Dix façons d'améliorer la gouvernance et la surveillance de la gestion des risques liés aux tiers

2. Établir, communiquer et coordonner les rôles et responsabilités internes et externes

Cette deuxième facette de la fonction de gouvernance, GV.SC-02, concerne la définition de rôles clairs au sein du programme pour les participants externes. Pour ce faire, vous pouvez utiliser une matrice RACI afin de déterminer qui est responsable à chaque niveau du programme de gestion des risques technologiques. L'élément le plus important est sans doute la communication à vos vendeurs, fournisseurs, partenaires et clients des attentes que vous avez à leur égard dans le cadre de votre initiative de gestion des risques technologiques.

Les vendeurs, les fournisseurs et les partenaires doivent jouer des rôles spécifiques dans le programme TPRM et assumer la responsabilité de tâches telles que la livraison en temps voulu de leurs évaluations et des preuves à l'appui, la réponse aux incidents et la garantie que leurs contrôles de sécurité sont pleinement mis en œuvre.

3. Intégrer la gestion des risques liés à la chaîne d'approvisionnement en matière de cybersécurité dans les processus de gestion, d'évaluation et d'amélioration des risques liés à la cybersécurité et à l'entreprise.

Une caractéristique essentielle de la gouvernance et de la surveillance du TPRM consiste à lier le programme à la gestion des risques de l'entreprise ou au programme de sécurité de l'information, comme indiqué dans le document GV.SC-03.

Essayer de gérer cette initiative comme une piste distincte au sein de votre entreprise est une recette pour un désastre à long terme. En pratique, cela signifie qu'il faut aligner les évaluations et la surveillance continue des risques opérationnels, financiers et de réputation des fournisseurs ( cyber) sur la surveillance plus large de la cybersécurité de votre organisation, et intégrer les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurs en fonction des priorités de votre organisation.

4. Connaître les fournisseurs et les classer par ordre de priorité en fonction de leur criticité

GV.SC-04 du NIST CSF fait référence à la hiérarchisation des fournisseurs en fonction de leur degré de criticité pour l'entreprise. Pour ce faire, vous devez quantifier les risques inhérents à tous les tiers qui interagissent avec votre entreprise. Vous pouvez calculer le risque inhérent en utilisant des qualificatifs tels que :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard de tierces parties
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

Après avoir quantifié le risque inhérent à chaque fournisseur, vous pouvez les classer par niveau de priorité en fonction de leur score de risque et de leur importance pour l'entreprise. Les fournisseurs qui se situent à un niveau plus élevé que les autres peuvent nécessiter des tests de résistance plus rigoureux par le biais d'évaluations continues et d'autres contrôles des risques.

5. Inclure dans les contrats et accords conclus avec les fournisseurs des exigences relatives à la prise en compte des risques de cybersécurité dans les chaînes d'approvisionnement

Pour répondre à l'exigence GV.SC-05 du cadre CSF du NIST, vous devez centraliser la gestion des contrats avec les fournisseurs. En outre, vous devez automatiser le cycle de vie de ces contrats et appliquer les clauses importantes. Le cycle de vie complet des contrats signifie le développement, la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Les fonctionnalités clés permettant de répondre à cette exigence sont les suivantes :

• Suivi centralisé de tous les contrats et attributs tels que le type, les dates clés, la valeur, les rappels et le statut - avec des vues personnalisées basées sur les rôles.
• Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser la gestion des contrats
• Des rappels automatisés et des avis de retard pour rationaliser les examens
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

L'intégration de ces fonctions dans votre programme de gestion des risques des tiers vous permet d'articuler des clauses de droit à l'audit et d'établir des responsabilités claires dans les contrats avec les fournisseurs. Vous pouvez ensuite suivre et gérer les accords de niveau de service (SLA) afin de rationaliser votre gouvernance et votre supervision de la gestion des risques des tiers.

6. Faire preuve de diligence raisonnable avant de nouer des relations formelles avec des fournisseurs ou des tiers

Avant d'entamer toute relation formelle avec un fournisseur ou un tiers, les organisations doivent faire preuve de diligence raisonnable afin de minimiser les risques. Dans le cadre du contrôle GV.SC-06, il convient de centraliser et d'automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI), conformément à votre processus d'évaluation des risques liés aux tiers.

Cette solution automatisée centrale doit vous permettre de comparer les demandes d'information et les appels d'offres sur la base d'attributs clés. Cette comparaison est importante car elle peut aider les équipes à créer des profils de fournisseurs complets. Il s'agit notamment d'informations sur les caractéristiques démographiques du fournisseur, les technologies utilisées, les scores ESG, les mises à jour récentes de l'activité et de la réputation, les violations de données et les performances financières.

Ce niveau de diligence raisonnable permettra de mieux contextualiser les décisions de sélection des fournisseurs. Dans un scénario idéal, la réalisation d'une analyse de risque avant d'entamer une relation commerciale formelle signifie que votre risque résiduel peut être plus faible dans l'ensemble.

7. Identifier, enregistrer, hiérarchiser, évaluer, répondre et surveiller les risques posés par un fournisseur tout au long de la relation

Dans le document GV.SC-07, le CCA recommande d'identifier, d'enregistrer et de surveiller les risques que les fournisseurs font peser sur votre entreprise. L'un des meilleurs moyens d'y parvenir dans le cadre de votre gouvernance et de votre supervision du TPRM consiste à rechercher des solutions qui disposent d'une vaste bibliothèque de modèles préétablis d'évaluation des risques liés aux tiers. Vous devriez procéder à ces évaluations à différents moments de votre relation avec les fournisseurs : lors de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction de changements ou d'événements importants.

Idéalement, un système de gestion central gère ces évaluations et les soutient avec un flux de travail, une gestion des tâches et un examen automatisé des preuves. Les capacités d'examen supplémentaires intégrées à ces solutions permettent à votre équipe d'avoir une meilleure visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Une partie de ce processus de TPRM implique également de suivre et d'analyser en permanence les menaces externes qui pèsent sur les tiers. Pour ce faire, vous devez surveiller Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Comprendre la situation en termes de menaces externes peut vous aider à mieux suivre les risques potentiels qui pèsent sur votre infrastructure critique. Vous devez mettre en corrélation toutes vos données de surveillance, quelle qu'en soit la source ou le type, avec les résultats d'évaluation de vos fournisseurs. Ensuite, centralisez le tout dans un registre des risques unifié pour chaque fournisseur.

L'unification de toutes ces données vous permet de rationaliser l'examen des risques, les rapports, les mesures correctives et les réponses. Une fois que vous avez mis cela en place, vous pouvez également intégrer les données opérationnelles, financières et de réputation des tiers. Ces données "noncyber" fournissent le contexte nécessaire aux données sur les risques de cybersécurité. Le magasin de données centralisé vous permet également de mesurer l'impact de tout incident au fil du temps.

8. Inclure les fournisseurs et les autres tiers dans les activités de planification, d'intervention et de rétablissement en cas d'incident

Dans le cadre de votre stratégie globale de gestion des incidents, vous devez vous assurer que votre programme de réponse aux incidents de tiers vous permet d'identifier rapidement les incidents de sécurité des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact. Ceci est au cœur du contrôle GV.SC-08. Une équipe interne spécialisée peut s'en charger, mais, en réalité, de nombreuses organisations n'ont pas les compétences nécessaires pour répondre efficacement aux incidents - en particulier lorsqu'il s'agit d'une tierce partie.

Un service géré qui emploie des experts dédiés à la gestion centralisée de vos fournisseurs, à l'évaluation proactive des risques liés aux événements, à l'évaluation des risques, à la mise en corrélation de ces risques avec les informations de surveillance continue du site cyber et à l'émission de conseils de remédiation peut s'avérer extrêmement précieux. services manages peut réduire considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité et veiller à ce que des remédiations soient mises en place.

