Les relations avec les tiers sont essentielles, mais elles peuvent également présenter des risques importants qui ont un impact sur les opérations de votre organisation, la sécurité des données et la conformité aux réglementations. Une politique solide de gestion des risques liés aux tiers (TPRM) jette les bases de l'identification, du contrôle et de l'atténuation de ces risques. Ce blog explique l'importance d'une politique de gestion des risques liés aux tiers bien définie, en décomposant ses composants clés et en fournissant des recommandations de meilleures pratiques pour l'élaboration et la mise en œuvre de la politique.
Une politique de gestion des risques liés aux tiers (GRT) est un ensemble de lignes directrices documentées sur la manière dont les organisations gèrent les risques liés aux vendeurs, aux fournisseurs et aux partenaires. Elle les aide à établir des procédures pour évaluer, contrôler, atténuer et signaler ces risques. Ces politiques servent de base à l'élaboration d'un programme de GPRT solide et efficace.
De nombreuses organisations ont été confrontées à des perturbations majeures et à des ramifications juridiques en raison de violations commises par des tiers, des quatrièmes ou même des Nièmes parties. De faibles pratiques de gestion des risques liés aux tiers peuvent constituer une menace existentielle pour les données et la chaîne d'approvisionnement de votre entreprise. Les politiques de gestion des risques liés aux tiers définissent des procédures claires, normalisées et applicables pour soutenir des pratiques de gestion des risques plus solides. Un processus bien défini de gestion et d'atténuation des risques liés aux fournisseurs est une mesure essentielle pour protéger vos activités contre les menaces actuelles.
Les risques liés aux tiers devenant de plus en plus complexes et répandus, les organisations ont besoin de politiques pour minimiser les risques liés aux fournisseurs et de procédures pour gérer les incidents lorsqu'ils surviennent. Compte tenu des vastes réseaux de fournisseurs et des relations avec les tiers qui s'étendent à plusieurs départements, les politiques de gestion des risques doivent être pratiques, alignées sur les objectifs de l'organisation et applicables aux différents types de risques et aux différentes étapes du cycle de vie des tiers.
Un ensemble clair de politiques renforce vos pratiques de gestion des risques liés aux tiers et donne la priorité aux risques tout au long du processus de diligence raisonnable et du cycle de vie du fournisseur. Une politique complète de gestion des risques liés aux tiers doit aborder les points suivants :
Examinez vos mesures de conformité internes et vos exigences réglementaires avant de commencer à rédiger vos politiques de gestion des risques liés aux tiers. Lors de la rédaction de vos politiques, tenez compte des réglementations régionales pertinentes telles que CCPA et GDPR, des cadres internationalement acceptés tels que les normes NIST et ISO, et des réglementations spécifiques à l'industrie telles que HIPAA et PCI DSS.
Les exigences réglementaires à prendre en compte dans vos politiques de gestion des risques technologiques peuvent être les suivantes :
Loi californienne sur la protection de la vie privée des consommateurs (CCPA): Réglemente la collecte et la vente de données sur les consommateurs afin de protéger les informations personnelles sensibles des résidents de Californie et de leur permettre de contrôler leur utilisation.
Cloud Security Alliance CAIQ: Questionnaire normalisé pour documenter les contrôles de sécurité, facilitant l'évaluation de la sécurité des IaaS, PaaS, SaaS et autres fournisseurs de services en nuage.
Certification du modèle de maturité de la cybersécurité (CMMC): Un cadre du ministère américain de la défense visant à protéger la base industrielle de la défense contre les cyberattaques et à garantir la résilience de la chaîne d'approvisionnement de la défense nationale.
Lignes directrices de l'Autorité bancaire européenne (ABE) sur les accords d'externalisation: Fournit des exigences spécifiques en matière de gouvernance et de supervision pour l'externalisation dans le secteur bancaire européen.
FCA FG 16/5: Lignes directrices britanniques destinées à aider les entreprises financières à superviser toutes les étapes des accords d'externalisation.
Manuel d'examen informatique de la FFIEC: Définit des principes et des normes uniformes pour l'examen fédéral des institutions financières, y compris les sujets liés aux technologies de l'information.
Règlement général sur la protection des données (RGPD): Réglemente l'utilisation, la circulation et la protection des données personnelles des citoyens de l'UE, applicable aux organisations du monde entier qui traitent des données de l'UE.
HIPAA: Garantit la protection des informations sensibles sur la santé (PHI) et leur non-divulgation sans le consentement du patient.
Normes ISO: Il s'agit notamment des normes ISO 27001, 27002 et 27036-2, qui établissent des normes internationales pour la gestion et l'amélioration de la sécurité de l'information.
Guide interagences sur les relations avec les tiers: Directives américaines des agences bancaires fédérales visant à unifier la gestion des risques liés aux relations avec les vendeurs et les fournisseurs dans le secteur bancaire.
NERC CIP: Normes de cybersécurité pour les services publics d'électricité afin de maintenir la fiabilité du système électrique en vrac (BES).
