La plupart des processus métiers intègre des services IT, des logiciels, une connectivité réseau ou encore un partage de données avec un tiers. Les entreprises ont pris l’habitude de se reposer sur un vaste écosystème de sociétés tierces (fournisseurs, sous-traitants, distributeurs, revendeurs, partenaires, …) pour étendre leurs compétences et capacités tout en restant agiles.
Un incident de sécurité informatique dans cet écosystème peut rapidement se propager et causer des pertes financières pour votre organisation.
Le fait que plus de la moitié des fuites de données impliquent un tiers l’illustre bien d’ailleurs.
Tous les standards de sécurité de l’information, les meilleures pratiques et les règlementations requièrent une bonne gestion des risques cyber dû aux tiers. ISO27001, CIS Controls v8, NIST CSF, GDPR, CCPA, et les autorités financières régionales constituent une liste non-exhaustive.
Un autre aspect clé du risque lié aux tiers est de pouvoir démontrer à vos clients que vous avez mis en place une hygiène cyber et des contrôles adéquats, et que vous êtes un élément fiable dans leur chaine de valeur.
En dépit de l’importance d’un programme de gestion des risques cyber liés aux tiers, beaucoup d’organisations et la majorité des entreprises de taille intermédiaire peinent à traiter correctement de ce sujet. La difficulté tient à la nécessité de collaborer avec des interlocuteurs internes et externes très nombreux sur un processus qui doit pouvoir monter rapidement en charge selon votre nombre de partenaires tiers.
C-Risk fournit une suite modulaire de solutions de gestion des risques tiers. D’après notre expérience, pour être performant un programme doit comporter quatre étapes :
La gestion des risques de la chaine d’approvisionnement ne peut pas être le fait d’une solution universelle. Nous prenons le temps avec chacun de nos clients d’identifier la manière optimale de gérer la spécificité de leur activité et de leurs tiers.
Nous utilisons la bibliothèque de connaissance de C-Risk, basée sur le standard FAIR™, qui rassemble les scénarios de risques cyber liés au tiers, ainsi que les contrôles correspondants afin de rendre les étapes 2 et 3 optimales.
Nous utilisons également plusieurs outils automatisés pour suivre l’inventaire des tiers, réutiliser les évaluations ou certifications existantes des tierces parties et fournir une surveillance continue des tiers.
Que vous soyez aux achats, au service juridique, à la sécurité de l’information, dans une fonction de gestion des risques opérationnels ou encore le département informatique, prenez rendez-vous avec un de nos experts de gestion des risques cyber liés aux tiers afin de discuter comment améliorer votre programme existant ou initier un projet de gestion des risques tiers.
Nos solutions :
