-ce que le questionnaire standard de collecte d'informations (SIG) ?

Le questionnaire Standard Information Gathering (SIG) est un questionnaire sur les risques encourus par les tiers, créé par l'organisation Shared Assessments. SIG est disponible dans les versions Core, Lite et Detail, qui équipent les organisations de bibliothèques de questions standardisées pour mesurer le risque de tiers dans 21 domaines différents. Chaque question est associée à des contrôles de sécurité dans des dizaines de cadres et d'exigences de conformité, ce qui permet de normaliser les risques pour les tiers et d'améliorer le respect des principales exigences de conformité du TPRM.

SIG Core vs SIG Lite, quelle est la différence ?

Commençons par une explication de base de la différence entre SIG Core et SIG Lite. Les entreprises utilisent largement les deux référentiels de questions en fonction de leurs besoins, de la maturité de leurs programmes de gestion des risques des tiers et des types d'exigences de conformité des tiers qu'elles sont censées respecter.

Qu'est-ce que SIG Lite ?

SIG Lite est un questionnaire de risque tiers qui fournit une vue d'ensemble des systèmes de contrôle interne de l'information d'une entreprise, y compris un niveau de base d'évaluation de la diligence raisonnable. Avec 128 questions, SIG Lite peut servir d'évaluation préliminaire avant de procéder à une évaluation plus approfondie. Les questions de SIG Lite peuvent également être utilisées lorsqu'un vendeur ou un fournisseur tiers présente un faible niveau de risque profilé et nécessite moins de diligence que les vendeurs présentant un risque plus élevé.

Qu'est-ce que SIG Core ?

Le questionnaire de base SIG (SIG) est un questionnaire complet sur les risques liés aux tiers, conçu pour évaluer les tiers qui stockent ou conservent des informations sensibles et réglementées. Il permet de mieux comprendre comment un tiers protège les informations en incluant quatre sujets et 627 questions couvrant 21 thèmes de risque. SIG Core permet également aux organisations de sélectionner et de personnaliser les questions auxquelles elles souhaitent répondre pour chaque fournisseur. Il comprend également une couverture étendue des exigences légales et des meilleures pratiques en matière de protection des informations personnelles.

Cartographie des domaines de risque des SIG

Quels sont les 21 domaines de SIG ?

SIG est un questionnaire complet d'évaluation des risques qui comprend des séries de questions définies dans les domaines suivants :

  1. Contrôle d'accès
  2. Gestion des applications
  3. Intelligence artificielle
  4. Gestion des actifs et de l'information
  5. Services en nuage
  6. Gestion de la conformité
  7. Gestion des incidents de cybersécurité
  8. Sécurité des points d'extrémité
  9. Gestion du risque d'entreprise
  10. Environnement, social et gouvernance (ESG)
  11. Sécurité des ressources humaines
  12. Assurance de l'information
  13. Gestion des opérations informatiques
  14. Sécurité des réseaux
  15. Gestion des tiers
  16. Résilience opérationnelle
  17. Sécurité physique et environnementale
  18. Gestion de la vie privée
  19. Sécurité du serveur
  20. Gestion des risques de la chaîne d'approvisionnement
  21. Gestion des menaces

Cas d'utilisation du questionnaire SIG

Le questionnaire standard de collecte d'informations offre aux organisations un guichet unique pour l'élaboration de leurs évaluations des risques des tiers et leur mise en correspondance avec les cadres de sécurité et les exigences de conformité applicables.

Améliorer l'évaluation des risques par des tiers

L'évaluation des risques liés aux tiers est au cœur d'un programme efficace de gestion des risques liés aux tiers. Les questionnaires SIG Lite ou SIG Core sont régulièrement mis à jour, ce qui permet aux entreprises d'évaluer les vendeurs, les fournisseurs et les autres tiers en fonction des meilleures pratiques actuelles en matière de sécurité de l'information et de gestion des risques liés aux tiers.

