Comment utiliser la veille sur les menaces pour réduire les risques liés aux tiers ?

Élargissez la portée de votre programme de gestion des risques liés aux tiers grâce à ces principales sources de renseignements sur les risques liés aux tiers.
Par :
Brad Hibbert
,
Directeur général des opérations et directeur de la stratégie
22 juin 2023
Partager :
Blog threat intelligence 0623

Un programme efficace de gestion des risques liés aux tiers ne se limite pas à la réalisation d'évaluations régulières des vendeurs et des fournisseurs, fondéessur le contrôle interne. pour combler les lacunes entre ces évaluations et valider la présence et l'efficacité des contrôles. Pourtant, pour de nombreuses organisations, la gestion des risques liés aux tiers est une proposition de type "ou bien, ou bien".

Dans ce billet, nous examinons :

  • Les principaux types de renseignements sur les menaces - et les meilleures sources de données - à inclure dans votre programme TPRM
  • Comment l'utilisation de la veille sur les menaces permet d'atténuer les risques pour les tiers
  • Meilleures pratiques pour optimiser l'information sur les risques des tiers

Principaux types et sources de renseignements sur les risques émanant de tiers

Lorsque vous envisagez d'intégrer la veille sur les menaces dans vos évaluations régulières des contrôles de sécurité des fournisseurs, tenez compte des types de renseignements suivants.

Fournisseur cyber renseignements sur les menaces

Souvent le type le plus commun d'informations sur les fournisseurs externes, cyber threat intelligence fournit un aperçu des performances de sécurité d'un tiers, de ses vulnérabilités et de l'historique des atteintes à la sécurité. Ces informations peuvent vous aider à comprendre si le tiers a mis en place des contrôles de sécurité adéquats.

Les sources courantes de ces données sont les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces, les sites de collage d'informations d'identification fuitées, les communautés de sécurité, les dépôts de code, les bases de données de vulnérabilité et les bases de données sur l'historique des atteintes à la protection des données.

Mises à jour opérationnelles des fournisseurs

L'actualité économique, les fusions et acquisitions, les changements de direction et d'équipe, la concurrence et les nouvelles offres peuvent vous indiquer si le tiers est une organisation bien gérée qui dispose d'une stratégie viable à long terme.

Vous pouvez recueillir des informations sur ces sujets auprès de sources publiques et privées d'informations opérationnelles, de flux d'actualités, de bases de données d'actualités commerciales et de sites web d'entreprises.

Informations financières sur les fournisseurs

Les informations relatives aux performances financières, au chiffre d'affaires, aux pertes et profits, aux fonds des actionnaires, aux cotes de crédit, à l'historique des paiements, aux faillites et aux investissements d'un fournisseur démontrent que le tiers est une entreprise en activité, qu'il est financièrement sain et qu'il peut honorer ses engagements. De mauvais résultats financiers peuvent être le signe de coupes budgétaires susceptibles d'avoir un impact sur les opérations de sécurité.

Les agences de notation, les sites web d'information financière et les organes de presse sont des sources courantes d'information - et la plupart d'entre elles sont gratuites.

Connaissance de la réputation des fournisseurs

Le vieil adage est le suivant : On ne vaut que ce que valent les gens que l'on fréquente. Les informations relatives à la réputation, telles que les médias défavorables et la couverture médiatique négative, les sanctions réglementaires et juridiques, les relations avec les entreprises d'État et les entreprises liées au gouvernement, et la collaboration avec des personnes politiquement exposées, peuvent aider votre entreprise à anticiper les relations potentiellement préjudiciables.

Les sources d'informations sur la réputation sont variées. Elles peuvent provenir de la presse, de listes de sanctions (par exemple, l'Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis, la liste des sanctions du Royaume-Uni, la liste consolidée des sanctions de l'Union européenne) et de dossiers judiciaires, de bases de données sur les PPE (telles que celles du FFIEC et de LexisNexis), et de bien d'autres sources.

L'inconvénient de la surveillance continue des risques liés aux tiers est qu'il n'existe pas de guichet unique pour les renseignements sur les menaces, de sorte que de nombreuses entreprises sont contraintes d'adopter une approche quelque peu décousue pour la collecte et l'analyse de ces données.

Dossier exécutif : comment obtenir davantage des scores relatifs aux risques des tiers

Découvrez comment élaborer un programme de surveillance des risques liés aux fournisseurs plus complet, plus exploitable et plus rentable.

Lire la suite
Livre blanc plus qu'un score 0623

Quatre façons dont la veille sur les menaces contribue à atténuer les risques pour les tiers

Les renseignements sur les menaces externes peuvent contribuer à atténuer les risques pour les tiers de quatre manières principales.

1. Valider l'efficacité des contrôles internes déclarés par le fournisseur

Si un fournisseur tiers a indiqué dans son évaluation de la sécurité ou a fourni des preuves dans une certification de sécurité (telle que ISO ou SOC 2) qu'il exige un mot de passe fort, mais que des renseignements externes sur les menaces montrent que les identifiants des utilisateurs du fournisseur, les mots de passe ou les identifiants d'administration sont en vente sur le Dark Web, vous pouvez raisonnablement supposer que les politiques de mot de passe du fournisseur ne sont pas assez fortes (ou même, peut-être, que leurs programmes d'hameçonnage ou de sensibilisation à la sécurité ont besoin d'être améliorés).

