La gouvernance et la surveillance sont essentielles pour tout programme de gestion des risques liés aux tiers (TPRM). Il est essentiel d'identifier et de surveiller les fournisseurs importants et leurs faiblesses. Cependant, même le gestionnaire de risques tiers le mieux organisé peut avoir du mal à gérer les risques tiers en l'absence d'une surveillance adéquate.
En l'absence d'une gouvernance de programme appropriée, votre organisation peut ne pas disposer des processus, du personnel ou des technologies adéquats pour gérer efficacement les risques liés aux tiers. Cela compromet la capacité de votre organisation à réduire les risques de violation de données, à atténuer les défis opérationnels et à s'assurer que l'entreprise reste conforme à une myriade de régimes réglementaires.
Dans cet article, nous définissons la gouvernance et la surveillance, nous identifions les caractéristiques principales d'un programme de TPRM bien gouverné et nous recommandons des mesures pour garantir que votre programme de TPRM est correctement surveillé.
La gouvernance et la supervision sont les disciplines dans lesquelles les parties prenantes de l'organisation identifient, établissent, gèrent, contrôlent et améliorent les processus. Dans la plupart des cas, il s'agit d'utiliser un cadre de gouvernance et de créer votre programme de TPRM sur la base de normes et de pratiques convenues.
De nombreux programmes de gestion des risques pour les tiers accordent la priorité à la surveillance de la cybersécurité en tant que principale catégorie de risques. C'est pourquoi nous allons examiner de plus près le cadre de cybersécurité (CSF) 2.0 du National Institute of Standards and Technology (NIST) en tant que cadre de gouvernance et de surveillance dans le cadre du TPRM. Plus précisément, nous examinerons la fonction de gouvernance introduite dans la nouvelle version du CSF du NIST.
Nouvelle fonction introduite avec la version 2.0, Gouverner est fondamentale et conçue pour informer sur la manière dont une organisation atteindra et priorisera les résultats des cinq autres fonctions du cadre - Identifier, Protéger, Détecter, Répondre et Récupérer - dans le contexte de sa stratégie plus large de gestion des risques de l'entreprise. Cette fonction comprend la supervision de la stratégie, des rôles, des responsabilités, des politiques, des processus et des procédures en matière de cybersécurité, ainsi que la centralisation des orientations en matière de gestion des risques liés à la chaîne d'approvisionnement en cybersécurité.
La composante initiale de la fonction de gouvernance, GV.SC-01, se concentre sur l'établissement des objectifs, des politiques et des processus de base de la gestion des risques technologiques en interne. La compréhension collective et le consensus entre les parties prenantes internes sont essentiels au succès à long terme de la TPRM. Cette partie du CSF du NIST implique l'élaboration d'un programme complet. Ce programme doit être conforme aux programmes de sécurité de l'information, de gestion des risques et de conformité de votre organisation.
Toutes les parties prenantes internes doivent être en phase avec les politiques, les procédures et la stratégie globale de gestion des risques liés aux tiers. Votre programme doit également optimiser l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnementà la résiliation en passant par la diligence raisonnable - en fonction de la tolérance au risque de votre organisation.
de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'exclusion - en fonction de l'appétit pour le risque de votre organisation.
Aligner votre programme TPRM sur le NIST CSF 2.0
Lisez la liste de contrôle de la conformité des tiers au NIST Cybersecurity Framework 2.0 pour évaluer votre programme de gestion des risques des tiers par rapport aux dernières directives C-SCRM.
Cette deuxième facette de la fonction de gouvernance, GV.SC-02, concerne la définition de rôles clairs au sein du programme pour les participants externes. Pour ce faire, vous pouvez utiliser une matrice RACI afin de déterminer qui est responsable à chaque niveau du programme de gestion des risques technologiques. L'élément le plus important est sans doute la communication à vos vendeurs, fournisseurs, partenaires et clients des attentes que vous avez à leur égard dans le cadre de votre initiative de gestion des risques technologiques.
Les vendeurs, les fournisseurs et les partenaires doivent jouer des rôles spécifiques dans le programme TPRM et assumer la responsabilité de tâches telles que la livraison en temps voulu de leurs évaluations et des preuves à l'appui, la réponse aux incidents et la garantie que leurs contrôles de sécurité sont pleinement mis en œuvre.
Une caractéristique essentielle de la gouvernance et de la surveillance du TPRM consiste à lier le programme à la gestion des risques de l'entreprise ou au programme de sécurité de l'information, comme indiqué dans le document GV.SC-03.