NIST: Fournit des publications telles que NIST 800-53, NIST 800-161 et le Cybersecurity Framework (CSF) pour aider les organisations à gérer les risques liés à la chaîne d'approvisionnement.
NY SHIELD Act: Oblige les organisations qui traitent les données personnelles des résidents de New York à améliorer la cybersécurité et les procédures de notification des violations.
NY CRR 500: Définit les exigences en matière de cybersécurité pour les services financiers à New York, en mettant l'accent sur la protection des données des clients et l'intégrité des systèmes informatiques.
PCI DSS: Norme mondiale de sécurisation des données des titulaires de cartes, appliquée à toutes les entités qui les stockent, les traitent ou les transmettent.
SOC 2: Cadre normalisé de l'industrie pour démontrer la confidentialité, l'intégrité et la disponibilité des systèmes et des données. Les audits SOC 2 sont utilisés pour les rapports de contrôle interne et les rapports sur les garanties concernant l'infrastructure, les logiciels, les personnes, les procédures et les données.
Lors de l'élaboration des politiques et des procédures, il convient de prendre en compte les exigences de conformité générales qui affectent les activités de l'entreprise. Par exemple, si votre entreprise traite des informations de santé protégées (PHI), vos politiques de gestion des risques des tiers doivent préciser comment et quand partager ces informations avec d'autres organisations. En vertu de la loi HIPAA, les tiers - et toute autre partie impliquée - doivent appliquer les mêmes mesures de protection que votre entreprise lorsqu'ils traitent des informations médicales protégées. La non-conformité peut entraîner des amendes substantielles pour votre organisation et ses partenaires commerciaux.
De nombreuses exigences en matière de sécurité de l'information limitent strictement les types de données que vous pouvez partager avec des tiers. Veillez également à prendre en compte les exigences propres à chaque unité opérationnelle. Par exemple, le GDPR impose des règles strictes en matière de stockage, de protection et de transfert des données des ressortissants européens. Dans de nombreux cas, un seul département peut traiter des données européennes. Plutôt que de vous fier à des hypothèses sectorielles, évaluez les types et les volumes de données collectées au sein de votre organisation afin de déterminer les besoins précis en matière de conformité.
Définissez clairement dans vos politiques les informations que vous partagez avec des tiers, le moment où vous les partagez et les protocoles de protection. Exiger des organisations tierces qui traitent des données sensibles qu'elles se conforment à des normes telles que SOC 2 ou HIPAA peut renforcer la sécurité. Sans ces mesures de protection, vous risquez de ne pas respecter les exigences réglementaires et de voir votre réputation entachée en cas de violation de données par un tiers. Il convient de toujours faire preuve de diligence raisonnable avant de partager des informations sensibles avec un tiers.
Heureusement, vous n'avez pas besoin de développer tous les contrôles vous-même. Lors de la planification de votre programme de gestion des risques liés aux tiers, vous pouvez vous inspirer de cadres de gestion des risques liés aux tiers largement acceptés, tels que le NIST SP 800-161 ou le Shared Assessments TPRM Framework.
Les cadres préétablis offrent d'excellentes indications sur les contrôles à inclure dans vos politiques de gestion des risques liés aux tiers. Le risque lié aux tiers peut prendre diverses formes. En adhérant à un cadre éprouvé, vous pouvez vous assurer que votre gestion du risque fournisseur est complète.
En outre, vous pouvez utiliser d'autres cadres, tels que NIST CSF 2.0 et ISO 27036, pour vous aider à concevoir vos questionnaires d'évaluation des risques liés aux fournisseurs. Les questionnaires sont essentiels au cycle de vie de la gestion des risques des fournisseurs et devraient être obligatoires pour tous les nouveaux fournisseurs de services. Les politiques de gestion des risques des tiers devraient préciser comment et quand les unités opérationnelles doivent administrer les questionnaires de sécurité et définir les niveaux acceptables de risque résiduel.
Nous vous recommandons de consulter les évaluations partagées et le document NIST 800-161 pour vous aider à planifier l'aspect de votre programme et les types de contrôles qu'il vaut la peine d'inclure. Vous pouvez ensuite choisir des contrôles spécifiques dans les cadres de sécurité de l'information standard. Souvent, les organisations basées aux États-Unis s'appuient sur le NIST, tandis que les entreprises d'Europe, d'Asie et d'Afrique ont tendance à choisir l'ISO.
Veillez à ce que votre organisation fonctionne à partir d'un ensemble de documents standard lorsqu'elle traite avec des tiers. Les accords de non-divulgation, les questionnaires sur les risques liés aux tiers et les accords de niveau de service (SLA) doivent être uniformes tout au long du cycle d'approvisionnement. La normalisation est particulièrement importante lors de la création du questionnaire d'évaluation des risques liés aux fournisseurs de votre organisation. Sans un processus normalisé d'évaluation des fournisseurs, vous ne pouvez pas comparer différents fournisseurs en fonction du niveau de risque qu'ils représentent pour votre organisation.
