Les programmes holistiques de gestion des risques liés aux tiers (TPRM) combinent des évaluations périodiques et internes des contrôles internes des fournisseurs avec une surveillance continue et externe des menaces externes. En complétant les résultats de l'évaluation des fournisseurs par un flux de renseignements externes, vous obtiendrez une compréhension plus complète du risque potentiel de chaque fournisseur pour votre entreprise.
Lorsque vous intégrez la surveillance dans votre programme de gestion des risques liés aux tiers, veillez à exploiter des sources de renseignements sur les fournisseurs qui sont à la fois larges et profondes. Cet article vous aidera à démarrer en décrivant un cas d'utilisation de la surveillance continue et en révélant les principales sources de renseignements sur les risques liés aux tiers. Il vous fera également part des meilleures pratiques pour réussir dans cette voie.
En informant vos activités d'évaluation des risques liés aux fournisseurs à l'aide de cyber en temps réel et de renseignements sur la surveillance des activités, vous rendrez votre programme de gestion des risques liés aux fournisseurs plus continu et moins réactif. Par exemple, vous pouvez utiliser la surveillance pour rechercher sur le dark web les vulnérabilités, les brèches et les fuites d'informations d'identification d'un fournisseur. Vous pouvez ensuite corréler ces données avec les informations recueillies dans les questionnaires d'évaluation des fournisseurs pour révéler des incohérences dans les contrôles de gestion des mots de passe et/ou des correctifs.
Une solution TPRM solide ne se contente pas de gérer cette analyse, mais inclut également des règles et des automatismes qui déclenchent des évaluations de suivi. Cette approche permet de boucler la boucle des risques liés aux tiers et de transformer les évaluations ponctuelles en une surveillance continue des risques.
Pour prendre des décisions judicieuses, fondées sur le risque, il faut consommer et normaliser des données provenant de nombreuses sources disparates. Il est facile de passer beaucoup de temps à trouver, centraliser et donner un sens aux données qui sous-tendent la posture de sécurité de vos fournisseurs. C'est pourquoi il est important de prendre en compte la capacité d'une solution TPRM à agréger et à rendre compte des renseignements fournis par des tiers de manière exploitable.
Que vous évaluiez des solutions de surveillance des risques ou que vous adoptiez une approche manuelle, assurez-vous d'examiner ces sources de renseignements sur les risques provenant de tiers :
Les sources courantes de renseignements sur les menaces accessibles au public - et probablement gratuites - fournissent des informations générales sur le secteur, les tendances et les mises à jour des violations :
Les sources privées de renseignements sur les risques liés aux tiers comprennent des services de données payants et des sites Web qui peuvent être difficiles à trouver ou dangereux à naviguer. Ces sources peuvent fournir des renseignements plus détaillés sur les risques commerciaux et cyber concernant vos fournisseurs tiers.
Les fournisseurs fiables de ces renseignements disposent d'une équipe de recherche mondiale qui recherche en permanence les risques liés aux fournisseurs, en faisant appel à de multiples partenaires de renseignements sur les risques. Cette approche permet d'obtenir des informations analytiques particulièrement larges et profondes.
*Il est préférable de confier la surveillance des forums de pirates et des sites Web sombres à des chercheurs en sécurité professionnels !
Les organismes de réglementation de l'industrie et du gouvernement sont des sources essentielles de renseignements sur les risques liés aux tiers. Nombre d'entre eux publient des informations sur les mesures d'application et les violations, qui peuvent entraîner des amendes ou des poursuites judiciaires affectant les activités d'un fournisseur.
Votre organisation peut également être légalement tenue de s'assurer que ses tiers répondent aux exigences de conformité. Pour ce faire, vous pouvez effectuer des évaluations des fournisseurs et les valider par une surveillance continue.
Voici quelques exemples de réglementations et d'organismes de réglementation majeurs qui interviennent dans la gestion des risques liés aux tiers :
Vous pouvez consulter un tableau des règlements qui exigent une évaluation et/ou un suivi des fournisseurs dans notre section sur la conformité.
Si votre secteur d'activité dispose d'un centre de partage de l'information (ISAC), l'adhésion à cette organisation devrait être obligatoire pour vous. Voici quelques exemples :
Il est probable que vous utilisiez plusieurs produits différents pour gérer les risques dans votre entreprise. Si vos solutions fonctionnent en silos, étudiez comment les intégrations peuvent bénéficier à votre collecte de renseignements sur les risques par des tiers. Par exemple, de nombreuses organisations utilisent des solutions de gestion des tickets et des opérations (par exemple, ServiceNow) en conjonction avec des solutions de surveillance des risques des fournisseurs. Dans ce cas, le fait de relier la gestion des tickets aux données sur les risques peut contribuer à accélérer la prise de décision et à faciliter la remédiation.
Au fur et à mesure que vous recueillez les réponses aux évaluations complétées, vous devriez idéalement les suivre et en rendre compte dans un registre central des risques. Alors que la collecte de renseignements par des tiers est généralement effectuée sur une base individuelle, la centralisation des données peut informer les activités ultérieures au sein de groupes de fournisseurs du secteur.
Les évaluations communes aux normes de l'industrie comprennent :
C'est là que le cas d'utilisation mentionné ci-dessus entre en jeu. Avec des règles automatisées, vous pouvez prendre les vulnérabilités découvertes par la surveillance continue, les corréler avec les réponses d'évaluation et utiliser les résultats pour déclencher des évaluations de suivi.
Lesbibliothèques d'évaluations de fournisseurs réalisées peuvent vous fournir l'évaluation de base et les scores de risque de milliers d'organisations. Elles sont particulièrement utiles pour effectuer des contrôles préalables sur les fournisseurs potentiels. Elles peuvent également donner à votre équipe de sécurité une longueur d'avance sur l'analyse des risques de vos fournisseurs les plus importants. Veillez à sélectionner un service qui ne se contente pas de fournir des scores d'évaluation, mais qui inclut au moins des évaluations de sécurité externes cyber . Cela vous aidera à combler les écarts entre les évaluations des fournisseurs et les mises à jour de la bibliothèque.
Plus d'informations permet de prendre des décisions plus éclairées. Prevalent propose une gamme de logiciels et de services de gestion des risques liés aux fournisseurs. delogiciels, de réseaux et de services qui intègrent l'évaluation et la surveillance afin de fournir une vue à 360 degrés du risque lié aux tiers.
Découvrez notre approche éprouvée en 5 étapes de la gestion du risque fournisseur dans notre guide des meilleures pratiques, ou demandez une démonstration dès aujourd'hui.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024