Essayer de gérer cette initiative comme une piste distincte au sein de votre entreprise est une recette pour un désastre à long terme. En pratique, cela signifie qu'il faut aligner les évaluations et la surveillance continue des risques opérationnels, financiers et de réputation des fournisseurs ( cyber) sur la surveillance plus large de la cybersécurité de votre organisation, et intégrer les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurs en fonction des priorités de votre organisation.
GV.SC-04 du NIST CSF fait référence à la hiérarchisation des fournisseurs en fonction de leur degré de criticité pour l'entreprise. Pour ce faire, vous devez quantifier les risques inhérents à tous les tiers qui interagissent avec votre entreprise. Vous pouvez calculer le risque inhérent en utilisant des qualificatifs tels que :
Après avoir quantifié le risque inhérent à chaque fournisseur, vous pouvez les classer par niveau de priorité en fonction de leur score de risque et de leur importance pour l'entreprise. Les fournisseurs qui se situent à un niveau plus élevé que les autres peuvent nécessiter des tests de résistance plus rigoureux par le biais d'évaluations continues et d'autres contrôles des risques.
Pour répondre à l'exigence GV.SC-05 du cadre CSF du NIST, vous devez centraliser la gestion des contrats avec les fournisseurs. En outre, vous devez automatiser le cycle de vie de ces contrats et appliquer les clauses importantes. Le cycle de vie complet des contrats signifie le développement, la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Les fonctionnalités clés permettant de répondre à cette exigence sont les suivantes :
L'intégration de ces fonctions dans votre programme de gestion des risques des tiers vous permet d'articuler des clauses de droit à l'audit et d'établir des responsabilités claires dans les contrats avec les fournisseurs. Vous pouvez ensuite suivre et gérer les accords de niveau de service (SLA) afin de rationaliser votre gouvernance et votre supervision de la gestion des risques des tiers.
Maîtriser le cycle de vie des contrats
Découvrez comment rationaliser la gestion du cycle de vie des contrats tout en minimisant l'exposition de votre organisation aux risques liés aux tiers.
Avant d'entamer toute relation formelle avec un fournisseur ou un tiers, les organisations doivent faire preuve de diligence raisonnable afin de minimiser les risques. Dans le cadre du contrôle GV.SC-06, il convient de centraliser et d'automatiser la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI), conformément à votre processus d'évaluation des risques liés aux tiers.
Cette solution automatisée centrale doit vous permettre de comparer les demandes d'information et les appels d'offres sur la base d'attributs clés. Cette comparaison est importante car elle peut aider les équipes à créer des profils de fournisseurs complets. Il s'agit notamment d'informations sur les caractéristiques démographiques du fournisseur, les technologies utilisées, les scores ESG, les mises à jour récentes de l'activité et de la réputation, les violations de données et les performances financières.
Ce niveau de diligence raisonnable permettra de mieux contextualiser les décisions de sélection des fournisseurs. Dans un scénario idéal, la réalisation d'une analyse de risque avant d'entamer une relation commerciale formelle signifie que votre risque résiduel peut être plus faible dans l'ensemble.
Dans le document GV.SC-07, le CCA recommande d'identifier, d'enregistrer et de surveiller les risques que les fournisseurs font peser sur votre entreprise. L'un des meilleurs moyens d'y parvenir dans le cadre de votre gouvernance et de votre supervision du TPRM consiste à rechercher des solutions qui disposent d'une vaste bibliothèque de modèles préétablis d'évaluation des risques liés aux tiers. Vous devriez procéder à ces évaluations à différents moments de votre relation avec les fournisseurs : lors de l'intégration, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction de changements ou d'événements importants.
Idéalement, un système de gestion central gère ces évaluations et les soutient avec un flux de travail, une gestion des tâches et un examen automatisé des preuves. Les capacités d'examen supplémentaires intégrées à ces solutions permettent à votre équipe d'avoir une meilleure visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.
Une partie de ce processus de TPRM implique également de suivre et d'analyser en permanence les menaces externes qui pèsent sur les tiers. Pour ce faire, vous devez surveiller Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.
Comprendre la situation en termes de menaces externes peut vous aider à mieux suivre les risques potentiels qui pèsent sur votre infrastructure critique. Vous devez mettre en corrélation toutes vos données de surveillance, quelle qu'en soit la source ou le type, avec les résultats d'évaluation de vos fournisseurs. Ensuite, centralisez le tout dans un registre des risques unifié pour chaque fournisseur.
