Les contrôles de sécurité critiques du Center for Internet Security® (CIS) sont un ensemble de 18 contrôles recommandés et de 153 sous-contrôles (appelés "sauvegardes") conçus pour aider les équipes de sécurité informatique à réduire l'impact des incidents de cybersécurité.
Les 18 contrôles CIS et les 153 garanties sont classés par ordre de priorité dans trois groupes de mise en œuvre (IG) :
Le CIS classe chaque sauvegarde par fonction de sécurité NIST afin de simplifier la mise en correspondance avec chaque fonction de base NIST : Identifier, Détecter, Protéger, Répondre et Récupérer.
Deux contrôles principaux sont liés à la gestion des risques des tiers (TPRM) : le contrôle 15 : gestion des fournisseurs de services et le contrôle 17 : gestion de la réponse aux incidents. Laplate-forme Prevalent TPRM permet d'accélérer et de simplifier la mise en œuvre des garanties pour chaque contrôle.
Développer un processus d'évaluation des fournisseurs de services qui détiennent des données sensibles ou qui sont responsables des plates-formes ou des processus informatiques critiques d'une entreprise, afin de s'assurer que ces fournisseurs protègent ces plates-formes et ces données de manière appropriée.
Mettre en place un programme visant à développer et à maintenir une capacité de réponse aux incidents (par exemple, politiques, plans, procédures, rôles définis, formation et communication) afin de préparer, de détecter et de répondre rapidement à une attaque.
Aligner votre programme TPRM sur les contrôles de sécurité critiques du CIS
Découvrez les garanties de gestion des risques des tiers dans les contrôles CIS 15 et 17, ainsi que les meilleures pratiques pour accélérer et simplifier leur mise en œuvre.
Contrôle CIS 15 : Gestion des prestataires de services
Contrôle 15 Vue d'ensemble : "Développer un processus d'évaluation des prestataires de services qui détiennent des données sensibles ou qui sont responsables des plates-formes ou des processus informatiques critiques d'une entreprise, afin de s'assurer que ces prestataires protègent ces plates-formes et ces données de manière appropriée."
Sauvegarde | Quelle aide nous apportons |
---|---|
15.1 Établir et tenir à jour un inventaire des prestataires de services Fonction de sécurité : Identifier "Établir et tenir à jour un inventaire des fournisseurs de services. Cet inventaire doit dresser la liste de tous les fournisseurs de services connus, indiquer leur(s) classification(s) et désigner un contact au sein de l'entreprise pour chaque fournisseur de services. L'inventaire doit être revu et mis à jour chaque année, ou lorsque des changements importants interviennent au sein de l'entreprise et sont susceptibles d'avoir une incidence sur la présente mesure de protection. |
Prevalent permet aux organisations de créer un inventaire centralisé des fournisseurs de services en important les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise peuvent renseigner les détails clés des fournisseurs à l'aide d'un formulaire d'admission centralisé et personnalisable et d'un flux de travail associé. Tout le monde peut y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire. Comme tous les fournisseurs de services sont centralisés, les équipes peuvent créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes. |
15.2 Établir et maintenir une politique de gestion des prestataires de services Fonction de sécurité : Identifier "Établir et maintenir une politique de gestion des fournisseurs de services. Veiller à ce que cette politique traite de la classification, de l'inventaire, de l'évaluation, de la surveillance et de la mise hors service des fournisseurs de services. Réviser et mettre à jour la politique chaque année, ou lorsque des changements importants interviennent dans l'entreprise et sont susceptibles d'avoir une incidence sur la présente mesure de sauvegarde". |
Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, pour sélectionner des questionnaires et des cadres d'évaluation des risques et pour optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'exclusion. Dans le cadre de ce processus, Prevalent peut vous aider à définir :
|
15.3 Classer les prestataires de services Fonction de sécurité : Identifier "Classer les fournisseurs de services. La classification peut prendre en compte une ou plusieurs caractéristiques, telles que la sensibilité des données, le volume des données, les exigences en matière de disponibilité, les réglementations applicables, le risque inhérent et le risque atténué. Mettre à jour et réviser les classifications chaque année, ou lorsque des changements importants au sein de l'entreprise se produisent et pourraient avoir une incidence sur cette mesure de sauvegarde." |
