Depuis 2021, 82 % des organisations ont subi une ou plusieurs violations de données par des tiers, coûtant en moyenne 7,5 millions de dollars pour y remédier. Compte tenu de ce risque, 80 % des organisations estiment qu'il est essentiel d'évaluer correctement les fournisseurs tiers. Cependant, 60 % des organisations estiment qu'elles sont seulement quelque peu ou pas du tout efficaces dans l'évaluation des tiers.

À mesure que les organisations deviennent de plus en plus dépendantes des prestataires de services externes pour les processus et opérations clés, il est vital de s'assurer que ces partenaires adhèrent à des normes de sécurité et de conformité strictes. C'est ici qu'interviennent les questionnaires de collecte d'informations standardisées (SIG).

Dans cet article, vous apprendrez tout ce que vous devez savoir pour commencer avec le questionnaire de collecte d'informations standardisé (SIG), y compris ses types, ses avantages et inconvénients, comment les utiliser pour gérer le risque de tiers, et des conseils pour automatiser ces longs questionnaires.

Qu'est-ce que le questionnaire de collecte d'informations standardisé de Shared Assessments (SIG) ?

Le questionnaire SIG est l'abréviation de questionnaire de collecte d'informations standardisé.

Le SIG a été développé par Shared Assessments, une organisation membre dédiée à la standardisation et à la simplification du processus d' évaluation des risques des fournisseurs dans tous les secteurs. Leur objectif est de fournir des outils que les organisations peuvent utiliser pour gérer plus efficacement les risques liés à l'externalisation.

Le questionnaire SIG est disponible pour les abonnés payants et les membres actuels de Shared Assessments. Il est mis à jour annuellement pour prendre en compte de nouvelles normes industrielles et les changements dans le paysage de la cybersécurité.

Les questionnaires SIG sont couramment utilisés pour :

1. Évaluation des fournisseurs : Les questionnaires SIG sont utilisés pour évaluer les contrôles de risque des prestataires de services tiers. L'utilisation d'un questionnaire standardisé comme le SIG aide les organisations à couvrir tous les domaines de risque pertinents.
2. Auto-évaluations : Les organisations peuvent utiliser le SIG pour évaluer leurs propres contrôles internes de cybersécurité et de gestion des risques.
3. Base pour des questionnaires personnalisés : Certaines organisations peuvent utiliser le SIG comme point de départ puis le personnaliser pour répondre à leurs besoins spécifiques et risques de sécurité.

Questionnaire SIG Core vs SIG Lite

Il existe deux versions du questionnaire SIG en fonction du niveau d'évaluation nécessaire : le SIG Core et le SIG Lite. Les principales différences résident dans leur longueur et la profondeur des informations qu'ils couvrent.

SIG Core :

• Profondeur et Détail : Le SIG Core est un questionnaire complet, couvrant généralement une bibliothèque de 19 domaines de risque. Il est conçu pour des évaluations approfondies sur des sujets liés à la sécurité de l'information, la cybersécurité, la confidentialité, la continuité des activités et d'autres domaines de risque opérationnel.
• Cas d'utilisation : Idéal pour des évaluations détaillées, surtout pour les fournisseurs à haut risque ou ceux manipulant des données sensibles ou des opérations critiques.
• Longueur : Étant donné qu'il est plus complet, le SIG Core est bien plus long que le SIG Lite (plus de 850 questions). Il explore les détails des processus internes et des contrôles de sécurité du fournisseur.

SIG Lite :

• Simplicité et Efficacité : Le SIG Lite est une version plus courte et plus simplifiée du questionnaire de diligence raisonnable. Il se concentre sur les principaux domaines de risque et est conçu pour des évaluations plus rapides et plus générales.
• Cas d'utilisation : Convient pour des évaluations de fournisseurs à faible risque ou pour des pré-évaluations. Il est également utilisé lorsque qu'une évaluation complète SIG Core n'est pas nécessaire ou pratique en raison de contraintes de temps ou de ressources.
• Longueur : Avec environ 125 questions, le SIG Lite est plus court et moins chronophage à compléter, tant pour l'organisation réalisant l'évaluation que pour le fournisseur y répondant.

Le choix entre le SIG Core et le SIG Lite dépend généralement du profil de risque spécifique du fournisseur évalué et de la profondeur des informations requises par l'organisation évaluatrice. Le SIG Core est idéal pour les relations critiques ou à haut risque avec les fournisseurs, tandis que le SIG Lite est plus approprié pour les premières évaluations ou les scénarios à moindre risque.

5 avantages des questionnaires SIG pour les évaluations des risques fournisseurs

Il existe une grande variété de questionnaires de sécurité standardisés disponibles pour les évaluations des risques des tiers.

Types de questionnaires de sécurité

Alors, pourquoi une organisation choisirait-elle le questionnaire SIG plutôt que d'autres alternatives ?

Analysons les avantages et les inconvénients du SIG.

