Centre pour la sécurité de l'Internet (CIS) Conformité des contrôles de sécurité critiques

15.1 Établir et tenir à jour un inventaire des prestataires de services

Fonction de sécurité : Identifier
IG1,2,3

"Établir et tenir à jour un inventaire des fournisseurs de services. Cet inventaire doit dresser la liste de tous les fournisseurs de services connus, indiquer leur(s) classification(s) et désigner un contact au sein de l'entreprise pour chaque fournisseur de services. L'inventaire doit être revu et mis à jour chaque année, ou lorsque des changements importants interviennent au sein de l'entreprise et sont susceptibles d'avoir une incidence sur la présente mesure de protection.

Prevalent permet aux organisations de créer un inventaire centralisé des fournisseurs de services en important les fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise peuvent renseigner les détails clés des fournisseurs à l'aide d'un formulaire d'admission centralisé et personnalisable et d'un flux de travail associé. Tout le monde peut y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire.

Comme tous les fournisseurs de services sont centralisés, les équipes peuvent créer des profils complets de fournisseurs qui contiennent des informations démographiques, des technologies de quatrième partie, des scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes.

15.2 Établir et maintenir une politique de gestion des prestataires de services

Fonction de sécurité : Identifier
IG2,3

"Établir et maintenir une politique de gestion des fournisseurs de services. Veiller à ce que cette politique traite de la classification, de l'inventaire, de l'évaluation, de la surveillance et de la mise hors service des fournisseurs de services. Réviser et mettre à jour la politique chaque année, ou lorsque des changements importants interviennent dans l'entreprise et sont susceptibles d'avoir une incidence sur la présente mesure de sauvegarde".

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, pour sélectionner des questionnaires et des cadres d'évaluation des risques et pour optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'exclusion.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

• Rôles et responsabilités clairs (par exemple, RACI)
• Inventaires de tiers
• Classification et catégorisation des fournisseurs
• Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
• Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
• Cartographie de la quatrième partie
• Sources des données de contrôle continu (cyber, business, réputation, financier)
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
• Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
• Conformité et exigences de rapports contractuels par rapport aux niveaux de service
• Exigences en matière de réponse aux incidents
• Rapports sur les risques et les parties prenantes internes
• Stratégies d'atténuation des risques et de remédiation

15.3 Classer les prestataires de services

Fonction de sécurité : Identifier
IG1,2,3

"Classer les fournisseurs de services. La classification peut prendre en compte une ou plusieurs caractéristiques, telles que la sensibilité des données, le volume des données, les exigences en matière de disponibilité, les réglementations applicables, le risque inhérent et le risque atténué. Mettre à jour et réviser les classifications chaque année, ou lorsque des changements importants au sein de l'entreprise se produisent et pourraient avoir une incidence sur cette mesure de sauvegarde."

Prevalent offre une évaluation de diligence raisonnable précontractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents à tous les tiers. Les critères incluent :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer et hiérarchiser les fournisseurs, définir des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.
La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

15.4 Veiller à ce que les contrats des fournisseurs de services incluent des exigences en matière de sécurité

Fonction de sécurité : Protéger
IG1,2,3

"Veiller à ce que les contrats des fournisseurs de services comportent des exigences en matière de sécurité. Il peut s'agir, par exemple, d'exigences minimales en matière de programme de sécurité, de notification et d'intervention en cas d'incident de sécurité et/ou de violation des données, d'exigences en matière de cryptage des données et d'engagements en matière d'élimination des données. Ces exigences de sécurité doivent être compatibles avec la politique de gestion des prestataires de services de l'entreprise. Examiner chaque année les contrats des prestataires de services pour s'assurer qu'ils ne comportent pas d'exigences en matière de sécurité".

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs et offre des capacités de flux de travail pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Cela permet de s'assurer que les principales exigences en matière de sécurité sont intégrées dans le contrat du fournisseur, convenues et appliquées tout au long de la relation grâce à des indicateurs de performance clés (KPI).

