Un programme efficace de gestion des risques liés aux tiers ne se limite pas à la réalisation d'évaluations régulières des vendeurs et des fournisseurs, fondéessur le contrôle interne.
pour combler les lacunes entre ces évaluations et valider la présence et l'efficacité des contrôles. Pourtant, pour de nombreuses organisations, la gestion des risques liés aux tiers est une proposition de type "ou bien, ou bien".
Dans ce billet, nous examinons :
Lorsque vous envisagez d'intégrer la veille sur les menaces dans vos évaluations régulières des contrôles de sécurité des fournisseurs, tenez compte des types de renseignements suivants.
Souvent le type le plus commun d'informations sur les fournisseurs externes, cyber threat intelligence fournit un aperçu des performances de sécurité d'un tiers, de ses vulnérabilités et de l'historique des atteintes à la sécurité. Ces informations peuvent vous aider à comprendre si le tiers a mis en place des contrôles de sécurité adéquats.
Les sources courantes de ces données sont les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification fuitées, les communautés de sécurité, les dépôts de code, les bases de données de vulnérabilité et les bases de données sur l'historique des atteintes à la protection des données.
L'actualité économique, les fusions et acquisitions, les changements de direction et d'équipe, la concurrence et les nouvelles offres peuvent vous indiquer si le tiers est une organisation bien gérée qui dispose d'une stratégie viable à long terme.
Vous pouvez recueillir des informations sur ces sujets auprès de sources publiques et privées d'informations opérationnelles, de flux d'actualités, de bases de données d'actualités commerciales et de sites web d'entreprises.
Les informations relatives aux performances financières, au chiffre d'affaires, aux pertes et profits, aux fonds des actionnaires, aux cotes de crédit, à l'historique des paiements, aux faillites et aux investissements d'un fournisseur démontrent que le tiers est une entreprise en activité, qu'il est financièrement sain et qu'il peut honorer ses engagements. De mauvais résultats financiers peuvent être le signe de coupes budgétaires susceptibles d'avoir un impact sur les opérations de sécurité.
Les agences de notation, les sites web d'information financière et les organes de presse sont des sources courantes d'information - et la plupart d'entre elles sont gratuites.
Le vieil adage est le suivant : On ne vaut que ce que valent les gens que l'on fréquente. Les informations relatives à la réputation, telles que les médias défavorables et la couverture médiatique négative, les sanctions réglementaires et juridiques, les relations avec les entreprises d'État et les entreprises liées au gouvernement, et la collaboration avec des personnes politiquement exposées, peuvent aider votre entreprise à anticiper les relations potentiellement préjudiciables.
Les sources d'informations sur la réputation sont variées. Elles peuvent provenir de la presse, de listes de sanctions (par exemple, l'Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis, la liste des sanctions du Royaume-Uni, la liste consolidée des sanctions de l'Union européenne) et de dossiers judiciaires, de bases de données sur les PPE (telles que celles du FFIEC et de LexisNexis), et de bien d'autres sources.
L'inconvénient de la surveillance continue des risques liés aux tiers est qu'il n'existe pas de guichet unique pour les renseignements sur les menaces, de sorte que de nombreuses entreprises sont contraintes d'adopter une approche quelque peu décousue pour la collecte et l'analyse de ces données.
Dossier exécutif : comment obtenir davantage des scores relatifs aux risques des tiers
Découvrez comment élaborer un programme de surveillance des risques liés aux fournisseurs plus complet, plus exploitable et plus rentable.
Les renseignements sur les menaces externes peuvent contribuer à atténuer les risques pour les tiers de quatre manières principales.
Si un fournisseur tiers a indiqué dans son évaluation de la sécurité ou a fourni des preuves dans une certification de sécurité (telle que ISO ou SOC 2) qu'il exige un mot de passe fort, mais que des renseignements externes sur les menaces montrent que les identifiants des utilisateurs du fournisseur, les mots de passe ou les identifiants d'administration sont en vente sur le Dark Web, vous pouvez raisonnablement supposer que les politiques de mot de passe du fournisseur ne sont pas assez fortes (ou même, peut-être, que leurs programmes d'hameçonnage ou de sensibilisation à la sécurité ont besoin d'être améliorés).
La veille sur les menaces peut être utilisée pour se faire une idée des risques qu'un fournisseur potentiel fait peser sur votre environnement. Par exemple, au cours de la phase d'approvisionnement et de sélection d'un fournisseur tiers ou d'une relation avec un fournisseur, l'obtention de renseignements sur les violations de données antérieures, les incidents de sécurité, les problèmes de conformité, les sanctions, etc. peut éclairer les décisions de sélection du fournisseur. Un fournisseur dont le score de sécurité est faible peut ne pas correspondre à la tolérance au risque de votre organisation.
Si votre organisation procède à une évaluation annuelle de la sécurité de ses tiers, les renseignements sur les menaces externes peuvent combler les lacunes entre ces évaluations annuelles, de sorte que vous ne manquiez pas les menaces potentiellement critiques au fur et à mesure qu'elles apparaissent.
Dans la plupart des organisations, il existe un sous-ensemble de fournisseurs considérés comme critiques, et votre organisation devrait procéder régulièrement à des évaluations complètes de la sécurité de ces fournisseurs. Toutefois, pour les fournisseurs considérés comme non critiques ou de niveau inférieur, il suffit parfois de procéder aux évaluations de base. Un exercice de profilage et de hiérarchisation vous aidera à déterminer comment traiter les fournisseurs selon qu'ils sont essentiels aux opérations de votre entreprise ou qu'ils traitent des données sensibles sur les clients, par exemple.
Une approche courante consiste à examiner tous les renseignements en silos, mais cela annule les avantages de la collecte de toutes ces informations. Il est préférable de centraliser toutes ces sources d'informations sur les menaces dans un registre unique des risques afin de normaliser et de transformer les données en résultats significatifs. Cette approche permet de quantifier et de contextualiser les risques - comme les correspondances avec divers cadres de sécurité et contrôles de conformité - afin d'aider à hiérarchiser les risques et les activités de remédiation qui en découlent. Cette approche unifiée permet également d'établir une corrélation avec les résultats de l'évaluation. Cela permettra de rationaliser considérablement les initiatives d'examen, d'analyse, de rapport et de réponse en matière de risques.
Comme nous l'avons appris dans l'étude 2023 sur la gestion des risques par les tiers, il existe un écart important entre le nombre d'entreprises qui suivent les risques et celles qui y remédient. La valeur de l'utilisation de l'intelligence du risque dans votre programme de TPRM se résume donc à l'appétit pour le risque et à la remédiation. Si la menace que représente un fournisseur pour votre organisation se traduit par un score de risque élevé, vous devez alors recommander (ou exiger) la mise en œuvre de mesures correctives spécifiques pour pouvoir continuer à faire des affaires avec lui. Vous pouvez également exiger la mise en place de contrôles compensatoires spécifiques. Quelle que soit l'approche retenue, un dialogue bilatéral est essentiel à la réduction des risques.
L'intelligence des risques des tiers deviendra de plus en plus importante pour suivre l'évolution des exigences réglementaires et un paysage de menaces en constante évolution. Pour en savoir plus sur la façon dont l'analyse avancée et l'apprentissage automatique peuvent être appliqués pour identifier les risques imprévus qui se cachent actuellement dans vos chaînes d'approvisionnement, demandez une démonstration dès aujourd'hui.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024