Le Ponemon Institute a publié sa troisième étude annuelle sur le risque IoT des tiers en partenariat avec Shared Assessments. L'étude est riche d'enseignements sur la maturité des organisations en matière de gestion des risques liés aux tiers, et plus particulièrement sur la manière dont leurs programmes tiennent compte de la croissance - et des risques correspondants - des appareils IoT. Je vous recommande de télécharger et de lire le rapport complet pour plus de détails.
Quelques éléments m'ont vraiment sauté aux yeux dans le rapport et je voulais les énumérer ici. À savoir, que malgré la sensibilisation aux risques de l'IdO, la plupart des organisations n'en font pas assez. Je vais passer en revue certaines mesures qui peuvent être prises pour surmonter ce que vous ne savez pas.
Synthèse des résultats pertinents*
Je ne vais pas détailler toutes les conclusions du rapport ; il est préférable que vous l'examiniez par vous-même. Je voulais plutôt attirer l'attention sur certaines données et conclusions concernant les risques liés à l'IdO et sur la façon dont vous pouvez commencer à les aborder dès aujourd'hui.
L'étude poursuit en disant que les examens des programmes et des politiques de risque des tiers sont principalement réactifs ou ad hoc, 39 % des personnes interrogées déclarant que les examens sont effectués tous les deux ans ou pas de manière régulière ou seulement si un tiers a un incident de sécurité (18 % des personnes interrogées).
L'essentiel : Il faut qu'il y ait une brèche avant que les politiques et les programmes de risque des tiers soient revus.
Comme laisser la porte d'entrée non verrouillée pour que n'importe qui puisse entrer.
Une approche réactive et incohérente de la surveillance et de la gestion des risques liés aux tiers s'est révélée à maintes reprises insuffisamment agile pour les organisations d'aujourd'hui. Dans le cas des dispositifs IoT, ne pas surveiller la façon dont ils sont exploités par vos fournisseurs tiers revient à donner les clés de votre réseau à quiconque le demande !
Pour fermer et protéger l'accès à la porte d'entrée de votre organisation, envisagez de prendre les quatre (4) mesures suivantes :
1. Effectuez une évaluation approfondie, basée sur les contrôles, de vos tiers en ce qui concerne leur utilisation des appareils IoT. Plusieurs cadres de contrôle (p. ex. ISO, NIST, etc.) comportent des questions sur les contrôles et les sous-contrôles qui peuvent être utilisées avec le SIG pour vous aider à évaluer les personnes, les processus et les technologies en place. Les questions spécifiques à poser sont celles qui concernent
2. En attendant les résultats des évaluations, effectuez une surveillance des réseaux externes de vos partenaires tiers. Cette analyse permettra de révéler les risques potentiels liés à la configuration (par exemple, SSL, DNS, sécurité des applications) et les risques liés aux événements menaçants (par exemple, les violations de données, les menaces IP, les événements de phishing, etc. Les résultats de cette analyse, ainsi que les résultats des évaluations effectuées au point 1 ci-dessus, vous permettront de définir votre position globale en matière de risques et vous aideront à être plus proactif dans la réduction des risques liés à l'IdO.
3. Informez votre conseil d'administration et votre direction générale des risques posés par les tiers à votre entreprise par le biais de rapports et de tableaux de bord. Comme nous l'avons évoqué dans le blog de la semaine dernière sur la maturité TPRM, tout est question de contexte.
4. Développer des classifications de risques et des règles spécifiques basées sur l'IdO. La mise en place de nouveaux programmes TPRM ou la maturation de programmes existants basés sur les meilleures pratiques du secteur est un travail difficile. En définissant les composants essentiels d'un programme TPRM complet, vous garantissez une définition claire des objectifs, des étapes réalisables et des processus documentés, de sorte que vous réagissez moins.
Prochaines étapes
En prenant quelques mesures rapides, comme celles mentionnées ci-dessus, vous pouvez obtenir une meilleure visibilité et un meilleur contrôle de l'impact des appareils et de la stratégie IoT de vos partenaires sur votre propre organisation. Pour en savoir plus sur les meilleures pratiques de gestion des risques liés aux tiers, contactez-nous dès aujourd'hui pour une session de stratégie.
*Tous les chiffres sont tirés directement du rapport Ponemon/Santa Fe Group, sans aucune modification.
Lisez les conclusions de notre étude annuelle sur le TPRM et mettez en œuvre ces bonnes pratiques pour...
05/08/2024
Prevalent estime qu'il se différencie en offrant une couverture complète de plusieurs types de risques et en fournissant...
12/12/2023
Le principal cabinet d'analyse du secteur reconnaît Prevalent pour ses offres sophistiquées de gestion des risques liés aux fournisseurs.
11/06/2023