L’atténuation des risques liés aux tiers nécessite une approche collaborative et approfondie

COMMENTAIRE

Atténuer les risques liés aux tiers peut sembler intimidant si l’on considère la multitude de réglementations à venir couplées aux tactiques de plus en plus avancées des cybercriminels. Cependant, la plupart des organisations disposent de plus d’autonomie et de flexibilité qu’elles ne le pensent. La gestion des risques liés aux tiers peut s'appuyer sur les pratiques de gouvernance des risques et les contrôles de sécurité existants actuellement mis en œuvre dans l'entreprise. Ce qui est rassurant avec ce modèle, c'est qu'il signifie que les organisations n'ont pas besoin d'abandonner complètement leur protection existante pour réussir à atténuer les risques liés aux tiers, ce qui encourage une culture d'amélioration progressive et continue. 

Le risque tiers présente un défi unique pour les organisations. En apparence, un tiers peut paraître digne de confiance. Mais sans une transparence totale sur le fonctionnement interne de ce fournisseur tiers, comment une organisation peut-elle garantir que les données qui lui sont confiées sont sécurisées ?

Souvent, les organisations minimisent cette question pressante, en raison des relations de longue date qu’elles entretiennent avec leurs fournisseurs tiers. Parce qu'ils travaillent avec un fournisseur tiers depuis 15 ans, ils ne verront aucune raison de mettre leur relation en péril en demandant à « regarder sous le capot ». Cependant, cette façon de penser est dangereuse : un cyberincident peut survenir au moment et à l'endroit où on s'y attend le moins.

Un paysage changeant

Lorsqu’une violation de données survient, non seulement l’organisation peut être condamnée à une amende en tant qu’entité, mais des conséquences personnelles peuvent également être imposées. L'année dernière, la FDIC a renforcé ses directives sur le risque de tiers, ouvrant la voie à d’autres industries pour emboîter le pas. Avec l’émergence de nouvelles technologies telles que l’intelligence artificielle, les conséquences d’une mauvaise gestion des données par un tiers peuvent être désastreuses. Les réglementations à venir refléteront ces graves conséquences en imposant des sanctions sévères à ceux qui n'ont pas mis en place des contrôles stricts.

Outre les nouvelles réglementations, l’émergence de fournisseurs quatrièmes, voire cinquièmes, devrait inciter les organisations à sécuriser leurs données externes. Les logiciels ne sont plus une pratique interne aussi simple qu'il y a 10 ans : aujourd'hui, les données passent entre de nombreuses mains, et à chaque maillon ajouté à la chaîne de données, les menaces à la sécurité augmentent tandis que la surveillance devient plus difficile. Par exemple, faire preuve de diligence raisonnable auprès d’un fournisseur tiers ne présente que peu d’avantages si le tiers sélectionné sous-traite les données de clients privés à un tiers négligent et que l’organisation n’en est pas consciente.

Cinq étapes simples prêtes à l'emploi

Avec la bonne feuille de route, les organisations peut atténuer avec succès le risque de tiers. Mieux encore, des investissements technologiques coûteux et disruptifs ne sont pas toujours nécessaires. Pour commencer, ce dont les organisations ont besoin lorsqu’elles effectuent une diligence raisonnable est un plan sensé, un personnel compétent prêt à adhérer et une communication accrue entre les équipes informatiques, de sécurité et commerciales.

La première étape consiste à bien comprendre le paysage des fournisseurs. Même si cela peut paraître évident, de nombreuses organisations, notamment les grandes entreprises disposant de budgets pour externaliser, négligent cette étape cruciale. Même si l’établissement hâtif d’une relation avec un fournisseur tiers peut permettre d’économiser de l’argent à court terme, toutes ces économies seront effacées en cas de violation de données et l’organisation s’expose à de lourdes amendes.

