Plus de la moitié des fuites de données impliquent un acteur externe. À l’heure actuelle, la grande majorité des processus métiers passent par des services IT tiers. L’adoption d’une approche basée sur le risque atténue l’impact des scénarios de risque potentiels associés à vos ressources numériques critiques exposées à des tiers. La gestion des risques liés aux tiers mise en œuvre grâce à la CRQ vous aide à identifier et à quantifier rapidement vos principaux risques en termes financiers de sorte à déployer les bonnes ressources et à implémenter les meilleurs dispositifs de contrôle.
Les entreprises s’appuient aujourd’hui sur de vastes écosystèmes de partenaires externes pour étendre leurs capacités tout en restant agiles. Un seul incident de sécurité IT dans cet écosystème peut rapidement se propager et entraîner de lourdes pertes financières pour votre entreprise.
Toutes les grandes normes de sécurité, bonnes pratiques et réglementations IT imposent la gestion des risques liés aux tiers, notamment les textes ISO 27001, CIS Controls v8, NIST CSF, GDPR, CCPA. Autre aspect stratégique : vous devez être capable de prouver à vos clients que vous êtes un partenaire fiable, et que vous disposez des dispositifs de contrôle et de cyber hygiène adaptés.
Malgré l’importance d’un programme efficace de gestion des risques liés aux tiers, de nombreuses entreprises et la majorité des entreprises de moyenne taille peinent à en mettre un en place. Elles ont du mal à déployer un processus de collaboration efficace et évolutif qui tienne compte à la fois de leurs nombreux services internes et de l’ensemble des partenaires externes.
Les services externes accélèrent la mise sur le marché, fournissent une expertise technique, développent vos outils et vos capacités internes. La principale difficulté consiste à élaborer un processus sûr et évolutif pour identifier, mesurer et gérer le risque externe, tout en fournissant des perspectives exploitables, en atténuant le risque et en favorisant la collaboration avec les partenaires internes et externes.
En matière de cybersécurité, la gestion des risques liés au tiers (TPRM) vise davantage à prévenir les dommages qu’à y remédier. Dans cette optique, il convient en priorité de centraliser les opérations de gestion et d’assurer la supervision continue des réseaux et des processus IT tiers.
Avant que nous puissions cadrer les scénarios de risque liés aux tiers, il est nécessaire de procéder à l’inventaire de vos partenaires externes. On retrouve parmi ces partenaires les fournisseurs, les consultants, les services de cloud, les experts partenaires et vos clients.
Notre approche de la quantification des risques cyber, basée sur le risque, permet de prendre la mesure des dispositifs de contrôle que vous et vos partenaires externes avez mis en place, afin de garantir que vos ressources numériques sont protégées partout où elles sont hébergées.
Vous vous posez des questions sur vos services de cloud computing existants ? Vous envisagez peut-être de migrer des services critiques vers le cloud ? Il est vrai que le cloud computing offre des avantages non négligeables, qu’il s’agisse de l’accélération de la mise sur le marché ou de l’évolutivité des services. Grâce à la CRQ, nous identifions et quantifions les scénarios de risque de vos ressources numériques critiques (informations à caractère personnel ou informations de santé protégées, par exemple). Vous pouvez ainsi effectuer des investissements et mettre en œuvre des dispositifs de contrôle qui améliorent simultanément votre posture de cybersécurité et votre cyberrésilience.
Pour bien informer votre stratégie de cybersécurité, employez une méthode basée sur le risque pour faire l’inventaire de vos partenaires externes, des ressources numériques critiques qu’ils traitent et auxquelles ils ont accès. Dans un deuxième temps, vous pourrez cadrer les scénarios de risques associés à ces tiers. Une fois vos principaux risques externes catalogués et cadrés, vous serez en mesure de gérer plus rapidement les problèmes liés aux tiers ou d’implémenter des contrôles supplémentaires, le cas échéant.
Le risque lié à la conformité réglementaire des tiers ne doit jamais être négligé, surtout lorsque vous traitez des informations de santé protégées. En cas de compromission d’un tiers ou d’une mauvaise gestion des informations à caractère personnel/informations de santé protégées par des tiers, votre responsabilité peut être engagée. Vous encourez alors de graves pénalités, qu’il s’agisse d’amendes ou de dommages en termes de réputation. Il est non seulement obligatoire de s’assurer que les partenaires externes respectent strictement les lois sur la protection des données, comme HIPAA ou le RGPD, mais cette démarche est également critique en matière de gestion du risque.
Prenez rendez-vous avec l’un de nos experts des risques liés aux tiers pour savoir comment améliorer votre programme existant ou comment lancer un programme de gestion des risques cyber liés aux tiers.
En mettant en œuvre une approche CRQ et en s'appuyant sur les conseils du 2023 NACD Director's Handbook on Cyber-Risk Oversight, les conseils d'administration peuvent répondre aux exigences de conformité des réglementations en constante évolution.
Définissez une politique relative aux tiers applicable à vos partenaires internes et externes critiques, et développez un processus qui aligne l’ensemble de vos exigences de sécurité.
Répertoriez l’ensemble des tiers qui collectent, stockent, ont accès à ou traitent de quelque manière que ce soit vos ressources numériques critiques ou vos processus métiers.
Utilisez la quantification des risques cyber pour identifier et quantifier les principaux scénarios de risque auxquels vos services tiers vous exposent.
Demandez à tous les tiers qu’ils prouvent l’existence de certains contrôles et qu’ils fournissent des certifications standards.
Faites appel à des auditeurs externes afin de vérifier et valider en toute indépendance les contrôles et la conformité de vos fournisseurs tiers.
Nous sommes spécialisés dans l’identification, la mesure et la quantification en termes financiers des risques cyber potentiels liés à vos relations externes. Dans ce cadre, nous nous assurons que votre entreprise a non seulement conscience de ces risques, mais qu’elle y est préparée en vous fournissant des perspectives basées sur le risque. Développée à partir de la méthodologie FAIR, notre approche CRQ vous permet de comprendre l'impact financier de chaque risque, d'établir des priorités et d'allouer des ressources de manière efficace, afin de garantir une sécurité et une conformité accrues dans un écosystème numérique complexe.
Nous vous répondrons avec plaisir.
Vos partenaires externes peuvent avoir accès à des données, systèmes ou réseaux sensibles appartenant à votre entreprise. Si leur posture de sécurité n’est pas suffisamment robuste, ils vous exposent de façon indirecte à des failles de sécurité : • Attaques contre la supply chain
• Risque de non-conformité
• Compromission du réseau
Dans une économie numérique, le risque cyber est aujourd’hui l’un des trois principaux risques opérationnels qui pèsent sur les entreprises. L’entreprise élargie, modèle basé sur les tiers, s’appuie de plus en plus sur un vaste écosystème de services IT et de cloud externalisés, qui sont essentiels au bon fonctionnement des opérations. Les ransomwares représentaient 27 % des attaques liées aux tiers en 2021.
• Identifiez vos partenaires externes stratégiques, en vous concentrant sur les acteurs qui interagissent directement avec vos systèmes d’information.
• Réalisez une analyse CRQ des scénarios de risque cyber afin d’identifier les risques les plus probables et les plus coûteux.
• Assurez-vous que des contrôles sont en place pour réduire la probabilité ou la magnitude d’un sinistre lié à un tiers, en vous basant sur l’analyse CRQ.
• Supervisez les tiers de manière continue.
C-Risk est un expert reconnu dans la quantification des risques cyber selon la méthodologie FAIR™. Nos services incluent CRQaaS, des services de conseil et la formation en CRQ.
