Les politiques de gestion des risques liés aux tiers (TPRM) établissent des lignes directrices et des pratiques sur la façon dont les organisations évaluent, surveillent et corrigent les risques posés par les vendeurs, les fournisseurs et les partenaires commerciaux, et en rendent compte.
De nombreuses organisations négligent l'importance de disposer d'un ensemble de politiques et de procédures claires, normalisées et applicables en matière de cybersécurité. Les politiques de gestion des risques liés aux tiers sont encore plus importantes. Quelle que soit la qualité de la posture de cybersécurité de votre organisation, de mauvaises pratiques de gestion des risques liés aux tiers constituent une menace existentielle pour les données et la chaîne d'approvisionnement de votre entreprise. De nombreuses organisations ont subi d'importantes perturbations et ont même perdu de grandes quantités de données clients à la suite de violations commises par des tiers, des quatrièmes et même des neuvièmes parties. Il n'a jamais été aussi important d'avoir un processus d'intégration des fournisseurs clairement défini, avec des questionnaires et des mesures d'évaluation des risques standardisés.
La conception d'un ensemble de politiques de gestion des risques liés aux tiers peut sembler décourageante. Vous devrez peut-être prendre en compte des centaines de relations avec des fournisseurs dans des dizaines de services, notamment les opérations, la technologie et la comptabilité. Certaines relations peuvent déjà exister, d'autres peuvent être en cours d'intégration. Veillez à consulter les parties prenantes de plusieurs départements tout au long du processus afin de vous assurer que vos politiques sont applicables aux différentes parties de l'organisation. L'élaboration d'un ensemble de politiques claires peut contribuer à propulser les pratiques de gestion des risques liés aux tiers de votre organisation et à garantir que le risque est pris en compte tout au long du processus de diligence raisonnable et du cycle de vie du fournisseur.
Avant de commencer à rédiger vos politiques de gestion des risques liés aux tiers, prenez le temps d'examiner vos propres exigences de conformité interne. Voici quelques exigences à prendre en compte lors de la rédaction de vos politiques :
La loi californienne sur la protection de la vie privée des consommateurs (CCPA) réglemente la collecte et la vente des données des consommateurs par les entreprises afin de protéger les informations personnelles sensibles des résidents de Californie et de permettre aux consommateurs de contrôler l'utilisation de ces informations.
Le questionnaire CAIQ (Consensus Assessments Initiative Questionnaire) de la Cloud Security Alliance (CSA) a été développé en tant que norme industrielle pour documenter les contrôles de sécurité. Il peut être utilisé pour faciliter les évaluations de sécurité des IaaS, PaaS, SaaS et autres fournisseurs de services en nuage.
La certification du modèle de maturité de la cybersécurité (CMMC) est un cadre complet du ministère de la défense des États-Unis, conçu pour protéger la base industrielle de la défense contre les cyberattaques de plus en plus fréquentes et complexes et pour garantir la sécurité et la résilience de la chaîne d'approvisionnement de la défense nationale.
Les lignes directrices de l'Autorité bancaire européenne (ABE) sur les accords d'externalisation décrivent des dispositions spécifiques pour la gouvernance du secteur bancaire européen en matière d'accords d'externalisation et de processus de surveillance connexes.
La Financial Conduct Authority (FCA) réglemente les entreprises financières fournissant des services aux consommateurs et maintient l'intégrité des marchés financiers au Royaume-Uni. Le FCA FG 16/5 est conçu pour aider les entreprises financières à superviser efficacement tous les aspects du cycle de vie des accords d'externalisation.
Le Federal Financial Institutions Examination Council (FFIEC) est un organisme inter-agences habilité à établir des directives et des principes et normes uniformes pour l'examen fédéral des institutions financières. Le FFIEC IT Exam Handbook fait partie d'une série de livrets sur des sujets spécifiques d'intérêt pour les examinateurs sur le terrain qui prescrivent des principes et des normes uniformes pour les institutions financières.
Le Règlement général sur la protection des données (RGPD ) est une loi sur la protection de la vie privée qui régit l'utilisation, la circulation et la protection des données recueillies sur les citoyens de l'Union européenne (UE). Le GDPR s'applique à toute organisation qui collecte, stocke, traite ou transfère des données personnelles sur des personnes en Europe, quel que soit le lieu où se trouve l'organisation.
La loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (Health Insurance Portability and Accountability Act, HIPAA ) a été établie pour garantir que les informations de santé protégées (PHI) sensibles ne seraient pas divulguées sans le consentement du patient.
L'Organisation internationale de normalisation et la Commission électrotechnique internationale (CEI) réunissent des experts pour partager des connaissances et élaborer des normes internationales afin de résoudre des défis mondiaux. Les normes ISO 27001, 27002, 27018, 27036-2 et 27701 définissent des exigences pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue d'un système de gestion de la sécurité de l'information.
Le Conseil des gouverneurs du Système fédéral de réserve, la Federal Deposit Insurance Corporation (FDIC) et l'Office of the Comptroller of the Currency (OCC) ont publié l'Interagency Guidance on Third-Party Relationships pour aider les organisations bancaires américaines à gérer les risques associés à leurs relations avec les vendeurs et les fournisseurs. L'objectif est d'apporter uniformité et cohérence à la manière dont les organisations bancaires développent et appliquent les principes de gestion des risques liés aux relations avec les tiers.
La norme de protection des infrastructures critiques (PIC) de la North American Electric Reliability Corporation (NERC) établit de nouvelles exigences en matière de cybersécurité pour les entreprises d'électricité et de services publics afin d'assurer, de préserver et de prolonger la fiabilité du réseau électrique en vrac (BES).
Le National Institute of Standards and Technology (NIST) est une agence fédérale du ministère du Commerce des États-Unis. Plusieurs publications spéciales du NIST, notamment NIST 800-53, NIST 800-161 et le NIST Cybersecurity Framework (CSF), comportent des contrôles spécifiques qui exigent des organisations qu'elles établissent et mettent en œuvre les processus permettant d'identifier, d'évaluer et de gérer les risques liés à la chaîne d'approvisionnement.
La loi Stop Hacks and Improve Electronic Data Security (SHIELD) est une loi sur la protection des données qui s'applique aux organisations qui collectent des informations personnelles auprès des résidents de l'État de New York. Elle vise à améliorer les protections en matière de cybersécurité et les procédures de notification des violations de données.
Le Département des services financiers de l'État de New York (DFS) a institué le règlement 23 NY CRR 500 afin d'établir de nouvelles exigences en matière de cybersécurité pour les sociétés de services financiers. Cette réglementation vise à protéger la confidentialité, l'intégrité et la disponibilité des informations relatives aux clients et des systèmes informatiques connexes.
La norme de sécurité des données de l'industrie des cartes de paiement(PCI DSS) a été élaborée pour renforcer la sécurité des données des titulaires de cartes et pour faciliter l'adoption à grande échelle de mesures de sécurité des données cohérentes au niveau mondial. La norme s'applique à toutes les entités qui stockent, traitent ou transmettent des données de titulaires de cartes.
L'Assurance Services Executive Committee (ASEC) de l'American Institute of Certified Public Accountants (AICPA) a élaboré des critères de services de confiance que les organisations peuvent utiliser comme cadre pour démontrer la confidentialité, l'intégrité et la disponibilité des systèmes et des données. Les organisations familiarisées avec les audits SOC (System and Organization Control) 2 reconnaîtront que ces critères de services de confiance sont utilisés pour rendre compte de l'efficacité de leurs contrôles internes et des mesures de protection de l'infrastructure, des logiciels, des personnes, des procédures et des données.
Naviguer dans le paysage de la conformité TPRM
Le Third-Party Risk Management Compliance Handbook révèle les exigences en matière de TPRM dans les principales réglementations et cadres sectoriels, afin que vous puissiez vous mettre en conformité tout en atténuant les risques liés aux fournisseurs.
Lors de la conception de vos politiques et procédures, veillez à prendre en compte les exigences de conformité générales susceptibles d'avoir un impact sur les opérations commerciales. Par exemple, si votre entreprise traite des informations de santé protégées (PHI), il est important d'utiliser vos politiques de gestion des risques liés aux tiers pour préciser exactement comment et quand ces informations sont partagées avec d'autres organisations. Les tiers, les quatrièmes et les nièmes parties sont tenus, en vertu de l'HIPAA, d'appliquer les mêmes mesures de protection que l'organisation principale lorsqu'ils traitent des informations de santé protégées. Le non-respect de ces règles peut entraîner de lourdes amendes pour vous et vos associés en aval de la chaîne.
De nombreuses exigences en matière de sécurité des informations imposent des limites strictes au type de données qui peuvent être partagées avec des tiers. Veillez à prêter également attention aux exigences qui affectent les unités commerciales individuelles. Par exemple, le GDPR impose des limites strictes sur la manière dont les données des ressortissants européens sont stockées, protégées et transférées. Dans de nombreux cas, seul un département, tel que le marketing, peut travailler avec des données européennes. Il est essentiel que vous évaluiez les types et les quantités de données recueillies dans l'ensemble de l'organisation pour déterminer les besoins en matière de conformité plutôt que de faire des hypothèses basées sur votre secteur d'activité.
Vos politiques doivent définir clairement quelles informations sont partagées avec des tiers, quand elles sont partagées et quels sont les protocoles permettant de garantir la protection de ces informations. Dans de nombreux cas, vous pouvez exiger que les organisations tierces qui traitent des données sensibles se conforment à des exigences indépendantes en matière de sécurité des informations, telles que SOC2 ou HIPAA. Si vous ne le faites pas, vous risquez de ne pas respecter les exigences réglementaires essentielles et de nuire à votre réputation en cas de violation des données par un tiers. Avant de fournir des informations sensibles à un tiers, il est essentiel de procéder à une vérification préalable approfondie de ce dernier.
Heureusement, vous n'avez pas besoin d'inventer tous les contrôles vous-même. Lorsque vous planifiez votre programme de gestion des risques liés aux tiers, vous pouvez vous inspirer de cadres de gestion des risques liés aux tiers largement acceptés, tels que NIST 800-161 ou Shared Assessments TPRM Framework. L'utilisation de ces cadres préétablis peut fournir d'excellentes indications sur les types de contrôles à inclure dans vos politiques de gestion des risques liés aux tiers. Le risque lié aux tiers peut se présenter sous diverses formes. En adhérant à un cadre éprouvé, vous pouvez vous assurer que votre gestion des risques liés aux fournisseurs est complète.
En outre, vous pouvez utiliser d'autres cadres tels que NIST CSF 2.0 et ISO 27036 pour vous aider à concevoir vos questionnaires d'évaluation du risque fournisseur. Les questionnaires sont un élément essentiel du cycle de vie de la gestion du risque fournisseur et devraient être obligatoires pour tous les nouveaux fournisseurs de services. Les politiques de gestion des risques liés aux tiers doivent clairement stipuler comment et quand les unités opérationnelles doivent administrer les questionnaires, et définir les niveaux acceptables de risque résiduel.
Nous vous recommandons d'examiner les évaluations partagées et le document NIST 800-161 pour vous aider à planifier la forme que doit prendre votre programme et les types de contrôles qui méritent d'être inclus. Vous pouvez ensuite choisir des contrôles spécifiques pour vos questionnaires à partir des cadres de sécurité de l'information standard. Dans de nombreux cas, nous constatons que les organisations basées aux États-Unis s'appuient souvent sur le NIST, tandis que les entreprises en Europe, en Asie et en Afrique choisissent souvent l'ISO.
Assurez-vous que votre organisation fonctionne à partir d'un ensemble standard de documents lorsqu'elle traite des relations avec des tiers. Les accords de non-divulgation, les questionnaires sur les risques liés aux tiers et les accords de niveau de service (SLA) doivent être aussi uniformes que possible tout au long du cycle d'approvisionnement. La normalisation est particulièrement importante lors de la création du questionnaire d'évaluation des risques liés aux fournisseurs de votre organisation. Sans un processus normalisé d'évaluation des fournisseurs, vous ne pouvez pas comparer différents fournisseurs en fonction du niveau de risque qu'ils représentent pour votre organisation.
Les politiques relatives aux risques liés aux tiers doivent stipuler que les fournisseurs tiers sont évalués en fonction de leur niveau de risque et que les fournisseurs à haut risque sont contraints de prendre des mesures correctives avant de faire partie de la chaîne d'approvisionnement. Les fournisseurs doivent également faire l'objet d'une surveillance continue des risques de cybersécurité, des risques opérationnels et des risques de conformité tout au long de la relation commerciale. Ce n'est pas parce qu'une organisation était à faible risque au moment de l'intégration qu'elle le restera.
Les grandes entreprises qui comptent des centaines de contractants tiers sont les plus susceptibles d'entrer dans cette catégorie. Une quatrième partie peut être sous-traitée par une troisième partie. Si le fournisseur sous-traitant n'adhère pas aux mêmes pratiques de sécurité de l'information que le contractant principal, des acteurs malveillants peuvent alors être en mesure d'accéder aux données de votre entreprise. Dans de nombreux cas, les groupes criminels peuvent essayer de pénétrer dans la quatrième partie et de remonter le système latéralement jusqu'à ce qu'ils trouvent les IIP qu'ils recherchent.
Les contrats entre les entreprises et les fournisseurs doivent comporter des dispositions relatives aux quatrièmes parties. Si les associés tiers sont autorisés à sous-traiter, l'accord de niveau de service doit exiger que la quatrième partie suive les mêmes directives de cybersécurité que l'entreprise mère. Si une entreprise ignorait qu'un quatrième parti était impliqué et était à l'origine d'une fuite de données, elle serait jugée responsable et soumise à des amendes par les autorités de réglementation.
Vous craignez toujours de ne pas être assez complet dans vos politiques de gestion des risques liés aux tiers ? Voici quelques contrôles que nous vous recommandons d'intégrer à vos politiques de gestion des risques liés aux fournisseurs. Pour une liste plus complète, consultez notre article sur la liste de contrôle de la gestion des risques liés aux fournisseurs.
Les fournisseurs doivent remplir un questionnaire standardisé d'évaluation des risques liés aux fournisseurs avant l'intégration.