Faire correspondre les contrôles de sécurité des fournisseurs aux exigences de conformité

La plupart des entreprises doivent se conformer à de nombreuses exigences de conformité et de sécurité publiées par des organismes gouvernementaux et exigées par les clients. Voici quelques exemples de réglementations gouvernementales qui correspondent aux questions SIG :

  • NIST CSF 2.0 (nouveau pour 2025)
  • NIST SP 800-53
  • NIST SP 800-161r1
  • NIST AI 100-1
  • HIPAA
  • DORA (Nouveauté 2025)
  • NIS2 (Nouveau pour 2025)
  • GDPR
  • Guide interagences sur les relations avec les tiers : Gestion des risques
  • CMMC
  • CCPA
  • FEDRAMP
  • Directives de l'ABE sur l'externalisation
  • La loi allemande sur la chaîne d'approvisionnement
  • Directives sur le climat du DFS de New York

Les réglementations applicables au secteur privé comprennent :

  • PCI DSS
  • CIS Contrôles de sécurité critiques
  • ISO 27001
  • ISO 27002
  • SOC 2

L'utilisation de SIG Core peut permettre à votre organisation de standardiser une évaluation unique des risques applicable à plusieurs secteurs et de faire correspondre automatiquement les réponses à plusieurs réglementations et cadres afin de répondre aux obligations réglementaires et aux obligations des clients de votre organisation.

Automatiser la collecte de données sur les risques par des tiers

De nombreuses organisations utilisent SIG Core et SIG Lite en conjonction avec une solution dédiée de gestion des risques par des tiers, qui automatise et accélère la distribution, la collecte, l'analyse et le reporting des évaluations. L'utilisation d'une solution TPRM offre de nombreux avantages, notamment

  • Enrichir les réponses au questionnaire SIG avec les résultats d'une surveillance continue de la cybersécurité, des affaires, de la réputation et des finances
  • Mise en correspondance des réponses aux questionnaires SIG Core et SIG Lite avec d'autres exigences, normes et cadres de conformité
  • Automatisation de la collecte des questionnaires et des rappels aux fournisseurs afin de rationaliser le processus de questionnaire sur le risque fournisseur.
  • Simplifier les remédiations grâce à des conseils intégrés, des flux de travail et des communications avec les fournisseurs
  • Personnalisation des rapports en fonction des parties prenantes ou du cadre réglementaire
  • Offrir un dépôt central de documents pour le stockage et l'analyse des preuves.
  • Intégration dans des plateformes plus larges de gestion des risques d'entreprise ou dans d'autres applications commerciales

Créer des questionnaires de risque fournisseur à plusieurs niveaux

De nombreuses organisations commencent leur programme de gestion des risques liés aux tiers en élaborant un questionnaire unique sur les risques liés aux fournisseurs qui englobe leur compréhension actuelle des exigences en matière de sécurité de l'information et de conformité des tiers. Cependant, au fur et à mesure que les organisations gagnent en maturité, nombre d'entre elles constatent que l'élaboration de questionnaires à plusieurs niveaux, basés sur le risque inhérent, est bien plus judicieuse pour gérer efficacement le risque tout en optimisant le temps et les taux de réponse des fournisseurs.

SIG Core et SIG Lite contiennent des questions qui peuvent être utilisées pour élaborer plusieurs questionnaires sur les risques liés aux tiers pour les vendeurs et les fournisseurs. L'utilisation de questionnaires plus complets pour les fournisseurs à haut risque et d'évaluations moins approfondies pour les fournisseurs à faible risque peut considérablement rationaliser le processus et vous permettre de vous concentrer sur la gestion des risques les plus importants pour les tiers.

Collecte d'informations standard (SIG) 2025 : Le guide définitif

Découvrez comment les changements clés de SIG 2025 peuvent influencer votre processus d'évaluation des risques liés aux fournisseurs.

En savoir plus
Livre blanc2025 Guide SIG

L'aide de Mitratech

Vous êtes prêt à mettre le SIG en pratique ? Prevalent peut vous aider. Nous proposons des licences pour les questionnaires SIG Core et SIG Lite dans notre solution de gestion des risques pour les tiers, ce qui vous aide à :

  • Automatisez la collecte et l'analyse des réponses au questionnaire SIG et des preuves à l'appui grâce à une solution unique.
  • Simplifier les rapports sur les cadres réglementaires et de sécurité grâce à des mappages de contrôle intégrés supplémentaires.
  • Améliorez votre visibilité sur les risques liés aux fournisseurs grâce à des analyses et des rapports fondés sur l'apprentissage automatique.
  • Atténuer les risques de manière proactive en accédant à des conseils centralisés en matière de remédiation.
  • Fournissez à votre équipe un accès fiable à la dernière version du questionnaire SIG.
  • Compléter et valider les réponses au questionnaire SIG par un suivi continu des risques cyber, commerciaux, de réputation, ESG et financiers.

En outre, Mitratech utilise le SIG comme contenu normalisé pour le réseau d'échangePrevalent et le réseau de fournisseurs juridiquesPrevalent .

Demandez une démo pour en savoir plus sur nos solutions pour automatiser vos évaluations SIG.

Tags :
Partager :
Thomas humphreys
Thomas Humphreys
Prevalent Expert en conformité
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo