Risque lié aux tiers Cyber : gérer les risques liés à l'informatique, à la conformité et aux données tout au long du cycle de vie du fournisseur.

Identifier le risque lié à un tiers ( Cyber ) lors de la sélection et de l'achat de produits.

Un certain degré de risque lié au site cyber sera présent chez presque tous les fournisseurs avec lesquels vous faites affaire, même ceux qui ont un accès extrêmement minime à l'infrastructure informatique ou aux données sensibles. Cependant, l'identification des fournisseurs qui exposent votre organisation à des niveaux de risque inutilement élevés ( cyber ) est essentielle pour réduire les risques de violation de données ou d'incident de sécurité. Voici quelques questions à poser aux fournisseurs potentiels, en particulier à ceux dont le profil de risque est élevé.

• L'organisation dispose-t-elle d'un programme de cybersécurité formalisé, aligné sur un cadre de cybersécurité connu tel que le NIST CSF ou la norme ISO 27001?

• Un vérificateur ou une partie externe a-t-il validé que le programme de sécurité est entièrement conforme à la norme ?

• L'organisation est-elle déjà entièrement conforme aux exigences légales applicables pour travailler avec les données de votre organisation ? (par exemple, HIPAA, GDPR, CCPA)

• L'organisation a-t-elle déjà été condamnée à une amende pour une violation de la conformité en matière de cybersécurité ?

• Quelle est la dépendance de l'organisation à l'égard des 4e ou Nième parties ?

• L'organisation a-t-elle des antécédents de violations de données ou d'incidents de sécurité rendus publics ?

• L'organisation est-elle située dans un pays qui pourrait l'obliger à divulguer des données d'entreprise sensibles contrairement à des obligations contractuelles ?

Atténuation des risques liés à l'utilisation du site Cyber par des tiers lors de l'admission et de l'embarquement.

Identifier les fournisseurs qui présentent un degré de risque acceptable n'est qu'un début. L'accueil et l'intégration sont une phase cruciale pour permettre à la fois l'identification des risques et les opportunités de réduction tout au long du cycle de vie du contrat.

Intégrer la cybersécurité dans le contrat

Incluez des exigences spécifiques en matière de stockage des données et de cybersécurité dans votre contrat avec le fournisseur, en fonction des besoins de conformité et du profil de risque. Des clauses standardisées devraient couvrir quand et comment le fournisseur peut partager des données avec ses tiers (c'est-à-dire vos quatrièmes parties). En outre, envisagez d'ajouter des exigences à l'accord de niveau de service concernant les normes de cryptage, la gestion des identités et des accès, et la conservation des données.

Score Risque inhérent

La notation du risque inhérent est essentielle pour gérer de manière adéquate le risque lié aux tiers cyber . Comme mentionné ci-dessus, le risque inhérent d'une organisation est le risque qu'elle pose avant la mise en œuvre des contrôles spécifiques requis par votre organisation. Vous trouverez ci-dessous quelques conseils que vous pouvez utiliser pour améliorer votre approche de notation du risque inhérent :

Ne pas adopter une approche unique : La notation du risque inhérent doit être basée sur le profil de risque de l'organisation. Les fournisseurs doivent être classés par niveau en fonction des données et de l'infrastructure auxquelles ils ont accès. Si l'on ne parvient pas à classer les fournisseurs de manière appropriée, on gaspille les efforts en concentrant la diligence raisonnable sur les mauvais fournisseurs, tandis que ceux qui peuvent présenter un risque organisationnel important ne reçoivent pas suffisamment d'attention.

Tenir compte de l'emplacement du fournisseur lors de l'évaluation du risque inhérent Cyber : Les fournisseurs basés dans des endroits spécifiques peuvent être partiellement détenus ou soumis à des exigences spécifiques de partage de données par les gouvernements, ce qui peut supplanter les obligations contractuelles des fournisseurs envers votre organisation. Tenez soigneusement compte de l'emplacement du fournisseur et de la politique régionale lorsque vous déterminez le niveau de risque inhérent d'un fournisseur.

Conseil bonus : L'utilisation d'une solution tierce dédiée à la gestion des risques peut vous permettre de classer les fournisseurs en fonction de critères personnalisés.

Identifier les fournisseurs de la quatrième et de la neuvième partie

Si le fournisseur que vous êtes en train d'intégrer présente un degré élevé de risque inhérent en raison de ses données et de son accès informatique, il peut être utile d'examiner sa chaîne d'approvisionnement étendue. Accordez une attention particulière aux organisations qui travaillent sur leur infrastructure informatique ou qui ont accès aux données qu'ils stockent. Comprendre l'utilisation de la quatrième et de la neuvième partie permet d'informer votre programme global de gestion des risques liés aux fournisseurs, ainsi que d'orienter votre approche de surveillance des tiers tout au long du cycle de vie du contrat.

Évaluer et remédier aux risques de cybersécurité des tiers

L'évaluation et la correction des risques de cybersécurité émanant de tiers sont essentielles pour votre programme TPRM. Voici quelques conseils que vous pouvez utiliser lorsque vous évaluez et demandez des mesures correctives aux fournisseurs :

Faire correspondre les exigences de conformité aux contrôles des fournisseurs

Si vous avez des obligations en vertu de l'HIPAA, du GDPR, du NYDFS ou d'autres réglementations, vous devez vous assurer que le fournisseur satisfait aux contrôles nécessaires en fonction du type de données qu'il manipule. L'utilisation d'un logiciel de gestion des risques tiers comme Prevalent peut accélérer considérablement cette étape en mettant automatiquement en correspondance les cadres de cybersécurité utilisés par le fournisseur avec les exigences de conformité de votre organisation.

N'ayez pas peur de demander de nouveaux contrôles ou des audits externes.

Si l'organisation n'a pas fait certifier par un organisme extérieur qu'elle est conforme à une norme de cybersécurité bien connue, n'ayez pas peur de demander qu'elle se soumette à un audit basé sur un cadre (ou une exigence de conformité dont votre organisation relève). Il vaut mieux perdre un contrat potentiel que de découvrir plus tard que l'auto-certification de conformité HIPAA était exagérée et que votre organisation est responsable d'une violation.

Comprendre les processus de partage des données entre la quatrième et la neuvième partie.

Vous devriez avoir une idée générale des organisations externes auxquelles votre fournisseur fait appel en fonction de ses réponses lors de la phase d'accueil et d'intégration. Lorsque votre organisation effectue son évaluation formelle des risques liés aux fournisseurs, demandez-lui de vous indiquer les politiques et procédures spécifiques qu'il applique pour le partage des données ou l'accès à des tiers. S'il n'a pas de politiques et de procédures formalisées, demandez-lui d'en créer.

Évaluer et corriger régulièrement les risques

Le risque n'est pas statique. Le risque que représente un fournisseur pour votre organisation ( cyber ) est susceptible de changer de manière significative tout au long du cycle de vie du contrat. L'élargissement du champ d'application peut amener les fournisseurs à accepter des tâches supplémentaires à mesure qu'ils gagnent la confiance de l'entreprise, ce qui peut également leur permettre d'accéder à des ressources supplémentaires qui n'avaient pas été prises en compte dans l'évaluation initiale des risques. Au fur et à mesure que le contrat avec l'organisation évolue, réévaluez régulièrement le risque lié au fournisseur pour vous assurer que le risque résiduel reste dans des paramètres acceptables.

Utiliser une bibliothèque partagée

Pour faire face aux contraintes de ressources, de nombreuses organisations - en particulier celles qui disposent d'un solide plan d'échelonnement des fournisseurs - choisissent d'exploiter le contenu déjà soumis et partagé dans le cadre d'un échange sectoriel. Ces échanges de fournisseurs sont des prophéties qui se réalisent d'elles-mêmes : plus il y a de fournisseurs qui participent, plus le chevauchement avec d'autres entreprises est important. Cela permet d'accélérer les processus d'identification et d'atténuation des risques et de minimiser le temps nécessaire à la collecte des données.

Surveillance continue du risque lié aux tiers Cyber

Même si vous effectuez régulièrement des évaluations des risques pour surveiller les risques liés aux tiers, des changements rapides du profil de risque d'un fournisseur peuvent vous échapper. Pour gérer efficacement le risque lié aux tiers ( cyber ), il est essentiel de surveiller en permanence les changements dans la posture de cybersécurité de votre fournisseur. Voici une brève liste de sources à surveiller tout au long du cycle de vie du fournisseur pour vous assurer de ne pas manquer un événement de sécurité important.

