La norme de protection des infrastructures critiques (CIP) de la North American Electric Reliability Corporation (NERC) établit de nouvelles exigences en matière de cybersécurité pour les entreprises d'électricité et de services publics afin d'assurer, de préserver et de prolonger la fiabilité du système électrique en vrac (BES). La NERC est autorisée à pénaliser les entités enregistrées jusqu'à 1 million de dollars par jour et par violation non résolue.
Lagestion des risques liés aux tiers joue un rôle essentiel pour garantir la sécurité de la chaîne d'approvisionnement grâce à l'évaluation régulière des contrôles de sécurité internes des partenaires de la chaîne d'approvisionnement et à la surveillance permanente des risques liés aux fournisseurs en temps réel. Cette vision interne et externe offre une visibilité plus complète des risques liés à la chaîne d'approvisionnement.
Aligner votre programme de TPRM sur les 14 normes de l'industrie
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Répondre aux exigences du NERC TPRM
Voici comment Prevalent peut vous aider à respecter les meilleures pratiques de gestion des risques de tiers du NERC :
Exigence | Quelle aide nous apportons |
---|---|
CIP-013 Cyber Critères de sécurité |
|
1.2.1 Notification/reconnaissance des incidents de sécurité Cyber Les fournisseurs doivent être en mesure d'identifier le moment où un incident s'est produit afin de s'assurer que le fournisseur peut notifier l'entité dans le cas d'un tel incident. |
Prevalent permet aux entités responsables d'évaluer régulièrement les plans de réponse aux incidents de leurs fournisseurs, en exigeant le téléchargement des plans sur la plateforme pour validation. Avec ce niveau d'examen, les entités ont une visibilité sur la façon dont un partenaire de la chaîne d'approvisionnement répondrait à une violation ou à un incident sur le site cyber . Les outils de surveillance et de notation ne peuvent pas fournir ce niveau de visibilité des contrôles internes ou des processus, mais ils peuvent compléter les évaluations afin de déclencher la divulgation publique d'un incident. |
1.2.2 Coordination des réponses aux incidents de sécurité Cyber Les vendeurs doivent coordonner avec l'entité leurs réponses aux incidents liés aux produits ou services fournis à l'entité qui posent un risque de sécurité pour l'entité ( cyber ). |
Prevalent fournit une plateforme centrale pour l'examen des preuves soutenant les plans de communication et de réponse aux incidents, avec la flexibilité de construire un flux de travail, des tâches et des voies d'escalade personnalisés pour permettre une réponse rapide. |
1.2.3 Notification lorsque l'accès à distance ou sur place n'est plus nécessaire ou ne devrait plus être disponible pour les représentants du fournisseur Les fournisseurs devraient réagir en conséquence aux changements de personnel. Un fournisseur doit être en mesure d'informer l'entité de tout changement de personnel susceptible d'avoir une incidence sur le maintien ou non de l'accès à distance pour les représentants du fournisseur. |
La plateforme Prevalent comprend un assistant de création d'enquêtes personnalisées qui permet aux organisations de créer et d'émettre une enquête personnalisable pour le départ, posant des questions spécifiques au fournisseur et à l'équipe interne concernant l'accès au système, la destruction des données et les paiements finaux, avec des flux de travail intégrés pour garantir que le processus de séparation se déroule sans heurts. |
1.2.4 Identification des vulnérabilités Les fournisseurs doivent informer une entité lorsqu'une vulnérabilité liée à un produit ou à un service est identifiée. Afin de remplir cette obligation, un fournisseur doit savoir quand une vulnérabilité existe dans son environnement. |
La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. Des capacités intégrées de surveillance continue complètent les évaluations en effectuant un balayage externe des vulnérabilités pour les interfaces de services Web, les résultats étant intégrés dans un registre unique des risques. |
1.2.5. Vérification de l'intégrité et de l'authenticité de tous les logiciels et correctifs fournis par le vendeur pour être utilisés dans le système BES Cyber . |
La plateforme Prevalent comprend plus de 50 questionnaires standard intégrés (tels que ceux de la CIP, du NIST, de l'ISO et d'autres), dont beaucoup posent des questions spécifiques sur la cadence des correctifs et les contrôles d'intégrité des logiciels pour les systèmes internes. Les réponses à ces questions sont transformées en risques si les seuils de correctifs appropriés ne sont pas atteints, ce qui permet d'informer les entités responsables des risques potentiels. |
1.2.6 Coordination des contrôles pour l'accès à distance interactif initié par un fournisseur et l'accès à distance de système à système avec un fournisseur Les fournisseurs doivent se coordonner avec les entités pour contrôler l'accès à distance interactif initié par le fournisseur et s'assurer que l'accès à distance de système à système avec un fournisseur est géré de manière appropriée. |
La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques. |
Gestion des actifs, des changements et des configurations |
|
Gestion des actifs, des changements et de la configuration Inventaire des dispositifs autorisés et non autorisés
|
La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques. |
Considérations relatives au contrôle des changements et à la gestion de la configuration
|
La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques. |
Gouvernance |
|
Établir et mettre en œuvre un programme de sensibilisation à la sécurité
|
La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques. |
Considérations sur la journalisation et la surveillance
|
La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques. |
Considérations relatives à la protection de l'information
|
La plateforme Prevalent offre des preuves et des processus de validation de l'existence de ces politiques, en demandant au partenaire de la chaîne d'approvisionnement de fournir ces preuves. La plateforme quantifie également les risques liés aux fournisseurs, offre des conseils prescriptifs en matière de remédiation, assure le suivi des tâches et automatise les flux de travail pour favoriser le respect de la politique et des meilleures pratiques. |
De nouvelles normes de cybersécurité pour la protection des infrastructures critiques entrent en vigueur le 1er juillet. Êtes-vous prêts ?
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
Révéler les exigences du TPRM dans 13 règlements et acquérir les meilleures pratiques pour simplifier la conformité.