Profilage et hiérarchisation pour mettre en œuvre une méthodologie reproductible d'évaluation des vendeurs.
Evaluation et suivi des risques inhérents et résiduels afin d'identifier clairement les fournisseurs qui présentent les risques les plus importants pour l'entreprise.
Suivi continu après l'embarquement
Les fournisseurs sont réévalués périodiquement pour déterminer si leur niveau de risque a changé.
Flux de travail et billetterie pour automatiser les communications
Des pondérations de risque flexibles qui définissent de manière granulaire l'importance de risques spécifiques pour l'entreprise.
Les fournisseurs tiers font l'objet d'une évaluation de conformité avant d'être intégrés.
Les données partagées avec des tiers sont soigneusement documentées et conservées.
Les tiers qui stockent les données de votre organisation sont tenus de remédier aux pratiques non conformes avant de recevoir des informations sensibles.
Surveillance des affaires à partir de centaines de milliers de sources fournissant des informations sur les affaires, la réglementation, la réputation ou les questions juridiques.
Facultatif: Les fournisseurs sont tenus d'obtenir des certifications en matière de sécurité de l'information avant d'être intégrés.
Les fournisseurs font l'objet d'un contrôle continu du risque de cybersécurité tout au long du contrat.
Cyber surveillance du web profond/obscur pour des informations sur les risques en temps réel
Registre unifié des risques qui met en corrélation cyber et les événements liés aux risques commerciaux avec les résultats de l'évaluation afin de valider les données de contrôle communiquées par les fournisseurs.
Transformez les données relatives aux fournisseurs cyber et aux événements commerciaux en risques exploitables, ce qui vous donne une visibilité des risques en temps réel.
Déclencher des actions telles que l'envoi de notifications, la création de tâches ou de drapeaux, l'augmentation des scores de risque, l'accélération du processus d'atténuation des risques.
Tous les contrats avec des tiers comportent un libellé clair indiquant comment les données partagées avec des tiers sont protégées.
Le fournisseur s'engage à supprimer toutes les données de l'organisation à la fin du contrat.
Les fournisseurs sont contractuellement tenus d'informer l'organisation de toute violation de la sécurité ou de tout soupçon de violation des données.
Les politiques de sécurité des fournisseurs sont examinées en détail et vérifiées par rapport aux réponses au questionnaire des fournisseurs.
Le fournisseur doit fournir des mises à jour sur le personnel clé, les finances et d'autres domaines qui pourraient avoir un impact sur la chaîne d'approvisionnement.
Chaque département est tenu de soumettre les données relatives aux fournisseurs à un référentiel central.
Les fournisseurs considérés comme présentant un "risque élevé" doivent ramener les risques à un niveau acceptable pour pouvoir travailler avec l'organisation.
Les fournisseurs tiers sont tenus par contrat d'adhérer à des instructions claires de désengagement, notamment en ce qui concerne la restitution de l'équipement, des cordons et des badges, et la suppression de tout mot de passe ou autre information sensible.
Prise en compte des quatre parties et d'autres éléments lors de la rédaction des accords de niveau de service et d'autres contrats clés.
La mise en œuvre d'un système efficace de contrôle des risques pour les fournisseurs tiers demande du temps et de l'argent. Que vous employiez un expert en informatique ou que vous fassiez appel à des services commerciaux, c'est la réalité. L'adoption de stratégies et de procédures de contrôle des risques pour les prestataires tiers présente plusieurs avantages, même si elle peut être décourageante.
Laplateforme de gestion des risques liés aux tiers Prevalent unifie la gestion des fournisseurs, l'évaluation des risques et la surveillance des menaces pour offrir une vue à 360 degrés des risques. La plate-forme permet d'intégrer facilement les fournisseurs, de les évaluer à l'aide de questionnaires standardisés et personnalisés, de corréler les évaluations avec les données externes sur les menaces, de révéler, de hiérarchiser et de signaler les risques, et de faciliter le processus de remédiation.
Quelle que soit votre situation actuelle, Prevalent peut vous aider à mettre en place un programme de gestion des risques de tiers avec une visibilité, une efficacité et une échelle inégalées. Nous travaillerons avec vous pour trouver la combinaison de services manages, d'adhésion au réseau et/ou d'accès à la plateforme TPRM qui convient le mieux à votre organisation. Vous bénéficierez d'un délai de rentabilité rapide, serez équipé pour prendre des décisions fondées sur l'intelligence et réduirez de manière mesurable les risques liés aux fournisseurs, tout en réduisant les maux de tête pour vous et votre équipe. Demandez une démonstration maintenant.
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Apprenez à tirer parti des questionnaires d'évaluation des risques des fournisseurs pour renforcer la gestion des risques liés aux tiers, y compris un...
09/18/2024