7 sources essentielles de renseignements concernant les risques provenant de tiers

Les programmes holistiques de gestion des risques liés aux tiers (TPRM) combinent des évaluations périodiques et internes des contrôles internes des fournisseurs avec une surveillance continue et externe des menaces externes. En complétant les résultats de l'évaluation des fournisseurs par un flux de renseignements externes, vous obtiendrez une compréhension plus complète du risque potentiel de chaque fournisseur pour votre entreprise.

Lorsque vous intégrez la surveillance dans votre programme de gestion des risques liés aux tiers, veillez à exploiter des sources de renseignements sur les fournisseurs qui sont à la fois larges et profondes. Cet article vous aidera à démarrer en décrivant un cas d'utilisation de la surveillance continue et en révélant les principales sources de renseignements sur les risques liés aux tiers. Il vous fera également part des meilleures pratiques pour réussir dans cette voie.

Un cas d'utilisation pour la surveillance continue

En informant vos activités d'évaluation des risques liés aux fournisseurs à l'aide de cyber en temps réel et de renseignements sur la surveillance des activités, vous rendrez votre programme de gestion des risques liés aux fournisseurs plus continu et moins réactif. Par exemple, vous pouvez utiliser la surveillance pour rechercher sur le dark web les vulnérabilités, les brèches et les fuites d'informations d'identification d'un fournisseur. Vous pouvez ensuite corréler ces données avec les informations recueillies dans les questionnaires d'évaluation des fournisseurs pour révéler des incohérences dans les contrôles de gestion des mots de passe et/ou des correctifs.

Une solution TPRM solide ne se contente pas de gérer cette analyse, mais inclut également des règles et des automatismes qui déclenchent des évaluations de suivi. Cette approche permet de boucler la boucle des risques liés aux tiers et de transformer les évaluations ponctuelles en une surveillance continue des risques.

Sources de renseignements sur les risques provenant de tiers

Pour prendre des décisions judicieuses, fondées sur le risque, il faut consommer et normaliser des données provenant de nombreuses sources disparates. Il est facile de passer beaucoup de temps à trouver, centraliser et donner un sens aux données qui sous-tendent la posture de sécurité de vos fournisseurs. C'est pourquoi il est important de prendre en compte la capacité d'une solution TPRM à agréger et à rendre compte des renseignements fournis par des tiers de manière exploitable.

Que vous évaluiez des solutions de surveillance des risques ou que vous adoptiez une approche manuelle, assurez-vous d'examiner ces sources de renseignements sur les risques provenant de tiers :

1. Sources publiques

Les sources courantes de renseignements sur les menaces accessibles au public - et probablement gratuites - fournissent des informations générales sur le secteur, les tendances et les mises à jour des violations :

• Les sites sur les violations de données examinent l'impact des récentes violations (par exemple, Data Breach Today).
• Les sites Web des entreprises partagent des communiqués de presse qui pourraient indiquer des risques potentiels (par exemple, licenciements, nouvelles financières, etc.).
• Les sites web d'évaluation des produits et des entreprises donnent un aperçu de l'opinion des clients sur les produits d'une entreprise (par exemple, G2).
• Les sites d'offres d'emploi et d'évaluation des employés révèlent le mode de fonctionnement d'une entreprise et indiquent les perturbations potentielles (par exemple, Glassdoor).
• Les publications commerciales et les sites industriels examinent les tendances qui peuvent avoir un impact sur les activités d'une entreprise (par exemple, Manufacturing Today).
• Les blogs et les messages sur les médias sociaux fournissent des mises à jour sur les nouvelles de l'entreprise, y compris les incidents de sécurité (par exemple, Recorded Future).
• Sites de certification qui indiquent le niveau de sécurité d'une entreprise (par exemple, SOC)
• Les flux d'informations fournissent des titres en continu

2. Sources privées

Les sources privées de renseignements sur les risques liés aux tiers comprennent des services de données payants et des sites Web qui peuvent être difficiles à trouver ou dangereux à naviguer. Ces sources peuvent fournir des renseignements plus détaillés sur les risques commerciaux et cyber concernant vos fournisseurs tiers.

• Les agences d'évaluation du crédit fournissent un score indiquant la santé financière d'un partenaire potentiel (par exemple, Experian).
• Les sites d'analyse financière traitent des bénéfices et des risques (par exemple, Motley Fool).
• Les sites d'action en justice passent en revue les procès qui peuvent avoir un impact négatif sur les relations commerciales et la capacité d'exécution d'un fournisseur (par exemple, ClassAction.org).
• Les flux de menaces fournissent des mises à jour continues sur les vulnérabilités et les expositions (par exemple, ThreatConnect).
• Les sites de collage comprennent du code qui peut être utilisé pour exploiter les défenses d'une entreprise (par exemple, Pastebin.com).
• Les dépôts de code sont similaires aux sites de collage (par exemple, Bitbucket.org)
• Forums de pirates où les cybercriminels discutent des cibles d'attaques et partagent des informations de manière illégale*.
• Les forums du Dark Web où vous pouvez trouver des informations d'identification divulguées et d'autres informations préjudiciables pour l'entreprise*.

Les fournisseurs fiables de ces renseignements disposent d'une équipe de recherche mondiale qui recherche en permanence les risques liés aux fournisseurs, en faisant appel à de multiples partenaires de renseignements sur les risques. Cette approche permet d'obtenir des informations analytiques particulièrement larges et profondes.

*Il est préférable de confier la surveillance des forums de pirates et des sites Web sombres à des chercheurs en sécurité professionnels !