La North American Electric Reliability Corporation (NERC) a publié un guide de sécurité pour le cycle de vie de la gestion du risque fournisseur afin de faire face aux risques croissants qui pèsent sur les infrastructures critiques.
La ligne directrice fournit des exemples de risques liés aux fournisseurs et propose des mesures d'atténuation que les organisations devraient prendre en compte lorsqu'elles élaborent leurs plans de gestion des risques liés à la sécurité de la chaîne d'approvisionnement cyber - non seulement pour le système électrique en vrac (BES), mais aussi pour d'autres infrastructures critiques telles que les gazoducs, la production, la transmission et la distribution d'électricité, et d'autres domaines.
Prendre en compte le risque dans le cadre des décisions de sélection des fournisseurs
Élaborer un processus permettant d'identifier, d'évaluer et d'atténuer en permanence les risques résiduels et les nouveaux risques posés par le fournisseur.
Atténuer les risques identifiés dans les évaluations des risques des fournisseurs
Exiger la vérification du respect des politiques et des mesures d'atténuation par le vendeur
Élaborer des procédures d'achat, de résiliation et de transition pour les fournisseurs.
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Répondre aux exigences des lignes directrices de sécurité du NERC
Voici comment Prevalent peut vous aider à respecter les meilleures pratiques de gestion des risques de tiers du NERC :
Exigence | Quelle aide nous apportons |
---|---|
Chapitre 1 : Atténuer les risques avant la passation de marchés Le chapitre 1 indique que "pour décider quels fournisseurs doivent être invités à participer à l'appel d'offres, l'organisation peut prendre en considération les facteurs des listes d'entités approuvées, les sources de renseignements et les informations accessibles au public (par exemple, l'historique du traitement des vulnérabilités, l'hygiène des sites web)". Pour répondre à cette directive, comparez dans un même tableau les données géographiques, les technologies de quatrième partie, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. La centralisation de ces informations en fonction des réponses à l'appel d'offres vous permet d'avoir une vision globale des fournisseurs - à la fois de leur adéquation à l'objectif et de leur adéquation à l'appétence au risque de votre organisation. Voir ci-dessous les autres mesures d'atténuation suggérées au chapitre 1. |
|
Recueillir des informations sur les plans d'atténuation du fournisseur pour les risques de sécurité spécifiques à la chaîne d'approvisionnement cyber , à l'aide d'une évaluation ciblée ne contenant que des questions pertinentes. |
Prevalent vous permet d'utiliser une évaluation personnalisable pour rassembler et corréler les contrôles des fournisseurs afin de déterminer les menaces qui pèsent sur les systèmes et les données, en fonction de la criticité du fournisseur. La plateforme rassemble les données dans un registre des risques unique avec des rapports de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque. |
Inclure les conditions de sécurité de cyber dans le contrat du fournisseur, ou identifier les produits livrables spécifiques à mesurer. |
Utiliser une solution de gestion du cycle de vie des contrats qui centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Cette solution permet de s'assurer que les principales dispositions contractuelles, telles que les indicateurs clés de performance (KPI), les indicateurs clés de risque (KRI) et les accords de niveau de service (SLA), sont incluses dans les contrats avec les fournisseurs et appliquées tout au long de la relation. |
Fournir des preuves à l'appui, telles que des certifications ou des rapports d'audit établis par des évaluateurs tiers qualifiés. - Demander au vendeur de fournir une nomenclature des logiciels (SBOM) énumérant tous les composants de son logiciel et/ou de son micrologiciel qui ont été développés par des tiers. - Effectuer une évaluation des risques liés à la passation de marchés (PRA). - Atténuer tous les risques élevés identifiés dans l'ARP. |
La plateforme Prevalent centralise les documents, les preuves et les certifications des fournisseurs dans un profil de fournisseur unique associé à des évaluations des risques des fournisseurs et à un registre central des risques. La plateforme vous permet également de recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de garantir que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Avec Prevalent, vous pouvez suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur. |
Chapitre 2 : Évaluer les risques Le chapitre 2 des lignes directrices de sécurité stipule qu'"une fois qu'une relation avec un fournisseur est établie et que l'organisation a commencé à obtenir des produits ou des services de ce fournisseur, l'organisation a besoin d'un processus permettant d'identifier, d'évaluer et d'atténuer en permanence les risques résiduels et nouveaux posés par le fournisseur". Pour ce faire, le guide propose certaines des étapes figurant dans les lignes suivantes. |
|
Posez des questions spécifiques sur la protection de l'accès à distance grâce à l'authentification multifactorielle. - Utilisez un questionnaire qui ne pose que des questions pertinentes. - Prévoir des questionnaires distincts pour les fournisseurs de technologies de l'information et les fournisseurs de technologies de l'information et de la communication. - Envisagez des certifications telles que ISO 27001 ou SOC2. |
Prevalent automatise l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux fournisseurs à chaque étape de leur cycle de vie. La plateforme comprend une bibliothèque de centaines de modèles d'évaluation standardisés - y compris des questionnaires qui ciblent les domaines IT et OT - avec des capacités de personnalisation et des flux de travail et de remédiation intégrés pour automatiser tout, de la collecte et de l'analyse de l'enquête à l'évaluation des risques et à l'établissement de rapports. Si le fournisseur ne peut ou ne veut pas réaliser une évaluation standardisée, vous pouvez utiliser la plateforme Prevalent pour mettre en correspondance les certifications ISO ou les rapports SOC 2 avec le registre central des risques afin de gérer les risques liés à ce fournisseur en même temps que les risques issus des évaluations d'autres fournisseurs. Avec Prevalent, vous pouvez valider les résultats de l'évaluation grâce à des informations continues sur les menaces cyber . La consolidation de tous les renseignements en un seul endroit optimise vos efforts d'analyse des risques. |
Chapitre 3 : Atténuer les risques Pendant l'utilisation du produit ou du service Les lignes directrices précisent que cela peut se faire par le biais d'un appel d'offres ou d'une mise en œuvre contractuelle, mais que les mesures correctives requises constituent également une mise en œuvre post-contractuelle importante. Vous trouverez ci-dessous une sélection de mesures d'atténuation tirées des lignes directrices. |
|
Inclure dans l'appel d'offres un libellé identifiant les risques de sécurité et les mesures d'atténuation que le fournisseur doit prendre pour y faire face. |
Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans le cadre des décisions de sélection des fournisseurs. Vous pouvez ainsi sélectionner des fournisseurs sur la base des mesures de sécurité essentielles de cyber . |
Inclure dans le contrat des clauses documentant l'engagement du fournisseur à mettre en œuvre des contrôles de sécurité spécifiques, prévoir la possibilité pour l'organisation d'examiner les progrès réalisés par le fournisseur et définir des méthodes de communication future sur ces questions. |
Avec Prevalent, vous pouvez centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. En gérant les contrats d'approvisionnement de cette manière, vous vous assurez que les clauses de sécurité et les mesures d'exécution appropriées sont intégrées dans le contrat. |
Définir des mesures correctives spécifiques. |
Recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur. |
Chapitre 4 : Vérification de l'atténuation des risques Le chapitre 4 des lignes directrices exige de vérifier que le fournisseur respecte les politiques et les mesures d'atténuation. Les actions possibles sont celles qui figurent dans les lignes suivantes. |
|
Documenter et communiquer au fournisseur l'écart de performance, le service attendu et les conditions contractuelles applicables ou l'engagement documenté. |
Prevalent vous permet de personnaliser les enquêtes afin de faciliter la collecte et l'analyse des données nécessaires sur les performances et les contrats dans un registre des risques unique. Vous pouvez également identifier les attributs contractuels clés relatifs aux accords de niveau de service ou à la performance, remplir ces exigences dans une plateforme centrale et assigner des tâches à vous et à votre fournisseur à des fins de suivi. |
Communiquer au vendeur que les mesures de performance seront prises en compte dans la notation ou l'évaluation future des nouveaux achats de produits ou de services. |
La plateforme Prevalent mesure de manière centralisée les KPI et KRI du fournisseur par rapport à vos exigences en les extrayant automatiquement du contrat du fournisseur. La plateforme propose également des recommandations de remédiation pour s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. |
Évaluer la possibilité de mettre fin à la relation avec le fournisseur. |
Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Prevelant vous fournit des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité avec les lois pertinentes, des paiements finaux, et bien plus encore. |
Chapitre 5 : Achat, résiliation et transition Le chapitre 5 de la ligne directrice passe en revue les procédures requises pour mettre fin à une relation avec un fournisseur, y compris celles figurant dans les lignes ci-dessous. |
|
Identifier et atténuer les risques associés à la résiliation ou à la transition (par exemple, détention d'informations sensibles). - Dresser l'inventaire des informations sensibles que le fournisseur détient sur les systèmes et réseaux de l'organisation et exiger de lui qu'il atteste que toutes les informations ont été supprimées. |
Prevalent vous permet de :
|
De nouvelles normes de cybersécurité pour la protection des infrastructures critiques entrent en vigueur le 1er juillet. Êtes-vous prêts ?
Le NIST a rédigé plusieurs normes industrielles qui traitent de l'identification, de l'évaluation et de la gestion des risques de la chaîne d'approvisionnement...
Révéler les exigences du TPRM dans 13 règlements et acquérir les meilleures pratiques pour simplifier la conformité.