1. Les questionnaires SIG sont alignés sur les exigences de conformité

L'organisation Shared Assessments met à jour le questionnaire SIG chaque année pour refléter les exigences de conformité mises à jour pour une grande variété de normes réglementaires, de sécurité et industrielles. Celles-ci incluent :

• ISO 27001 et ISO 27002
• ISO/IEC 27701
• NIST 800-53
• NIST Cyber Security Framework
• NIST Privacy Framework
• EU GDPR
• Programme fédéral de gestion des risques et des autorisations (FedRAMP)
• CSA CAIQ
• CSA Cloud Controls Matrix
• ISA 62443-4-1 et 4-2
• NERC Critical Infrastructure Protection (CIP)
• PCI DSS

(Vous pouvez trouver une liste complète des cadres mappés sur le site de Shared Assessments.)

En s'alignant sur les cadres de conformité, le questionnaire SIG permet aux organisations d'évaluer la conformité à plusieurs normes et réglementations à l'aide d'un seul outil. Cela élimine le besoin de multiples évaluations distinctes, économisant du temps et des ressources tant pour l'organisation évaluatrice que pour les fournisseurs ou les tiers évalués. De même, les fournisseurs tiers qui complètent le questionnaire SIG peuvent démontrer leur conformité à plusieurs cadres grâce à une seule évaluation de sécurité.

À mesure que les réglementations et les normes industrielles évoluent, un outil comme l'évaluation SIG, qui est mis à jour régulièrement et s'aligne sur plusieurs cadres, peut garantir que le programme de gestion des risques fournisseurs d'une organisation reste pertinent avec les meilleures pratiques actuelles en matière de conformité et de sécurité.

2. Les questionnaires SIG offrent une évaluation complète des risques fournisseurs

La nature détaillée du SIG permet aux organisations de réaliser une évaluation approfondie des pratiques de sécurité, de confidentialité et de conformité de leurs fournisseurs. Cela aide à identifier les vulnérabilités potentielles et les lacunes qui pourraient ne pas être évidentes avec un outil d'évaluation moins complet.

Le questionnaire SIG Core couvre 19 domaines de risque :

1. Contrôle d'accès
2. Sécurité des applications
3. Gestion des actifs et des informations
4. Services d'hébergement en nuage
5. Gestion de la conformité
6. Gestion des incidents de cybersécurité
7. Sécurité des points d'extrémité
8. Gestion des risques d'entreprise
9. Environnement, Social, Gouvernance (ESG)
10. Sécurité des ressources humaines
11. Assurance de l'information
12. Gestion des opérations informatiques
13. Sécurité du réseau
14. Gestion du nième parti
15. Résilience opérationnelle
16. Sécurité physique et environnementale
17. Gestion de la confidentialité
18. Sécurité des serveurs
19. Gestion des menaces

Les informations détaillées obtenues grâce à un questionnaire complet tel que le SIG permettent aux organisations de mieux gérer leurs relations avec les fournisseurs. En comprenant en profondeur les pratiques des fournisseurs, les organisations peuvent avoir des discussions plus informées et mener des efforts de gestion des risques collaboratifs. Et comme les organisations sont de plus en plus tenues responsables des pratiques de leurs tiers, en particulier en matière de sécurité des données et de confidentialité, une évaluation SIG approfondie peut démontrer une diligence raisonnable, réduisant potentiellement la responsabilité en cas de violation de la sécurité du fournisseur ou de problème de conformité.

3. Les questionnaires SIG sont standardisés

La standardisation signifie que tous les fournisseurs sont évalués selon les mêmes critères, ce qui conduit à des évaluations plus justes et plus cohérentes. Cela permet de gagner du temps pour les organisations évaluatrices et les fournisseurs, car les organisations n'ont pas besoin de développer des questionnaires uniques pour chaque fournisseur ou industrie. De même, les fournisseurs deviennent familiers avec le format du questionnaire, ce qui signifie qu'ils peuvent utiliser les mêmes réponses pour plusieurs clients et simplifier leur processus de réponse.

L'adoption d'un questionnaire standardisé favorise également la mise en œuvre de meilleures pratiques dans différentes industries, encourageant les fournisseurs à élever leurs normes pour répondre à une référence largement reconnue. Et pour les petits fournisseurs ou ceux qui sont nouveaux sur certains marchés, le SIG peut les aider à comprendre et à mettre en œuvre une gamme de meilleures pratiques en matière de sécurité et de conformité.

4. Les questionnaires SIG sont fréquemment mis à jour

Les menaces à la cybersécurité et les paysages technologiques évoluent constamment, tout comme les réglementations et les normes de sécurité auxquelles les organisations doivent se conformer. Les mises à jour annuelles garantissent que le questionnaire reste pertinent et efficace pour évaluer les risques actuels et émergents.