Forums du Dark Web

Lorsqu'ils ciblent de grandes organisations, les acteurs malveillants coordonnent et planifient souvent les attaques sur des forums uniquement accessibles aux utilisateurs autorisés utilisant le réseau TOR. En surveillant les forums du dark web à la recherche de mentions de vendeurs tiers et quadripartites, vous pouvez identifier rapidement les cyberattaques potentielles qui sont en cours ou qui ont été exécutées contre des tiers.

Marchés du Dark Web

Les places de marché du Dark Web, comme Genesis Market, vendent des botnets contenant des empreintes de navigateur qui peuvent être utilisées par des acteurs malveillants pour contourner le 2FA et d'autres contrôles. La surveillance de ces places de marché peut permettre d'identifier rapidement si l'accès d'un tiers est à vendre, vous alertant ainsi sur une violation potentielle des données en cours. En outre, les acteurs malveillants vendent souvent des accès à des comptes et des informations d'identification volées sur les places de marché du dark web. Ceux-ci peuvent ensuite être utilisés par d'autres acteurs malveillants pour faciliter la prise de contrôle de comptes et les attaques de phishing. La surveillance de ces places de marché peut vous aider à mieux comprendre le risque lié au fournisseur cyber . Quelques questions à poser :

• Les informations d'identification associées au fournisseur ou à ses solutions sont-elles en vente sur le Dark Web ?

• Y a-t-il des botnets à vendre qui contiennent des sous-domaines indiquant que la victime est un employé d'un fournisseur ?

• Le vendeur a-t-il déjà identifié des références à vendre ou sa posture de risque externe lui est-elle largement inconnue ?

Sites Pastebin et Clearweb

Les fuites de données et les comptes volés ne se trouvent pas tous sur le Dark Web. Dans de nombreux cas, les employés font accidentellement fuir des données de tiers qui apparaissent sur Pastebin et d'autres forums publics. Pour aggraver ces difficultés, des acteurs malveillants sont également connus pour déverser des fichiers contenant des milliers d'identifiants sur des forums d'accès public. La surveillance de Pastebin et d'autres forums publics à la recherche d'informations exclusives, d'informations d'identification de tiers volées et d'autres données sensibles est un élément clé de la surveillance continue des tiers.

Bases de données sur les vulnérabilités

Les bases de données de vulnérabilités, telles que la base de données CVE de MITRE, peuvent aider votre organisation à identifier les expositions dans les logiciels développés ou utilisés par vos fournisseurs tiers. L'utilisation d'un logiciel de gestion des risques pour les tiers peut vous permettre d'identifier automatiquement les fournisseurs de logiciels de troisième et quatrième parties présentant des vulnérabilités potentielles.

Bases de données sur les violations de données

Une autre partie importante de la surveillance des risques liés aux tiers cyber consiste à rechercher les fournisseurs dans les bases de données des violations de données signalées, comme celles de Privacy Rights Clearinghouse et de l'État de Californie. Même une violation de données de portée limitée doit vous inciter à évaluer le risque pour toute donnée partagée avec le tiers. Elle peut également nécessiter un examen des exigences de conformité réglementaire applicables.

Automatisation du processus de surveillance

Un logiciel de surveillance des risques liés aux tiers peut aider à automatiser le processus d'identification et de quantification des risques liés aux fournisseurs cyber . Par exemple, notre solution de surveillance des risques vous permet de révéler les incidents liés à cyber pour 550 000 entreprises en surveillant plus de 1 500 forums criminels, des milliers de pages oignons, plus de 80 forums d'accès spéciaux sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage pour les informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.

Tiers Cyber Risque et accords de niveau de service

La gestion réussie des accords de niveau de service entre les départements et les fournisseurs est essentielle pour gérer efficacement le risque lié aux tiers cyber . Les fournisseurs doivent être évalués régulièrement pour s'assurer que les exigences de conformité sont respectées et que des charges de conformité supplémentaires n'ont pas été encourues en raison de l'augmentation de la portée. Voici quelques considérations clés pour la gestion du risque lié aux tiers cyber lors de la gestion des accords de niveau de service.

Automatiser lorsque c'est possible

Le moins que l'on puisse dire, c'est qu'il est difficile d'examiner manuellement des centaines de contrats dans des dizaines de départements et potentiellement des milliers de fournisseurs. L'utilisation d'un logiciel de gestion des risques tiers peut vous permettre d'automatiser les éléments clés de la gestion des accords de niveau de service avec un flux de travail et des mesures correctives intégrés.

Intégrer la cybersécurité dans l'accord de service

Assurez-vous que les bonnes pratiques du site cyber sont inscrites dans l'accord de niveau de service. Des considérations spécifiques concernant le traitement des données, les exigences de sécurité des contractants, la vérification des antécédents du personnel et d'autres dispositions peuvent contribuer à garantir que les tiers utilisent des techniques efficaces de réduction des risques tout en fournissant des services.

Abandon, résiliation et atténuation du risque lié aux tiers Cyber

Toutes les violations de données ne se produisent pas pendant un contrat. L'exclusion et la résiliation représentent l'étape finale et critique de l'atténuation du risque cyber posé par des tiers. De nombreuses organisations qui manquent de maturité en matière d'exclusion finissent par laisser aux fournisseurs l'accès à des données, des comptes et des infrastructures informatiques essentiels. Vous trouverez ci-dessous quelques bonnes pratiques à utiliser lors de l'exclusion des vendeurs.

Garder la conformité en ligne de mire

Pour réussir l'exclusion des fournisseurs, il est essentiel de garantir la conformité aux lois et réglementations en vigueur. Évaluez les exigences de conformité de votre organisation et veillez à ce que l'exclusion des fournisseurs, la suppression des données et la validation soient effectuées conformément aux lois et réglementations applicables.

Les plateformes tierces de gestion des risques disposent de rapports intégrés qui s'alignent sur ces obligations réglementaires, ce qui peut simplifier le processus de conformité. De nombreuses organisations supposent que la destruction des données a eu lieu à la fin du contrat. Prenez le temps de vérifier manuellement que toutes les données sensibles, exclusives et réglementées en possession du fournisseur ont été détruites.

Valider que l'accès a été révoqué

Il peut être difficile de suivre l'accès des fournisseurs, en particulier ceux qui travaillent dans plusieurs services. Cependant, il est impératif que vous preniez le temps de vérifier manuellement chaque service et de vous assurer que le fournisseur a été entièrement et correctement exclu de l'organisation. Laisser un fournisseur accéder à l'infrastructure informatique, aux comptes ou à des informations sensibles peut vous rendre vulnérable à une violation des données ou à une violation de la conformité des mois, voire des années plus tard.

N'oubliez pas l'infrastructure physique

De nombreuses organisations s'attachent, à juste titre, à faire en sorte que les fournisseurs n'aient plus accès aux serveurs, bases de données et applications SaaS du cloud. Mais il est presque aussi impératif de ne pas perdre de vue la sécurité physique de l'infrastructure et des actifs informatiques. Le fait de ne pas révoquer les informations d'identification ou de ne pas informer les équipes de sécurité de l'exclusion d'un fournisseur peut entraîner des failles de sécurité et des violations potentielles si un employé d'un fournisseur tiers est de mauvaise foi.

Gestion du risque de cybersécurité des tiers tout au long du cycle de vie du risque fournisseur

Réussir à atténuer le risque de cybersécurité d'un tiers à un niveau acceptable tout au long du cycle de vie du risque fournisseur peut être décourageant. Les violations de données par des tiers continuent d'augmenter à mesure que de nouvelles vulnérabilités apparaissent et que les techniques d'attaque évoluent. Des événements récents tels que la guerre en Ukraine et l'instabilité géopolitique accrue ont aggravé ces risques.

L'utilisation d'une solution de gestion des risques liés aux tiers peut réduire considérablement l'effort nécessaire pour atténuer les risques découlant de l'accès de tiers à l'informatique. La plateforme de gestion des risques liés aux tiers Prevalent facilite considérablement la navigation dans le cycle de vie des fournisseurs. Pour en savoir plus sur notre approche, lisez notre guide des meilleures pratiques, Navigating the Vendor Risk Lifecycle : Keys to Success at Every Stage, ou demandez une démonstration dès aujourd'hui.