Les capacités clés d'un service de réponse aux incidents d'une tierce partie sont les suivantes :

• Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
• Suivi en temps réel de la progression du remplissage du questionnaire
• Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
• Rapports proactifs sur les fournisseurs
• Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
• Des règles de flux de travail pour déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'activité.
• Modèles de rapports intégrés pour les parties prenantes internes et externes.
• Recommandations de remédiation intégrées pour réduire les risques
• Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises à travers le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des violations de données des fournisseurs. Cela permettra d'obtenir des informations historiques supplémentaires sur la probabilité qu'un fournisseur soit victime d'une violation de données.

Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident. Cela inclut les données concernées, l'impact sur les opérations du tiers et l'achèvement des mesures correctives.

9. Intégrer les pratiques de sécurité de la chaîne d'approvisionnement dans les programmes de cybersécurité et de gestion des risques de l'entreprise, et contrôler leurs performances tout au long du cycle de vie des produits et services technologiques.

Pour s'attaquer à la facette GV.SC-09 de la fonction de gouvernance, il faut mettre l'accent sur la gestion des performances. En pratique, cela signifie qu'il faut déterminer si les fournisseurs respectent les accords de niveau de service (SLA), appliquer les mesures correctives recommandées et adhérer à tout mandat de conformité nécessaire. Vous devez également surveiller les performances des fournisseurs par rapport à ces exigences. Cela permet de mettre en évidence les lacunes éventuelles par rapport aux SLAS ou à d'autres actions recommandées.

Une partie de ce suivi consiste également à déterminer les bons indicateurs de performance clés (KRI) et les bons indicateurs de performance clés (KPI) pour les fournisseurs. Une fois que vous avez compris les paramètres sur lesquels vous devez évaluer vos vendeurs et vos fournisseurs, vous pouvez suivre leurs performances en fonction de ces paramètres afin de montrer les améliorations apportées. Il est conseillé de contrôler et de mesurer ces indicateurs à l'aide d'un outil de gestion des risques tiers afin de faciliter l'établissement de rapports sur les mesures.

10. Inclure dans les plans de gestion des risques liés à la chaîne d'approvisionnement en matière de cybersécurité des dispositions relatives aux activités qui se déroulent après la conclusion d'un partenariat ou d'un accord de service

En s'appuyant sur les meilleures pratiques recommandées pour GV.SC-05, les organisations doivent automatiser l'évaluation des contrats et les procédures d'abandon afin de réduire le risque d'exposition post-contractuelle. Dans le cadre de la facette GV.SC-10 de la fonction de gouvernance, cela peut prendre la forme de.. :

• Planification des tâches pour examiner les contrats et s'assurer que toutes les obligations ont été respectées
• Émission d'évaluations personnalisées des contrats afin d'en évaluer l'état d'avancement
• Grâce à des enquêtes et à des flux de travail personnalisables, vous pouvez établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, etc.
• Stocker et gérer de manière centralisée les documents et les certifications, tels que les NDA, les SLA, les SOW et les contrats. Utiliser l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel et l'analyse de l'apprentissage automatique pour confirmer que les critères clés sont pris en compte.
• Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation
• Visualiser et répondre aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.

Un élément important de cette étape est d'assurer la continuité des activités pendant la période de transition entre l'accord résilié et l'intégration d'un nouveau fournisseur.

Prochaines étapes

La gouvernance et la surveillance sont aussi essentielles à une gestion efficace des risques liés aux tiers que l'identification et l'atténuation des risques. Sans accord sur les processus et les mesures clés, il est peu probable que vous atteigniez vos objectifs de réduction des risques. Comme le disait le chat du Cheshire dans Alice au pays des merveilles, "si vous ne savez pas où vous allez, n'importe quel chemin vous y mènera".

La gouvernance et la surveillance permettent de savoir où l'on va et d'emprunter la bonne voie pour y parvenir. L'utilisation de la fonction de gouvernance du NIST CSF 2.0 constituera une base solide pour l'intégration de la gouvernance dans votre programme de gestion des risques des tiers.

Pour en savoir plus sur la façon dont Prevalent peut vous aider à établir et à développer votre programme TPRM, demandez une démonstration personnalisée dès aujourd'hui.