Les politiques relatives aux risques liés aux tiers devraient exiger l'évaluation des fournisseurs tiers en fonction de leur niveau de risque et imposer des mesures correctives pour les fournisseurs à haut risque avant qu'ils n'intègrent la chaîne d'approvisionnement. Surveiller en permanence les risques de cybersécurité, d'exploitation et de conformité des fournisseurs tout au long de la relation commerciale. Ce n'est pas parce qu'une organisation présentait un risque faible au moment de son intégration qu'elle le restera.
Les grandes entreprises qui disposent d'un vaste réseau de sous-traitants sont particulièrement vulnérables aux risques de sécurité. Lorsqu'une tierce partie sous-traite une quatrième partie, des pratiques de sécurité faibles à tous les niveaux peuvent exposer les données de votre organisation à des acteurs malveillants. Les groupes criminels exploitent souvent les vulnérabilités de ces réseaux étendus, en passant par les sous-traitants pour accéder à des informations sensibles.
Pour atténuer ces risques, les contrats conclus avec les fournisseurs doivent comporter des dispositions relatives aux tierces parties. Si un fournisseur tiers est autorisé à sous-traiter, l'accord de niveau de service doit exiger que la quatrième partie suive les mêmes lignes directrices en matière de cybersécurité que l'organisation principale. Les régulateurs peuvent toujours tenir une entreprise pour responsable et lui infliger des amendes si une quatrième partie est à l'origine d'une fuite de données, même si l'entreprise n'en était pas consciente.
Voici quelques recommandations de contrôles à inclure dans votre politique de gestion des risques liés aux tiers :
Exiger des fournisseurs qu'ils remplissent un questionnaire standardisé d'évaluation des risques avant leur intégration.
Utiliser le profilage et l'étagement pour établir une méthodologie cohérente d'évaluation des fournisseurs.
Noter et suivre les risques inhérents et résiduels afin d'identifier les fournisseurs présentant le risque le plus élevé.
Contrôler en permanence les fournisseurs après leur intégration.
Réévaluer périodiquement les fournisseurs afin d'apprécier l'évolution du niveau de risque.
Automatiser les communications grâce à des flux de travail et des tickets.
Utiliser des pondérations de risque flexibles pour spécifier l'importance des risques individuels.
Évaluer les problèmes de conformité des fournisseurs tiers avant de les intégrer.
Documenter et conserver toutes les données partagées avec des tiers.
Exiger des tiers détenant des données organisationnelles qu'ils corrigent les pratiques non conformes avant d'accéder aux informations sensibles.
Suivre l'évolution des affaires à travers de nombreuses sources afin d'identifier les risques réglementaires, juridiques ou de réputation.
Recommandation : Exiger des fournisseurs qu'ils obtiennent des certifications en matière de sécurité de l'information avant de les intégrer.
Surveiller en permanence les risques de cybersécurité des fournisseurs pendant toute la durée du contrat.
Exiger contractuellement des fournisseurs qu'ils informent l'organisation de toute atteinte à la sécurité ou de toute suspicion d'atteinte à la sécurité.
Examinez attentivement les politiques de sécurité des fournisseurs et comparez-les aux réponses au questionnaire.
Veiller à ce que les fournisseurs suppriment toutes les données de l'organisation à la fin du contrat.
Inclure des clauses claires de protection des données dans tous les contrats avec des tiers.
Déclencher des actions telles que des notifications, des tâches, des ajustements du score de risque et des mesures d'atténuation accélérées.
Transformez les données relatives aux fournisseurs cyber et aux événements commerciaux en risques exploitables pour une visibilité en temps réel.
Maintenir un registre unifié des risques pour mettre en corrélation cyber et les risques commerciaux avec les résultats de l'évaluation, en validant les données de contrôle des fournisseurs.
Utiliser la surveillance du web profond/obscur cyber pour obtenir des informations sur les risques en temps réel.
Exiger des fournisseurs qu'ils mettent à jour les informations relatives au personnel clé, aux finances et à d'autres facteurs ayant un impact sur la chaîne d'approvisionnement.
Demander à chaque service de soumettre les données relatives aux fournisseurs à un référentiel central.
Les fournisseurs à haut risque sont tenus de ramener les risques à des niveaux acceptables pour maintenir l'engagement.
Obliger contractuellement les fournisseurs tiers à suivre les procédures de retrait, y compris la restitution des équipements et des badges et la suppression des informations sensibles.
Tenir compte des quatrièmes parties et d'autres éléments lors de la rédaction des accords de niveau de service et d'autres contrats essentiels.
En adoptant des stratégies et des procédures de contrôle des risques liés aux tiers, votre organisation peut gérer la complexité des risques liés aux fournisseurs, soutenir des pratiques de sécurité plus solides et maintenir la conformité à tous les stades du cycle de vie des fournisseurs. Tirez parti d'une solution TPRM dédiée pour rationaliser et automatiser ces processus critiques.
Découvrez comment vous pouvez simplifier la gestion des risques liés aux tiers avec Prevalent. Planifiez un appel stratégique ou une démonstration dès aujourd'hui.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024