7 sources essentielles de renseignements concernant les risques provenant de tiers
Les programmes holistiques de gestion des risques liés aux tiers (TPRM) combinent des évaluations périodiques et internes des contrôles internes des fournisseurs avec une surveillance continue et externe des menaces externes. En complétant les résultats de l'évaluation des fournisseurs par un flux de renseignements externes, vous obtiendrez une compréhension plus complète du risque potentiel de chaque fournisseur pour votre entreprise.
Lorsque vous intégrez la surveillance dans votre programme de gestion des risques liés aux tiers, veillez à exploiter des sources de renseignements sur les fournisseurs qui sont à la fois larges et profondes. Cet article vous aidera à démarrer en décrivant un cas d'utilisation de la surveillance continue et en révélant les principales sources de renseignements sur les risques liés aux tiers. Il vous fera également part des meilleures pratiques pour réussir dans cette voie.
Un cas d'utilisation pour la surveillance continue
En informant vos activités d'évaluation des risques liés aux fournisseurs à l'aide de cyber en temps réel et de renseignements sur la surveillance des activités, vous rendrez votre programme de gestion des risques liés aux fournisseurs plus continu et moins réactif. Par exemple, vous pouvez utiliser la surveillance pour rechercher sur le dark web les vulnérabilités, les brèches et les fuites d'informations d'identification d'un fournisseur. Vous pouvez ensuite corréler ces données avec les informations recueillies dans les questionnaires d'évaluation des fournisseurs pour révéler des incohérences dans les contrôles de gestion des mots de passe et/ou des correctifs.
Une solution TPRM solide ne se contente pas de gérer cette analyse, mais inclut également des règles et des automatismes qui déclenchent des évaluations de suivi. Cette approche permet de boucler la boucle des risques liés aux tiers et de transformer les évaluations ponctuelles en une surveillance continue des risques.
Sources de renseignements sur les risques provenant de tiers
Pour prendre des décisions judicieuses, fondées sur le risque, il faut consommer et normaliser des données provenant de nombreuses sources disparates. Il est facile de passer beaucoup de temps à trouver, centraliser et donner un sens aux données qui sous-tendent la posture de sécurité de vos fournisseurs. C'est pourquoi il est important de prendre en compte la capacité d'une solution TPRM à agréger et à rendre compte des renseignements fournis par des tiers de manière exploitable.
Que vous évaluiez des solutions de surveillance des risques ou que vous adoptiez une approche manuelle, assurez-vous d'examiner ces sources de renseignements sur les risques provenant de tiers :
1. Sources publiques
Les sources courantes de renseignements sur les menaces accessibles au public - et probablement gratuites - fournissent des informations générales sur le secteur, les tendances et les mises à jour des violations :
- Les sites sur les violations de données examinent l'impact des récentes violations (par exemple, Data Breach Today).
- Les sites Web des entreprises partagent des communiqués de presse qui pourraient indiquer des risques potentiels (par exemple, licenciements, nouvelles financières, etc.).
- Les sites web d'évaluation des produits et des entreprises donnent un aperçu de l'opinion des clients sur les produits d'une entreprise (par exemple, G2).
- Les sites d'offres d'emploi et d'évaluation des employés révèlent le mode de fonctionnement d'une entreprise et indiquent les perturbations potentielles (par exemple, Glassdoor).
- Les publications commerciales et les sites industriels examinent les tendances qui peuvent avoir un impact sur les activités d'une entreprise (par exemple, Manufacturing Today).
- Les blogs et les messages sur les médias sociaux fournissent des mises à jour sur les nouvelles de l'entreprise, y compris les incidents de sécurité (par exemple, Recorded Future).
- Sites de certification qui indiquent le niveau de sécurité d'une entreprise (par exemple, SOC)
- Les flux d'informations fournissent des titres en continu
2. Sources privées
Les sources privées de renseignements sur les risques liés aux tiers comprennent des services de données payants et des sites Web qui peuvent être difficiles à trouver ou dangereux à naviguer. Ces sources peuvent fournir des renseignements plus détaillés sur les risques commerciaux et cyber concernant vos fournisseurs tiers.
- Les agences d'évaluation du crédit fournissent un score indiquant la santé financière d'un partenaire potentiel (par exemple, Experian).
- Les sites d'analyse financière traitent des bénéfices et des risques (par exemple, Motley Fool).
- Les sites d'action en justice passent en revue les procès qui peuvent avoir un impact négatif sur les relations commerciales et la capacité d'exécution d'un fournisseur (par exemple, ClassAction.org).
- Les flux de menaces fournissent des mises à jour continues sur les vulnérabilités et les expositions (par exemple, ThreatConnect).
- Les sites de collage comprennent du code qui peut être utilisé pour exploiter les défenses d'une entreprise (par exemple, Pastebin.com).
- Les dépôts de code sont similaires aux sites de collage (par exemple, Bitbucket.org)
- Forums de pirates où les cybercriminels discutent des cibles d'attaques et partagent des informations de manière illégale*.
- Les forums du Dark Web où vous pouvez trouver des informations d'identification divulguées et d'autres informations préjudiciables pour l'entreprise*.
Les fournisseurs fiables de ces renseignements disposent d'une équipe de recherche mondiale qui recherche en permanence les risques liés aux fournisseurs, en faisant appel à de multiples partenaires de renseignements sur les risques. Cette approche permet d'obtenir des informations analytiques particulièrement larges et profondes.
