Directives de sécurité du NERC pour le cycle de vie de la gestion du risque fournisseur

Chapitre 1 : Atténuer les risques avant la passation de marchés

Le chapitre 1 indique que "pour décider quels fournisseurs doivent être invités à participer à l'appel d'offres, l'organisation peut prendre en considération les facteurs des listes d'entités approuvées, les sources de renseignements et les informations accessibles au public (par exemple, l'historique du traitement des vulnérabilités, l'hygiène des sites web)".

Pour répondre à cette directive, comparez dans un même tableau les données géographiques, les technologies de quatrième partie, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières des fournisseurs potentiels. La centralisation de ces informations en fonction des réponses à l'appel d'offres vous permet d'avoir une vision globale des fournisseurs - à la fois de leur adéquation à l'objectif et de leur adéquation à l'appétence au risque de votre organisation.

Voir ci-dessous les autres mesures d'atténuation suggérées au chapitre 1.

Recueillir des informations sur les plans d'atténuation du fournisseur pour les risques de sécurité spécifiques à la chaîne d'approvisionnement cyber , à l'aide d'une évaluation ciblée ne contenant que des questions pertinentes.

Prevalent vous permet d'utiliser une évaluation personnalisable pour rassembler et corréler les contrôles des fournisseurs afin de déterminer les menaces qui pèsent sur les systèmes et les données, en fonction de la criticité du fournisseur.

La plateforme rassemble les données dans un registre des risques unique avec des rapports de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque.

Inclure les conditions de sécurité de cyber dans le contrat du fournisseur, ou identifier les produits livrables spécifiques à mesurer.

Utiliser une solution de gestion du cycle de vie des contrats qui centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Cette solution permet de s'assurer que les principales dispositions contractuelles, telles que les indicateurs clés de performance (KPI), les indicateurs clés de risque (KRI) et les accords de niveau de service (SLA), sont incluses dans les contrats avec les fournisseurs et appliquées tout au long de la relation.

Fournir des preuves à l'appui, telles que des certifications ou des rapports d'audit établis par des évaluateurs tiers qualifiés.

-

Demander au vendeur de fournir une nomenclature des logiciels (SBOM) énumérant tous les composants de son logiciel et/ou de son micrologiciel qui ont été développés par des tiers.

-

Effectuer une évaluation des risques liés à la passation de marchés (PRA).

-

Atténuer tous les risques élevés identifiés dans l'ARP.

La plateforme Prevalent centralise les documents, les preuves et les certifications des fournisseurs dans un profil de fournisseur unique associé à des évaluations des risques des fournisseurs et à un registre central des risques.

La plateforme vous permet également de recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de garantir que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Avec Prevalent, vous pouvez suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur.

Chapitre 2 : Évaluer les risques

Le chapitre 2 des lignes directrices de sécurité stipule qu'"une fois qu'une relation avec un fournisseur est établie et que l'organisation a commencé à obtenir des produits ou des services de ce fournisseur, l'organisation a besoin d'un processus permettant d'identifier, d'évaluer et d'atténuer en permanence les risques résiduels et nouveaux posés par le fournisseur". Pour ce faire, le guide propose certaines des étapes figurant dans les lignes suivantes.

Posez des questions spécifiques sur la protection de l'accès à distance grâce à l'authentification multifactorielle.

-

Utilisez un questionnaire qui ne pose que des questions pertinentes.

-

Prévoir des questionnaires distincts pour les fournisseurs de technologies de l'information et les fournisseurs de technologies de l'information et de la communication.

-

Envisagez des certifications telles que ISO 27001 ou SOC2.

Prevalent automatise l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux fournisseurs à chaque étape de leur cycle de vie.

La plateforme comprend une bibliothèque de centaines de modèles d'évaluation standardisés - y compris des questionnaires qui ciblent les domaines IT et OT - avec des capacités de personnalisation et des flux de travail et de remédiation intégrés pour automatiser tout, de la collecte et de l'analyse de l'enquête à l'évaluation des risques et à l'établissement de rapports.

Si le fournisseur ne peut ou ne veut pas réaliser une évaluation standardisée, vous pouvez utiliser la plateforme Prevalent pour mettre en correspondance les certifications ISO ou les rapports SOC 2 avec le registre central des risques afin de gérer les risques liés à ce fournisseur en même temps que les risques issus des évaluations d'autres fournisseurs.

Avec Prevalent, vous pouvez valider les résultats de l'évaluation grâce à des informations continues sur les menaces cyber . La consolidation de tous les renseignements en un seul endroit optimise vos efforts d'analyse des risques.