2. Obtenir une vision précoce du profil de risque d'un fournisseur potentiel

La veille sur les menaces peut être utilisée pour se faire une idée des risques qu'un fournisseur potentiel fait peser sur votre environnement. Par exemple, au cours de la phase d'approvisionnement et de sélection d'un fournisseur tiers ou d'une relation avec un fournisseur, l'obtention de renseignements sur les violations de données antérieures, les incidents de sécurité, les problèmes de conformité, les sanctions, etc. peut éclairer les décisions de sélection du fournisseur. Un fournisseur dont le score de sécurité est faible peut ne pas correspondre à la tolérance au risque de votre organisation.

3. Combler les lacunes entre les cycles d'évaluation réguliers

Si votre organisation procède à une évaluation annuelle de la sécurité de ses tiers, les renseignements sur les menaces externes peuvent combler les lacunes entre ces évaluations annuelles, de sorte que vous ne manquiez pas les menaces potentiellement critiques au fur et à mesure qu'elles apparaissent.

4. Effectuer un contrôle de base pour les fournisseurs non critiques

Dans la plupart des organisations, il existe un sous-ensemble de fournisseurs considérés comme critiques, et votre organisation devrait procéder régulièrement à des évaluations complètes de la sécurité de ces fournisseurs. Toutefois, pour les fournisseurs considérés comme non critiques ou de niveau inférieur, il suffit parfois de procéder aux évaluations de base. Un exercice de profilage et de hiérarchisation vous aidera à déterminer comment traiter les fournisseurs selon qu'ils sont essentiels aux opérations de votre entreprise ou qu'ils traitent des données sensibles sur les clients, par exemple.

Bonnes pratiques pour l'optimisation de la veille sur les risques liés aux tiers

Centraliser pour normaliser

Une approche courante consiste à examiner tous les renseignements en silos, mais cela annule les avantages de la collecte de toutes ces informations. Il est préférable de centraliser toutes ces sources d'informations sur les menaces dans un registre unique des risques afin de normaliser et de transformer les données en résultats significatifs. Cette approche permet de quantifier et de contextualiser les risques - comme les correspondances avec divers cadres de sécurité et contrôles de conformité - afin d'aider à hiérarchiser les risques et les activités de remédiation qui en découlent. Cette approche unifiée permet également d'établir une corrélation avec les résultats de l'évaluation. Cela permettra de rationaliser considérablement les initiatives d'examen, d'analyse, de rapport et de réponse en matière de risques.

L'assainissement est essentiel

Comme nous l'avons appris dans l'étude 2023 sur la gestion des risques par les tiers, il existe un écart important entre le nombre d'entreprises qui suivent les risques et celles qui y remédient. La valeur de l'utilisation de l'intelligence du risque dans votre programme de TPRM se résume donc à l'appétit pour le risque et à la remédiation. Si la menace que représente un fournisseur pour votre organisation se traduit par un score de risque élevé, vous devez alors recommander (ou exiger) la mise en œuvre de mesures correctives spécifiques pour pouvoir continuer à faire des affaires avec lui. Vous pouvez également exiger la mise en place de contrôles compensatoires spécifiques. Quelle que soit l'approche retenue, un dialogue bilatéral est essentiel à la réduction des risques.

Prochaines étapes de l'intégration de la veille sur les risques liés aux tiers dans votre programme de gestion des risques liés aux tiers (TPRM)

L'intelligence des risques des tiers deviendra de plus en plus importante pour suivre l'évolution des exigences réglementaires et un paysage de menaces en constante évolution. Pour en savoir plus sur la façon dont l'analyse avancée et l'apprentissage automatique peuvent être appliqués pour identifier les risques imprévus qui se cachent actuellement dans vos chaînes d'approvisionnement, demandez une démonstration dès aujourd'hui.

Tags :
Partager :
2014 04 10 Headshot Brad Suit
Brad Hibbert
Directeur général des opérations et directeur de la stratégie

Brad Hibbert apporte plus de 25 ans d'expérience de direction dans l'industrie du logiciel, en alignant les équipes commerciales et techniques sur la réussite. Il a rejoint Prevalent après avoir travaillé pour BeyondTrust, où il a assumé la direction de la stratégie des solutions, de la gestion des produits, du développement, des services et du support en tant que COO et CSO. Il a rejoint BeyondTrust via l'acquisition d'eEye Digital Security par la société, où il a contribué au lancement de plusieurs premières sur le marché, notamment des solutions de gestion de la vulnérabilité pour les technologies de cloud computing, de mobilité et de virtualisation.

Avant eEye, Brad a occupé le poste de vice-président de la stratégie et des produits chez NetPro avant son acquisition en 2008 par Quest Software. Au fil des ans, Brad a obtenu de nombreuses certifications industrielles pour soutenir ses activités de gestion, de conseil et de développement. Brad a obtenu un baccalauréat en commerce, une spécialisation en systèmes d'information de gestion et un MBA de l'Université d'Ottawa.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo