Pourquoi la gestion des fournisseurs doit être une pierre angulaire de la cybersécurité

0
13

Lorsqu'il s'agit de créer un programme de sécurité, l'un des domaines les plus souvent négligés est celui de la gestion des fournisseurs. Les organisations peuvent concentrer des ressources importantes sur la sécurité interne, telles que les analyses de vulnérabilité, la gestion centralisée des journaux ou la formation des utilisateurs, sans pour autant étendre la même diligence à leurs tiers. Par conséquent, les organisations finissent par faire confiance à la sécurité de leur réseau et de leurs données à un tiers inconnu et non testé.

A propos de l'auteur

Zachary Curley, consultant chez AT&T Cybersecurity.

Si une organisation ne peut pas vérifier la sécurité de ses tiers, elle a alors introduit le potentiel de risque et réduit l'intégrité de son système. Parce qu’une chaîne n’est aussi solide que son maillon le plus faible, il est essentiel de réaliser que même si la cause d’une violation est due à un tiers, c’est toujours le nom et la marque de votre entreprise qui sont menacés. De plus, d'autres coûts potentiels associés à une violation de données peuvent inclure des amendes, une perte de confiance, une perte de données et des dommages à la marque.

Risques posés par une mauvaise gestion des fournisseurs

Certaines organisations peuvent se demander «quels dommages les vendeurs pourraient-ils vraiment faire?» La réponse à cette question variera en fonction de l'accès, du contrôle et des données qui leur sont fournis. Par exemple, si le traiteur de bureau a été violé, le risque global pour l'organisation est facilement contenu en annulant simplement la carte qui leur a été offerte.

D'un autre côté, s'il s'agissait d'un tiers comptable ou d'un avocat, l'organisation pourrait subir beaucoup plus de dommages. Dans cet exemple, l'organisation pourrait libérer des données hautement privées et potentiellement précieuses dans des systèmes inconnus, avec des contrôles inconnus et des utilisateurs inconnus. Cette ligne de pensée peut s'appliquer à n'importe quelle organisation et à n'importe quel fournisseur, indépendamment de la taille ou de l'industrie, et peut les aider à identifier où concentrer leurs efforts.

Tout fournisseur qui a accès à des systèmes ou à des données représente par nature un risque pour l'entreprise. Chaque menace ou vulnérabilité rencontrée proviendra également des fournisseurs. La question devient alors dans quelle mesure l'organisation est-elle sûre que le fournisseur prend ces menaces au sérieux? Ou les connaissent-ils même?

Étapes pour réduire le risque fournisseur

Toute organisation peut prendre quelques mesures pour développer une position plus solide sur la gestion des fournisseurs. Il faut noter que pour bâtir un programme vraiment efficace et mature, les organisations doivent être prêtes à consacrer du temps et des ressources pour le faire correctement.

Un programme de gestion des fournisseurs doit avoir, au minimum, les composants suivants:

Politique

Une politique de gestion des fournisseurs doit couvrir l'objectif de l'évaluation des fournisseurs, des responsabilités du personnel, des canaux de communication et des autres éléments essentiels du programme global.

Procédures

Parallèlement à la politique, l'organisation aura besoin de plusieurs procédures définies pour mettre en œuvre et gérer efficacement le programme de gestion des fournisseurs. Ces procédures peuvent comprendre:

Plans d'évaluation / flux de travail

La définition des critères selon lesquels les fournisseurs seront évalués est la première procédure à élaborer. Cela guide le personnel lorsqu'il s'agit de demander des documents aux fournisseurs et de couvrir les sujets appropriés. Les flux de travail doivent également être développés pour créer un processus robuste et reproductible qui peut être amélioré et mûri.

Gestion de la documentation

Cette procédure doit définir les exigences relatives à la collecte de documentation et fournir des conseils sur la manière de collecter et de stocker les informations nécessaires. La gestion des documents est essentielle pour un programme à long terme, surtout quand vient le temps d'une réévaluation.

Exigences en matière de preuves

La description des formes acceptables de preuves pouvant être présentées pour attester de la sécurité rationalisera et accélérera le processus d'examen des fournisseurs. Les exigences spécifiques peuvent varier selon la taille et le type de fournisseur, mais peuvent inclure des éléments tels que les rapports d'audit, les tests de pénétration expurgés, les certifications ou les politiques.

Les procédures ou processus ci-dessus qui sont créés doivent être adaptés à la taille et à la portée du programme et doivent correspondre aux opérations générales de l'organisation.

Classements

Pour garantir que les ressources sont utilisées efficacement, les organisations doivent proposer un système de classement pour classer les fournisseurs. Bien qu’il n’existe pas de «bonne» réponse au classement des fournisseurs, voici quelques mesures à utiliser pour déterminer de manière critique:

  • Sensibilité des données reçues
  • Volume de données reçues
  • Importance du service qu'ils fournissent

Ceux-ci peuvent être utilisés seuls ou combinés pour former un système de classement plus robuste. Il existe d'autres façons de classer les fournisseurs et de choisir les mesures qui correspondent le mieux à l'organisation.

Points d'escalade

Dans le cadre des politiques et procédures soutenant ce programme, il devrait y avoir un personnel défini qui sert de points d'escalade pour tout problème ou problème de sécurité. Ces employés devraient être des membres supérieurs de l'organisation ou des personnes habilitées à prendre des décisions. Il s'agit d'un élément nécessaire de tout programme car, malheureusement, tous les fournisseurs ne seront pas disposés à combler les lacunes, ou même à subir une évaluation. Dans ces cas, il appartient aux membres du personnel affectés de déterminer la meilleure ligne de conduite.

Exigences du contrat

Assurez-vous d'avoir des contrats standardisés avec les fournisseurs qui incluent des éléments tels que les accords de niveau de service (SLA) pour garantir que les fournisseurs sont réellement obligés de fournir les services qui leur sont achetés. Sans SLA, les organisations ont peu de recours si le fournisseur subit des pannes à long terme ou ne parvient pas à fournir le ou les services promis.

En interne, ces exigences doivent être contrôlées par des équipes ou des employés spécifiques qui travaillent régulièrement avec ces fournisseurs. Le personnel utilisant le système ou travaillant avec le fournisseur sera le meilleur endroit pour constater des anomalies ou des manquements contractuels.

Conclusion

La gestion des fournisseurs est une tâche complexe et chronophage que de nombreuses organisations ne font pas et – dans de nombreux cas – ne peuvent pas consacrer le temps et les ressources à la gestion. Mais il ne faut pas le sous-estimer comme pierre angulaire de toute initiative de cybersécurité. Pour les entreprises avec un petit nombre de fournisseurs, cela peut être gérable, mais la plupart des organisations auront besoin d'une assistance supplémentaire pour créer et mettre en œuvre efficacement un programme de gestion des fournisseurs. En consacrant des ressources à l'élaboration d'un programme, les organisations peuvent commencer à comprendre et à travailler pour éliminer les menaces posées par leurs tiers.

  • Besoin de protéger votre entreprise en ligne? Nous proposons la meilleure sécurité des terminaux.

Les offres de produits Hi-tech en rapport avec cet article

Laisser un commentaire