Les capacités clés comprennent :

• Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et l'état, avec des vues personnalisées et basées sur les rôles.
• Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

15.5 Évaluer les prestataires de services

Fonction de sécurité : Identifier
IG3

"Évaluer les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l'entreprise. La portée de l'évaluation peut varier en fonction de la (des) classification(s) et peut inclure l'examen de rapports d'évaluation normalisés, tels que Service Organization Control 2 (SOC 2) et Payment Card Industry (PCI) Attestation of Compliance (AoC), des questionnaires personnalisés ou d'autres processus rigoureux appropriés. Réévaluer les fournisseurs de services au moins une fois par an, ou à l'occasion de nouveaux contrats ou de renouvellements de contrats".

Prevalent automatise les évaluations de risques afin d'étendre la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.

Avec une bibliothèque de plus de 750 évaluations standardisées - y compris pour PCI - des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports.

Avec Prevalent, vous pouvez facilement rassembler et corréler les renseignements sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pour la gestion de l'information, en fonction de la criticité du tiers, telle que déterminée par l'évaluation du risque inhérent.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre unique des risques avec des cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à cet aperçu, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète du risque fournisseur, Prevalent examine la liste des lacunes de contrôle identifiées dans le rapport SOC 2, crée des éléments de risque pour le tiers dans la plateforme, et assure le suivi et le reporting des déficiences.

15.6 Contrôler les données des fournisseurs de services

Fonction de sécurité : Détection
IG3

"Surveiller les fournisseurs de services conformément à la politique de gestion des fournisseurs de services de l'entreprise. La surveillance peut inclure une réévaluation périodique de la conformité du fournisseur de services, la surveillance des notes de mise à jour du fournisseur de services et la surveillance du dark web".

Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance comprennent :

• Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
• Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde.

Comme toutes les menaces ne sont pas des cyberattaques directes, Prevalent incorpore également des données provenant des sources suivantes pour ajouter du contexte aux conclusions de cyber :

• 550 000 sources publiques et privées d'informations sur la réputation, notamment les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
• Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performance financière, y compris le chiffre d'affaires, les profits et pertes, les fonds des actionnaires, etc.
• 30 000 sources d'information mondiales
• Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
• Listes de sanctions mondiales et plus de 1 000 listes d'exécution mondiales et dossiers judiciaires

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

15.7 Déclassement sécurisé des données des fournisseurs de services

Fonction de sécurité : Protéger
IG3

"Mettre hors service les fournisseurs de services en toute sécurité. Parmi les exemples à prendre en compte figurent la désactivation des comptes d'utilisateurs et de services, l'arrêt des flux de données et l'élimination sécurisée des données d'entreprise dans les systèmes des fournisseurs de services".

La plateforme Prevalent automatise l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation.

• Planifiez des tâches pour examiner les contrats afin de vous assurer que toutes les obligations ont été respectées. Émettez des évaluations de contrat personnalisables pour évaluer le statut.
• Exploitez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes, les paiements finaux, etc.
• Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Tirez parti de l'analyse automatique intégrée des documents basée sur le traitement du langage naturel et l'apprentissage automatique d'AWS pour confirmer que les critères clés sont pris en compte.
• Prenez des mesures concrètes pour réduire le risque lié aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.
• Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations avec n'importe quel règlement ou cadre.

17.1 Désignation du personnel chargé de gérer la transmission des incidents

Fonction de sécurité : Répondre
IG1,2,3

"Désigner une personne clé, et au moins un remplaçant, qui gérera le processus de traitement des incidents de l'entreprise. Le personnel de gestion est responsable de la coordination et de la documentation des efforts de réponse et de récupération des incidents et peut être composé d'employés internes à l'entreprise, de fournisseurs tiers ou d'une approche hybride. Si vous faites appel à un fournisseur tiers, désignez au moins une personne au sein de l'entreprise pour superviser le travail du tiers. Réviser chaque année ou lorsque des changements importants au sein de l'entreprise sont susceptibles d'avoir une incidence sur cette mesure de sauvegarde."

17.2 Établir et tenir à jour les coordonnées des personnes à contacter pour signaler les incidents de sécurité

Fonction de sécurité : Répondre
IG1,2,3

"Établir et tenir à jour les coordonnées des parties qui doivent être informées des incidents de sécurité. Ces contacts peuvent être le personnel interne, des fournisseurs tiers, les forces de l'ordre, cyber les fournisseurs d'assurance, les agences gouvernementales concernées, les partenaires du centre de partage et d'analyse de l'information (ISAC) ou d'autres parties prenantes. Vérifier les contacts chaque année pour s'assurer que les informations sont à jour".

17.3 Établir et maintenir un processus d'entreprise pour le signalement des incidents

Fonction de sécurité : Répondre
IG1,2,3

"Établir et maintenir un processus d'entreprise permettant au personnel de signaler les incidents de sécurité. Cette procédure prévoit un délai de signalement, le nom des personnes à qui s'adresser, le mécanisme de signalement et les informations minimales à communiquer. Veiller à ce que le processus soit accessible à l'ensemble du personnel. Réviser le processus chaque année ou lorsque des changements importants interviennent dans l'entreprise et pourraient avoir une incidence sur cette mesure de sauvegarde.

17.4 Établir et maintenir un processus de réponse aux incidents

Fonction de sécurité : Répondre
IG2,3

"Établir et maintenir un processus de réponse aux incidents qui aborde les rôles et les responsabilités, les exigences de conformité et un plan de communication. Réviser ce processus chaque année ou lorsque des changements importants au sein de l'entreprise susceptibles d'avoir une incidence sur cette mesure de sauvegarde se produisent".

17.5 Attribuer des rôles et des responsabilités clés

Fonction de sécurité : Répondre
IG2,3

"Attribuer les rôles et responsabilités clés en matière de réponse aux incidents, notamment au personnel des services juridiques, de l'informatique, de la sécurité de l'information, des installations, des relations publiques, des ressources humaines, aux intervenants en cas d'incident et aux analystes, le cas échéant. Réviser chaque année ou lorsque des changements importants au sein de l'entreprise sont susceptibles d'avoir une incidence sur la présente mesure de sauvegarde".

17.6 Définir des mécanismes de communication pendant la réponse à l'incident

Fonction de sécurité : Répondre
IG2,3

"Déterminez les mécanismes primaires et secondaires qui seront utilisés pour communiquer et rendre compte lors d'un incident de sécurité. Il peut s'agir d'appels téléphoniques, de courriers électroniques ou de lettres. Gardez à l'esprit que certains mécanismes, tels que les courriels, peuvent être affectés lors d'un incident de sécurité. Réexaminer chaque année ou lorsque des changements importants au sein de l'entreprise sont susceptibles d'avoir une incidence sur cette mesure de protection.

Prevalent permet à votre équipe d'identifier rapidement les incidents impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact en centralisant la gestion des fournisseurs, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant une corrélation avec la surveillance continue de cyber et en accédant à des conseils de remédiation. Les principales fonctionnalités comprennent :

• Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
• Suivi en temps réel de la progression du remplissage du questionnaire
• Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
• Rapports proactifs des fournisseurs
• Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
• Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Recommandations de remédiation intégrées pour réduire les risques
• Modèles de rapports intégrés
• Cartographie des données et des relations pour identifier les relations entre votre organisation et les tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

En centralisant la réponse aux incidents des tiers dans un système unique guidé par un processus unique de gestion des incidents d'entreprise, les équipes informatiques, de sécurité, juridiques, de protection de la vie privée et de conformité peuvent travailler à l'unisson pour atténuer les risques.