Chapitre 3 : Atténuer les risques

Pendant l'utilisation du produit ou du service
Le chapitre 3 des lignes directrices recommande à l'organisation de demander au fournisseur d'atténuer les risques identifiés lors de l'évaluation. L'objectif de l'atténuation des risques devrait être de ramener leur valeur à un niveau acceptable afin de réduire la probabilité et/ou l'impact du risque.

Les lignes directrices précisent que cela peut se faire par le biais d'un appel d'offres ou d'une mise en œuvre contractuelle, mais que les mesures correctives requises constituent également une mise en œuvre post-contractuelle importante. Vous trouverez ci-dessous une sélection de mesures d'atténuation tirées des lignes directrices.

Inclure dans l'appel d'offres un libellé identifiant les risques de sécurité et les mesures d'atténuation que le fournisseur doit prendre pour y faire face.

Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI) dans le cadre des décisions de sélection des fournisseurs. Vous pouvez ainsi sélectionner des fournisseurs sur la base des mesures de sécurité essentielles de cyber .

Inclure dans le contrat des clauses documentant l'engagement du fournisseur à mettre en œuvre des contrôles de sécurité spécifiques, prévoir la possibilité pour l'organisation d'examiner les progrès réalisés par le fournisseur et définir des méthodes de communication future sur ces questions.

Avec Prevalent, vous pouvez centraliser la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. En gérant les contrats d'approvisionnement de cette manière, vous vous assurez que les clauses de sécurité et les mesures d'exécution appropriées sont intégrées dans le contrat.

Définir des mesures correctives spécifiques.

Recommander des mesures correctives aux fournisseurs sur la base des résultats de l'évaluation des risques afin de s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante. Suivre les mesures correctives jusqu'à leur conclusion avec des responsables définis - au sein de votre organisation et de l'organisation de votre fournisseur.

Chapitre 4 : Vérification de l'atténuation des risques

Le chapitre 4 des lignes directrices exige de vérifier que le fournisseur respecte les politiques et les mesures d'atténuation. Les actions possibles sont celles qui figurent dans les lignes suivantes.

Documenter et communiquer au fournisseur l'écart de performance, le service attendu et les conditions contractuelles applicables ou l'engagement documenté.

Prevalent vous permet de personnaliser les enquêtes afin de faciliter la collecte et l'analyse des données nécessaires sur les performances et les contrats dans un registre des risques unique. Vous pouvez également identifier les attributs contractuels clés relatifs aux accords de niveau de service ou à la performance, remplir ces exigences dans une plateforme centrale et assigner des tâches à vous et à votre fournisseur à des fins de suivi.

Communiquer au vendeur que les mesures de performance seront prises en compte dans la notation ou l'évaluation future des nouveaux achats de produits ou de services.

La plateforme Prevalent mesure de manière centralisée les KPI et KRI du fournisseur par rapport à vos exigences en les extrayant automatiquement du contrat du fournisseur.

La plateforme propose également des recommandations de remédiation pour s'assurer que les fournisseurs traitent les risques en temps voulu et de manière satisfaisante.

Évaluer la possibilité de mettre fin à la relation avec le fournisseur.

Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Prevelant vous fournit des enquêtes et des flux de travail personnalisables pour rendre compte de l'accès au système, de la destruction des données, de la gestion de l'accès, de la conformité avec les lois pertinentes, des paiements finaux, et bien plus encore.

Chapitre 5 : Achat, résiliation et transition

Le chapitre 5 de la ligne directrice passe en revue les procédures requises pour mettre fin à une relation avec un fournisseur, y compris celles figurant dans les lignes ci-dessous.

Identifier et atténuer les risques associés à la résiliation ou à la transition (par exemple, détention d'informations sensibles).

-

Dresser l'inventaire des informations sensibles que le fournisseur détient sur les systèmes et réseaux de l'organisation et exiger de lui qu'il atteste que toutes les informations ont été supprimées.

Prevalent vous permet de :

• Automatisez l'évaluation des contrats et les procédures d'abandon pour réduire le risque d'exposition post-contractuelle de votre organisation.

• Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement.

• Exploitez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes, les paiements finaux, etc.

• Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Tirez parti de l'analyse automatique intégrée des documents basée sur le traitement du langage naturel et l'apprentissage automatique d'AWS pour confirmer que les critères clés sont pris en compte.

• Prenez des mesures concrètes pour réduire le risque lié aux fournisseurs grâce à des recommandations et des conseils intégrés en matière de remédiation.

• Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations avec n'importe quel règlement ou cadre.