L'unification de toutes ces données vous permet de rationaliser l'examen des risques, les rapports, les mesures correctives et les réponses. Une fois que vous avez mis cela en place, vous pouvez également intégrer les données opérationnelles, financières et de réputation des tiers. Ces données "noncyber" fournissent le contexte nécessaire aux données sur les risques de cybersécurité. Le magasin de données centralisé vous permet également de mesurer l'impact de tout incident au fil du temps.
Dans le cadre de votre stratégie globale de gestion des incidents, vous devez vous assurer que votre programme de réponse aux incidents de tiers vous permet d'identifier rapidement les incidents de sécurité des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact. Ceci est au cœur du contrôle GV.SC-08. Une équipe interne spécialisée peut s'en charger, mais, en réalité, de nombreuses organisations n'ont pas les compétences nécessaires pour répondre efficacement aux incidents - en particulier lorsqu'il s'agit d'une tierce partie.
Un service géré qui emploie des experts dédiés à la gestion centralisée de vos fournisseurs, à l'évaluation proactive des risques liés aux événements, à l'évaluation des risques, à la mise en corrélation de ces risques avec les informations de surveillance continue du site cyber et à l'émission de conseils de remédiation peut s'avérer extrêmement précieux. services manages peut réduire considérablement le temps nécessaire pour identifier les fournisseurs touchés par un incident de cybersécurité et veiller à ce que des remédiations soient mises en place.
Les capacités clés d'un service de réponse aux incidents d'une tierce partie sont les suivantes :
Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises à travers le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des violations de données des fournisseurs. Cela permettra d'obtenir des informations historiques supplémentaires sur la probabilité qu'un fournisseur soit victime d'une violation de données.
Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident. Cela inclut les données concernées, l'impact sur les opérations du tiers et l'achèvement des mesures correctives.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Pour s'attaquer à la facette GV.SC-09 de la fonction de gouvernance, il faut mettre l'accent sur la gestion des performances. En pratique, cela signifie qu'il faut déterminer si les fournisseurs respectent les accords de niveau de service (SLA), appliquer les mesures correctives recommandées et adhérer à tout mandat de conformité nécessaire. Vous devez également surveiller les performances des fournisseurs par rapport à ces exigences. Cela permet de mettre en évidence les lacunes éventuelles par rapport aux SLAS ou à d'autres actions recommandées.
Une partie de ce suivi consiste également à déterminer les bons indicateurs de performance clés (KRI) et les bons indicateurs de performance clés (KPI) pour les fournisseurs. Une fois que vous avez compris les paramètres sur lesquels vous devez évaluer vos vendeurs et vos fournisseurs, vous pouvez suivre leurs performances en fonction de ces paramètres afin de montrer les améliorations apportées. Il est conseillé de contrôler et de mesurer ces indicateurs à l'aide d'un outil de gestion des risques tiers afin de faciliter l'établissement de rapports sur les mesures.
En s'appuyant sur les meilleures pratiques recommandées pour GV.SC-05, les organisations doivent automatiser l'évaluation des contrats et les procédures d'abandon afin de réduire le risque d'exposition post-contractuelle. Dans le cadre de la facette GV.SC-10 de la fonction de gouvernance, cela peut prendre la forme de.. :
Un élément important de cette étape est d'assurer la continuité des activités pendant la période de transition entre l'accord résilié et l'intégration d'un nouveau fournisseur.
La gouvernance et la surveillance sont aussi essentielles à une gestion efficace des risques liés aux tiers que l'identification et l'atténuation des risques. Sans accord sur les processus et les mesures clés, il est peu probable que vous atteigniez vos objectifs de réduction des risques. Comme le disait le chat du Cheshire dans Alice au pays des merveilles, "si vous ne savez pas où vous allez, n'importe quel chemin vous y mènera".
La gouvernance et la surveillance permettent de savoir où l'on va et d'emprunter la bonne voie pour y parvenir. L'utilisation de la fonction de gouvernance du NIST CSF 2.0 constituera une base solide pour l'intégration de la gouvernance dans votre programme de gestion des risques des tiers.
Pour en savoir plus sur la façon dont Prevalent peut vous aider à établir et à développer votre programme TPRM, demandez une démonstration personnalisée dès aujourd'hui.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024