Prevalent offre une évaluation de diligence raisonnable précontractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents à tous les tiers. Les critères incluent :
À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer et hiérarchiser les fournisseurs, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues. |
15.4 Veiller à ce que les contrats des fournisseurs de services incluent des exigences en matière de sécurité Fonction de sécurité : Protéger "Veiller à ce que les contrats des fournisseurs de services comportent des exigences en matière de sécurité. Il peut s'agir, par exemple, d'exigences minimales en matière de programme de sécurité, de notification et d'intervention en cas d'incident de sécurité et/ou de violation des données, d'exigences en matière de cryptage des données et d'engagements en matière d'élimination des données. Ces exigences de sécurité doivent être compatibles avec la politique de gestion des prestataires de services de l'entreprise. Examiner chaque année les contrats des prestataires de services pour s'assurer qu'ils ne comportent pas d'exigences en matière de sécurité". |
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs et offre des capacités de flux de travail pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Cela permet de s'assurer que les principales exigences en matière de sécurité sont intégrées dans le contrat du fournisseur, convenues et appliquées tout au long de la relation grâce à des indicateurs de performance clés (KPI). Les capacités clés comprennent :
|
15.5 Évaluer les prestataires de services Fonction de sécurité : Identifier "Évaluer les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l'entreprise. La portée de l'évaluation peut varier en fonction de la (des) classification(s) et peut inclure l'examen de rapports d'évaluation normalisés, tels que Service Organization Control 2 (SOC 2) et Payment Card Industry (PCI) Attestation of Compliance (AoC), des questionnaires personnalisés ou d'autres processus rigoureux appropriés. Réévaluer les fournisseurs de services au moins une fois par an, ou à l'occasion de nouveaux contrats ou de renouvellements de contrats". |
Prevalent automatise les évaluations de risques afin d'étendre la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers. Avec une bibliothèque de plus de 750 évaluations standardisées - y compris pour PCI - des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports. Avec Prevalent, vous pouvez facilement rassembler et corréler les renseignements sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pour la gestion de l'information, en fonction de la criticité du tiers, telle que déterminée par l'évaluation du risque inhérent. Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre unique des risques avec des cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à cet aperçu, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques. Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète du risque fournisseur, Prevalent examine la liste des lacunes de contrôle identifiées dans le rapport SOC 2, crée des éléments de risque pour le tiers dans la plateforme, et assure le suivi et le reporting des déficiences. |
15.6 Contrôler les données des fournisseurs de services Fonction de sécurité : Détection "Surveiller les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l'entreprise. La surveillance peut inclure une réévaluation périodique de la conformité du fournisseur de services, la surveillance des notes de mise à jour du fournisseur de services et la surveillance du dark web". |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Les sources de surveillance comprennent :
Comme toutes les menaces ne sont pas des cyberattaques directes, Prevalent incorpore également des données provenant des sources suivantes pour ajouter du contexte aux conclusions de cyber :
Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse. |
15.7 Déclassement sécurisé des données des fournisseurs de services Fonction de sécurité : Protéger "Mettre hors service les fournisseurs de services en toute sécurité. Parmi les exemples à prendre en compte figurent la désactivation des comptes d'utilisateurs et de services, l'arrêt des flux de données et l'élimination sécurisée des données d'entreprise dans les systèmes des fournisseurs de services". |
La plateforme Prevalent automatise l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation.
|
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Contrôle CIS 15 : Gestion des prestataires de services
Contrôle 15 Vue d'ensemble "Établir un programme pour développer et maintenir une capacité de réponse aux incidents (par exemple, politiques, plans, procédures, rôles définis, formation et communications) afin de préparer, détecter et répondre rapidement à une attaque".
Sauvegarde | Quelle aide nous apportons |
---|---|
17.1 Désignation du personnel chargé de gérer la transmission des incidents Fonction de sécurité : Répondre "Désigner une personne clé, et au moins un remplaçant, qui gérera le processus de traitement des incidents de l'entreprise. Le personnel de gestion est responsable de la coordination et de la documentation des efforts de réponse et de récupération des incidents et peut être composé d'employés internes à l'entreprise, de fournisseurs tiers ou d'une approche hybride. Si vous faites appel à un fournisseur tiers, désignez au moins une personne au sein de l'entreprise pour superviser le travail du tiers. Réviser chaque année ou lorsque des changements importants au sein de l'entreprise sont susceptibles d'avoir une incidence sur cette mesure de sauvegarde." 17.2 Établir et tenir à jour les coordonnées des personnes à contacter pour signaler les incidents de sécurité Fonction de sécurité : Répondre "Établir et tenir à jour les coordonnées des parties qui doivent être informées des incidents de sécurité. Ces contacts peuvent être le personnel interne, des fournisseurs tiers, les forces de l'ordre, cyber les fournisseurs d'assurance, les agences gouvernementales concernées, les partenaires du centre de partage et d'analyse de l'information (ISAC) ou d'autres parties prenantes. Vérifier les contacts chaque année pour s'assurer que les informations sont à jour". 17.3 Établir et maintenir un processus d'entreprise pour le signalement des incidents Fonction de sécurité : Répondre "Établir et maintenir un processus d'entreprise permettant au personnel de signaler les incidents de sécurité. Cette procédure prévoit un délai de signalement, le nom des personnes à qui s'adresser, le mécanisme de signalement et les informations minimales à communiquer. Veiller à ce que le processus soit accessible à l'ensemble du personnel. Réviser le processus chaque année ou lorsque des changements importants interviennent dans l'entreprise et pourraient avoir une incidence sur cette mesure de sauvegarde. 17.4 Établir et maintenir un processus de réponse aux incidents Fonction de sécurité : Répondre "Établir et maintenir un processus de réponse aux incidents qui aborde les rôles et les responsabilités, les exigences de conformité et un plan de communication. Réviser ce processus chaque année ou lorsque des changements importants au sein de l'entreprise susceptibles d'avoir une incidence sur cette mesure de sauvegarde se produisent". 17.5 Attribuer des rôles et des responsabilités clés Fonction de sécurité : Répondre "Attribuer les rôles et responsabilités clés en matière de réponse aux incidents, notamment au personnel des services juridiques, de l'informatique, de la sécurité de l'information, des installations, des relations publiques, des ressources humaines, aux intervenants en cas d'incident et aux analystes, le cas échéant. Réviser chaque année ou lorsque des changements importants au sein de l'entreprise sont susceptibles d'avoir une incidence sur la présente mesure de sauvegarde". 17.6 Définir des mécanismes de communication pendant la réponse à l'incident Fonction de sécurité : Répondre "Déterminez les mécanismes primaires et secondaires qui seront utilisés pour communiquer et rendre compte lors d'un incident de sécurité. Il peut s'agir d'appels téléphoniques, de courriers électroniques ou de lettres. Gardez à l'esprit que certains mécanismes, tels que les courriels, peuvent être affectés lors d'un incident de sécurité. Réexaminer chaque année ou lorsque des changements importants au sein de l'entreprise sont susceptibles d'avoir une incidence sur cette mesure de protection. |
Prevalent permet à votre équipe d'identifier rapidement les incidents impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact en centralisant la gestion des fournisseurs, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant une corrélation avec la surveillance continue de cyber et en accédant à des conseils de remédiation. Les principales fonctionnalités comprennent :
En centralisant la réponse aux incidents des tiers dans un système unique guidé par un processus unique de gestion des incidents d'entreprise, les équipes informatiques, de sécurité, juridiques, de protection de la vie privée et de conformité peuvent travailler à l'unisson pour atténuer les risques. |
Suivez les meilleures pratiques du TPRM pour répondre aux recommandations des contrôles de sécurité critiques 15 et 17 du CIS.
Prevalent offre un cadre complet pour la gestion de la politique, l'audit et le reporting liés au risque de tiers et...
Le NIST a rédigé plusieurs normes industrielles qui traitent de l'identification, de l'évaluation et de la gestion des risques de la chaîne d'approvisionnement...