Peu de mots inspirent autant de crainte aux professionnels de la sécurité et de la gestion des risques que le mot "audit". Le simple fait de lire ce mot peut donner des frissons dans le dos. Le défi d'un audit de sécurité informatique est amplifié lorsqu'il s'étend aux vendeurs et fournisseurs tiers, ce qui nécessite des ressources et du temps supplémentaires.
Le défi va au-delà du temps consacré à la collecte de preuves, à l'identification et à l'établissement de rapports sur les lacunes en matière de contrôle. La réalisation d'un audit des risques liés aux tiers implique de naviguer dans un paysage réglementaire complexe et qui se chevauche souvent. Dès lors, comment une équipe de sécurité et de gestion des risques responsable de la gestion des risques des tiers peut-elle s'assurer que ses vendeurs et fournisseurs respectent des principes de gestion des risques sains sans épuiser l'équipe ?
La clé pour surmonter ce défi réside dans la reconnaissance des points communs entre les multiples cadres de contrôle de la réglementation et de la sécurité informatique et dans l'établissement d'une base pour vos efforts de conformité sur ces points communs. Ce blog présente cinq domaines qui se recoupent à travers les exigences communes du TPRM pour que les organisations puissent construire une base solide pour les efforts d'audit et de conformité.
Comprendre l'exposition de votre organisation aux risques liés aux tiers est essentiel dans de nombreux cadres réglementaires et de contrôle. Il est impératif de se concentrer sur deux types de tiers : ceux qui fournissent des produits ou des services essentiels et les logiciels qui soutiennent les principaux processus d'entreprise. De nombreux régimes réglementaires exigent des évaluations systématiques de la criticité des fournisseurs, une gestion centralisée et une surveillance des logiciels tiers.
Constituer une équipe composée de représentants de l'ensemble de l'entreprise, notamment de la sécurité informatique, de la gestion des risques, du service juridique, de l'audit interne et de l'approvisionnement. Cette équipe sera chargée de mettre en place une gouvernance appropriée et de piloter le programme de gestion des risques technologiques et intégrera les besoins de toutes les équipes qui souhaitent avoir une vue d'ensemble des tiers.
Conseil TRPM : Recherchez des solutions TPRM qui fournissent des informations consolidées sur les risques pour plusieurs équipes et qui permettent une vision des risques et des rapports spécifique à chaque rôle.
Comprendre quels fournisseurs tiers sont essentiels à vos opérations est la pierre angulaire de la planification du TPRM. Les fournisseurs qui fournissent des services essentiels ou qui traitent des informations sensibles doivent être classés comme critiques, ce qui nécessite une diligence raisonnable et une surveillance continue.
Conseil TRPM : Effectuer un exercice de profilage et de hiérarchisation pour déterminer le risque inhérent et identifier la criticité du fournisseur.
Créez un inventaire central des tiers qui permette aux équipes de gérer tous les fournisseurs tout au long du cycle de vie de leurs relations. Dès le début, vous devez accorder une attention particulière à tous les fournisseurs de logiciels tiers existants liés à votre organisation. Avec l'augmentation des attaques contre la chaîne d'approvisionnement des logiciels, il est vital de maintenir un inventaire à jour de tous les logiciels tiers. Cet inventaire doit être lié à vos processus d'entreprise et aux tiers qui les soutiennent.
Conseil du TPRM : Étant donné que votre organisation utilise probablement déjà un cadre de contrôle commun pour ses rapports sur la sécurité informatique, structurez vos évaluations des risques des tiers en utilisant des cadres tels que NIST SP 800-53 ou ISO 27001.
Une fois que les règles permettant de déterminer la criticité des fournisseurs sont établies et qu'un inventaire des logiciels et services tiers existants est dressé, il est temps d'appliquer des principes de diligence raisonnable pour sélectionner de nouvelles solutions. Il est essentiel de choisir une solution ou un service qui soit non seulement adapté à l'objectif visé, mais qui corresponde également au profil de risque de l'organisation. Un processus complet de diligence raisonnable à l'égard des fournisseurs permet aux organisations de recueillir d'emblée des informations pertinentes sur les fournisseurs et d'effectuer des contrôles clés dans de nombreux cadres réglementaires.
Le processus de diligence raisonnable à l'égard des fournisseurs comporte quelques étapes simples :
Conseil du TPRM : L'objectif de la diligence raisonnable exigée par la réglementation est d'atténuer les risques identifiés, et pas seulement de procéder à l'évaluation pour "cocher la case". Par conséquent, appliquez des mesures correctives pour vous assurer que les tiers correspondent aux seuils de risque de votre organisation.
Pour disposer d'un programme efficace de gestion des risques technologiques, vous devez avoir une visibilité sur votre chaîne d'approvisionnement étendue. Les chaînes d'approvisionnement étendues impliquant des sous-traitants et des tiers présentent des risques opérationnels importants, et un manque de visibilité peut entraîner des défaillances au niveau de la résilience en cas de perturbations. De nombreuses violations de données importantes peuvent être liées à des compromissions de tiers, mais lorsqu'elles font l'objet d'une enquête, il s'avère souvent que la compromission a commencé au niveau du sous-traitant.
Rationaliser les audits et la conformité du TPRM
Surmontez la complexité des audits des contrôles de sécurité informatique grâce à ce guide de démarrage rapide, conçu pour les professionnels désireux de simplifier et d'accélérer les efforts de mise en conformité avec le TPRM.
Les organisations peuvent être tenues pour responsables des violations de la réglementation commises par leurs tiers et leurs sous-traitants. Il convient donc d'envisager d'ajouter ces trois exigences essentielles aux contrats conclus avec des tiers:
Veillez à ce que ces dispositions s'appliquent à tous les sous-traitants et aux quatrième ou cinquième parties, en les tenant pour responsables de tout problème. Les preuves de cette application ou de ce contrôle doivent être disponibles sur demande.
Conseil du TPRM : Exiger des tiers qu'ils révèlent l'identité de leurs sous-traitants et intégrer des dispositions contractuelles clés pour garantir la transparence et la responsabilité.
La surveillance continue des fournisseurs tiers est cruciale pour le maintien de la conformité au MRPT. Surveillez les différents risques, y compris les menaces de cybersécurité, les changements opérationnels, l'instabilité financière et les problèmes de conformité. Une approche consolidée de la surveillance permet de rationaliser le processus et de fournir des informations complètes sur les risques.
Conseil TPRM : Utiliser un cadre unifié pour le contrôle continu afin de valider la diligence initiale et d'assurer une conformité continue.
De nombreux cadres réglementaires exigent une formation de routine à la sensibilisation à la sécurité pour aider les équipes à identifier l'ingénierie sociale et les attaques par hameçonnage. La meilleure pratique consiste à étendre cette formation aux entrepreneurs, aux sous-traitants et aux employés de tierces parties et à documenter les processus de formation et les résultats. En outre, la conformité au TPRM exige une surveillance de la part du conseil d'administration et des cadres supérieurs, notamment en ce qui concerne l'établissement de rapports sur les tendances, les processus de gestion des incidents et la communication avec les autorités de réglementation. Une fonction d'audit interne devrait réaliser des examens indépendants du programme de gestion des risques liés à la propriété intellectuelle dans le cadre de la gouvernance des risques de l'organisation.
Conseil du TPRM : Documenter tous les processus de formation et leurs résultats pour démontrer la conformité et l'état de préparation.
La plupart des cadres réglementaires exigent des organisations qu'elles disposent d'une stratégie de sortie documentée lorsqu'elles externalisent des fonctions commerciales essentielles. Par exemple, les lignes directrices de l'Autorité bancaire européenne (ABE) sur l'externalisation stipulent : "Élaborer et mettre en œuvre des plans de sortie complets, documentés et, le cas échéant, suffisamment testés (par exemple, en effectuant une analyse des coûts potentiels, des impacts, des ressources et des implications en termes de calendrier du transfert d'un service externalisé vers un autre fournisseur)".
Une stratégie de sortie solide garantit une résilience opérationnelle continue lors de la résiliation des relations avec des tiers. Elle devrait inclure des objectifs tels que la restitution ou la destruction de toutes les informations sensibles confiées au tiers et aux sous-traitants, la suppression de leurs données, de leur infrastructure et de leur accès physique, la confirmation que les clauses contractuelles décrivent un processus ordonné de résiliation de contrat, et le respect de toutes les exigences légales.
Conseil TRPM : Utilisez des listes de contrôle et des flux de travail automatisés pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité aux lois pertinentes, des paiements finaux, etc. Cette approche simplifie l'exclusion des tiers et démontre aux auditeurs que votre organisation a mis en place un processus solide et prospectif.
Les cinq étapes suivantes vous permettront de prendre une longueur d'avance sur les exigences de conformité du TPRM. N'oubliez pas que ces tâches ne sont que des éléments de base. N'oubliez pas de contacter votre équipe d'audit interne et vos auditeurs externes pour compléter cette liste avec les exigences de conformité spécifiques à votre organisation.
Prevalent peut aider votre organisation à mettre en place un programme complet de gestion des risques liés aux tiers, en accord avec vos programmes plus larges de sécurité de l'information, de gouvernance et de gestion des risques de l'entreprise. Grâce à la plateforme de gestion des risques des tiersPrevalent , votre organisation peut :
Pour en savoir plus sur la façon dont Prevalent peut vous aider à simplifier la conformité au TPRM et à garder une longueur d'avance sur les exigences d'audit, demandez une démonstration ou un appel stratégique dès aujourd'hui.
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024