Après avoir étudié le paysage des fournisseurs, les organisations doivent déterminer quels rôles tiers sont « critiques » : ces rôles peuvent être critiques sur le plan opérationnel ou traiter des données sensibles. En fonction de leur criticité, les fournisseurs doivent être regroupés par niveaux, ce qui permet une certaine flexibilité dans la manière dont l'organisation évalue, examine et gère le fournisseur.

Trier les fournisseurs selon leur criticité peut mettre en lumière la dépendance excessive que les organisations pourraient avoir envers leurs fournisseurs tiers. Ces organisations doivent se demander : si cette relation devait soudainement cesser, avons-nous un plan de secours ? Comment pourrions-nous remplacer cette fonction tout en poursuivant de manière transparente les opérations quotidiennes ?

La troisième étape consiste à élaborer un plan de gouvernance. Il doit y avoir une synergie entre les trois branches principales d'une organisation pour effectuer efficacement la diligence raisonnable et gérer les risques : l'équipe de sécurité met en lumière les failles du programme de sécurité du fournisseur, l'équipe juridique détermine le risque juridique et l'équipe commerciale prédit les conséquences négatives en cascade. effet sur les opérations si les données ou les opérations sont compromises. La clé pour créer une gouvernance solide est d’adapter le plan aux besoins uniques d’une organisation. Cela s’applique particulièrement aux organisations des secteurs moins réglementés.

L’étape de gouvernance intègre la rédaction des obligations contractuelles. Par exemple, dans le domaine du cloud computing, les chefs d'entreprise se précipitent souvent par erreur pour signer un contrat sans comprendre que certaines mesures de sécurité peuvent ou non être incluses dans le package de base. Les obligations contractuelles dépendent souvent du secteur d'activité, mais une clause de sécurité standardisée devrait également être élaborée. Par exemple, si nous évaluons une entreprise de livraison, l'accent peut être moins mis sur le processus de cycle de vie de développement logiciel (SDLC) d'un fournisseur et davantage sur ses mesures de résilience. Cependant, si nous évaluons un éditeur de logiciels, nous souhaitons nous concentrer sur les processus SDLC du fournisseur, tels que la façon dont le code est examiné et à quoi ressemblent les garanties nécessaires pour le mettre en production. 

Enfin, les organisations doivent développer une stratégie de sortie. Comment une organisation peut-elle se séparer proprement d'un tiers tout en garantissant que les données de ses clients sont nettoyées ? Il y a eu des cas où une entreprise rompt ses liens avec un fournisseur pour ensuite recevoir un appel des années plus tard l'informant que son ancien partenaire avait subi une compromission de données et que les données de ses clients avaient été exposées, même si elle supposait que ces données avaient été effacées. Moralité de l'histoire : ne présumez pas. Outre une violation accidentelle de données, il existe également la possibilité que des fournisseurs tiers utilisent les données d'un ancien partenaire à des fins de développement interne, par exemple pour créer des modèles d'apprentissage automatique. Les organisations doivent éviter cela en indiquant dans des termes clairs, spécifiques et juridiquement contraignants comment les fournisseurs effaceront les données en cas de fin du partenariat, et quelles seront les conséquences s'ils ne le font pas.

Créer une culture de responsabilité partagée et d’amélioration continue 

Adopter une approche d'équipe pour effectuer la diligence raisonnable signifie que le responsable de la sécurité de l'information (RSSI) n'a pas à assumer entièrement la responsabilité de réduire les risques liés à un fournisseur tiers. Le Accusations de la SEC contre SolarWinds créer un précédent inquiétant : un RSSI peut prendre la chute, même si le problème provient d'un dysfonctionnement à l'échelle de l'organisation. Si les équipes informatiques et commerciales aident le RSSI à contrôler les fournisseurs tiers, cela ouvre la voie à de futures collaborations entre équipes, renforce l'adhésion de l'organisation et produit de meilleurs résultats en matière de sécurité.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/cyber-risk/mitigating-third-party-risk-requires-collaborative-approach