*Il est préférable de confier la surveillance des forums de pirates et des sites Web sombres à des chercheurs en sécurité professionnels !
3. Organismes de réglementation
Les organismes de réglementation de l'industrie et du gouvernement sont des sources essentielles de renseignements sur les risques liés aux tiers. Nombre d'entre eux publient des informations sur les mesures d'application et les violations, qui peuvent entraîner des amendes ou des poursuites judiciaires affectant les activités d'un fournisseur.
Votre organisation peut également être légalement tenue de s'assurer que ses tiers répondent aux exigences de conformité. Pour ce faire, vous pouvez effectuer des évaluations des fournisseurs et les valider par une surveillance continue.
Voici quelques exemples de réglementations et d'organismes de réglementation majeurs qui interviennent dans la gestion des risques liés aux tiers :
- CCPA - Loi californienne sur la protection de la vie privée des consommateurs
- GDPR - Exigence générale de l'UE en matière de protection des données
- HIPAA - Health Insurance Portability and Accountability Act - Règles de sécurité et de confidentialité
- NYDFS - Département des services financiers de New York, partie 500
- OCC - Bureau du contrôleur de la monnaie des États-Unis
- PCI - Norme de sécurité des données de l'industrie des cartes de paiement
Vous pouvez consulter un tableau des règlements qui exigent une évaluation et/ou un suivi des fournisseurs dans notre section sur la conformité.
4. Partenariats industriels
Si votre secteur d'activité dispose d'un centre de partage de l'information (ISAC), l'adhésion à cette organisation devrait être obligatoire pour vous. Voici quelques exemples :
- Le centre d'analyse et de partage des informations sur les soins de santé (H-ISAC) dans le secteur des soins de santé et de l'industrie pharmaceutique.
- The Legal Vendor Network et Theorem Legal pour les cabinets d'avocats
- Évaluations partagées pour le risque général de tiers
5. Intégrations technologiques
Il est probable que vous utilisiez plusieurs produits différents pour gérer les risques dans votre entreprise. Si vos solutions fonctionnent en silos, étudiez comment les intégrations peuvent bénéficier à votre collecte de renseignements sur les risques par des tiers. Par exemple, de nombreuses organisations utilisent des solutions de gestion des tickets et des opérations (par exemple, ServiceNow) en conjonction avec des solutions de surveillance des risques des fournisseurs. Dans ce cas, le fait de relier la gestion des tickets aux données sur les risques peut contribuer à accélérer la prise de décision et à faciliter la remédiation.
6. Réponses à l'évaluation des fournisseurs
Au fur et à mesure que vous recueillez les réponses aux évaluations complétées, vous devriez idéalement les suivre et en rendre compte dans un registre central des risques. Alors que la collecte de renseignements par des tiers est généralement effectuée sur une base individuelle, la centralisation des données peut informer les activités ultérieures au sein de groupes de fournisseurs du secteur.
Les évaluations communes aux normes de l'industrie comprennent :
- Évaluations partagées Questionnaire standard de collecte d'informations (SIG)
- Évaluations de lacertification du modèle de maturité de la cybersécurité (CMMC)
- Évaluations duNational Institute of Standards and Technology (NIST) pour SP800-53 et le Cybersecurity Framework (cadre de cybersécurité)
- Questionnaires de l'Organisation internationale de normalisation (ISO) pour 27001, 27002 et 27036-2
C'est là que le cas d'utilisation mentionné ci-dessus entre en jeu. Avec des règles automatisées, vous pouvez prendre les vulnérabilités découvertes par la surveillance continue, les corréler avec les réponses d'évaluation et utiliser les résultats pour déclencher des évaluations de suivi.
7. Réseaux de risques des fournisseurs
Lesbibliothèques d'évaluations de fournisseurs réalisées peuvent vous fournir l'évaluation de base et les scores de risque de milliers d'organisations. Elles sont particulièrement utiles pour effectuer des contrôles préalables sur les fournisseurs potentiels. Elles peuvent également donner à votre équipe de sécurité une longueur d'avance sur l'analyse des risques de vos fournisseurs les plus importants. Veillez à sélectionner un service qui ne se contente pas de fournir des scores d'évaluation, mais qui inclut au moins des évaluations de sécurité externes cyber . Cela vous aidera à combler les écarts entre les évaluations des fournisseurs et les mises à jour de la bibliothèque.
Prochaines étapes pour l'intelligence du risque de tiers
Plus d'informations permet de prendre des décisions plus éclairées. Prevalent propose une gamme de logiciels et de services de gestion des risques liés aux fournisseurs. delogiciels, de réseaux et de services qui intègrent l'évaluation et la surveillance afin de fournir une vue à 360 degrés du risque lié aux tiers.
Découvrez notre approche éprouvée en 5 étapes de la gestion du risque fournisseur dans notre guide des meilleures pratiques, ou demandez une démonstration dès aujourd'hui.
Tout commence ici
Vous êtes prêt à découvrir comment Prevalent peut soulager votre programme TPRM ? Demandez une démonstration gratuite et sans engagement dès aujourd'hui.
Demandez une démo-
L'intégration des fournisseurs : Une liste de contrôle pour réduire les risques et simplifier...
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
-
Gestion des risques liés aux tiers : The Definitive Guide
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
-
Préparation d'un plan d'intervention en cas d'incident impliquant un tiers
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
-
Prêt pour une démonstration ?
- Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
- Demander une démo