Conformité à la ligne directrice B-13 du BSIF du Canada

Prevalent collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de TPRM dans le contexte de votre approche globale de la gestion des risques, pour sélectionner des questionnaires et des cadres d'évaluation des risques et pour optimiser votre programme afin de prendre en compte l'ensemble du cycle de vie des risques liés aux tiers, depuis le sourcing et la diligence raisonnable jusqu'à la résiliation et l'abandon des activités.

Dans le cadre de ce processus, Prevalent vous aide à définir :

• Rôles et responsabilités clairement définis (par exemple, RACI).
• Inventaires de tiers.
• Une évaluation des risques et des seuils basés sur la tolérance au risque de votre organisation.
• Méthodes d'évaluation et de contrôle basées sur la criticité des tiers.
• Cartographie de la quatrième partie pour comprendre les risques dans l'écosystème étendu des fournisseurs.
• Sources de données de contrôle continu (cyber, business, réputation, finances).
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI).
• Politiques, normes, systèmes et processus régissant la protection des données.
• les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service.
• Exigences en matière de réponse aux incidents.
• Rapports sur les risques et les parties prenantes internes.
• Stratégies d'atténuation des risques et de remédiation.

La plate-forme Prevalent TPRM dispose d'une vaste bibliothèque d'évaluations des risques spécifiques au cadre - telles que ISO, NIST ou autres. L'utilisation d'évaluations de risques prédéfinies et spécifiques à un cadre simplifie le mappage des contrôles et l'établissement de rapports. Le cadre choisi doit s'aligner sur les exigences de l'entreprise en matière de gestion des risques.

Dans le cadre du processus de diligence raisonnable, Prevalent peut aider votre équipe à analyser les nomenclatures logicielles (SBOM) des produits logiciels tiers. Cela vous aidera à identifier les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation.

Prevalent suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Dans ce cadre, Prevalent surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que des sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Les sources de surveillance comprennent :

• Les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces et les sites de collage d'informations d'identification fuitées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde.

Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse.

Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle doit encadrer les risques dans une matrice, afin que vous puissiez facilement voir les risques ayant le plus d'impact et que vous puissiez prioriser les efforts de remédiation sur ceux-ci.

Enfin, avec Prevalent , vous pouvez désigner des responsables et suivre les risques et les mesures correctives jusqu'à un niveau acceptable pour l'entreprise.

Avec Prevalent , vous pouvez évaluer en permanence l'efficacité de votre programme TPRM en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurant les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurs tiers tout au long du cycle de vie de la relation.

La plateforme Prevalent TPRM propose une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.
Les évaluations doivent être gérées de manière centralisée et s'appuyer sur des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. Toutes les données de surveillance doivent être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse.

Dans le cadre de votre stratégie globale de gestion des incidents, Prevalent s'assure que votre programme de réponse aux incidents de tiers permet à votre équipe d'identifier rapidement les incidents de sécurité des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact.

Les capacités clés d'un service de réponse aux incidents d'une tierce partie sont les suivantes :

• Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables.
• Suivi en temps réel de l'état d'avancement du questionnaire.
• Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
• Rapports proactifs sur les fournisseurs.
• Des vues consolidées des évaluations des risques, des décomptes, des scores et des réponses marquées pour chaque fournisseur.
• Des règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
• Modèles de rapports intégrés pour les parties prenantes internes et externes.
• Orientations des recommandations intégrées de remédiation pour réduire les risques.
• Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

En outre, Prevalent exploite des bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des fournisseurs en cas de violation de données.

Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact éventuel sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel aux experts de Prevalent .