En outre, les mises à jour régulières permettent de prendre en compte les retours d'information (tant des organisations utilisant le SIG que des fournisseurs y répondant), ce qui rend le questionnaire plus efficace et convivial.

Au fur et à mesure que les meilleures pratiques en matière de gestion des risques, de cybersécurité et de protection des données évoluent, le SIG peut être mis à jour pour refléter ces meilleures pratiques de l'industrie, garantissant que les organisations évaluent toujours leurs fournisseurs selon les normes les plus élevées.

5. Les questionnaires SIG sont personnalisables

Le questionnaire SIG est structuré selon un format modulaire, permettant aux organisations de sélectionner les sections pertinentes ou les domaines de risque en fonction des services fournis par le fournisseur. Cela permet aux organisations d'adapter facilement l'évaluation en fonction du profil de risque du fournisseur et de l'industrie, rendant le processus d'évaluation plus ciblé et efficace.

La personnalisation permet également aux organisations d'aligner le questionnaire sur leurs propres priorités et politiques de sécurité, garantissant que l'évaluation aborde directement les domaines de risque critiques de l'organisation.

Défis des questionnaires SIG

Bien que le SIG permette aux organisations de mener des évaluations ciblées, pertinentes et efficaces, il peut ne pas être le bon choix pour chaque entreprise. Voici quelques inconvénients potentiels à prendre en compte :

1. Dépense : L'accès aux questionnaires SIG nécessite un abonnement annuel payant, qui est actuellement de 6 000 $/an pour une licence d'entreprise. Cela inclut l'accès au questionnaire, un gestionnaire SIG, un guide de procédures d'utilisateur SIG, un cahier de mise en œuvre SIG, une liste de demande d'artefacts de documentation SIG et une formation sur les fondamentaux du SIG.
2. Temps de réponse plus longs : La nature exhaustive du SIG, en particulier du SIG Core, signifie qu'il peut être assez long et complexe. Cela peut être accablant pour les fournisseurs, en particulier les plus petits avec des ressources limitées, entraînant des retards dans les réponses ou des informations incomplètes.
3. Consommateur de ressources : Le processus de questionnaire SIG peut être gourmand en ressources tant pour l'organisation émettant le questionnaire que pour les fournisseurs y répondant. Les fournisseurs ont souvent besoin de temps et d'efforts considérables pour rassembler et fournir des informations détaillées, ce qui détourne l'attention de l'équipe d'autres priorités. Pour les organisations évaluatrices, l'évaluation, la comparaison et le suivi de plusieurs questionnaires remplis peuvent également être chronophages.
4. Potentiel de 'sécurité par cases à cocher' : Certaines organisations pourraient utiliser le SIG principalement comme une liste de conformité plutôt que comme un outil pour faciliter les pratiques stratégiques de gestion des risques et de sécurité de l'information. Cela peut conduire à une approche de cocher des cases, où l'accent est mis davantage sur le respect des exigences du questionnaire plutôt que sur l'amélioration des postures de sécurité.

Comment utiliser un questionnaire SIG pour la gestion des risques des tiers ?

Vous vous demandez comment commencer avec le questionnaire SIG ? Voici un processus étape par étape pour utiliser le SIG et améliorer la gestion des risques des tiers (TPRM) de votre organisation.

Étape 1 : Déterminer la portée. Décidez quelles parties du SIG sont pertinentes pour le vendeur évalué en fonction des services qu'il fournit et des risques potentiels qu'il pose.

Étape 2 : Personnaliser le questionnaire. Cela peut impliquer de sélectionner des modules ou sections pertinents du questionnaire, et éventuellement d'ajouter des questions spécifiques à l'industrie ou à l'entreprise.

Étape 3 : Distribuer aux vendeurs. Les questionnaires sont souvent accompagnés d'une lettre d'accompagnement expliquant le but de l'évaluation et fournissant des instructions et des délais pour la remplir.

Étape 4 : Le vendeur remplit le questionnaire. Le vendeur remplit le questionnaire, fournissant des réponses détaillées aux questions sur ses contrôles, politiques et procédures de sécurité et de conformité.

Étape 5 : Examiner. Une fois le questionnaire rempli reçu, examinez et analysez les réponses pour évaluer l'adéquation des contrôles et pratiques du vendeur. Cette étape implique souvent une équipe d'experts en cybersécurité, conformité et gestion des risques pour identifier toute zone de préoccupation ou tout risque potentiel.

Étape 6 : Faire un suivi, si nécessaire. S'il y a des réponses floues ou incomplètes, ou si des informations supplémentaires sont nécessaires, faites un suivi avec le vendeur. Cela peut impliquer de demander des documents supplémentaires ou des exemples spécifiques.

Étape 7 : Prendre la décision. Décidez si le vendeur répond à la tolérance au risque et aux exigences de conformité de l'organisation. Déterminez si des stratégies de réduction des risques sont nécessaires, telles que des contrôles supplémentaires, des termes contractuels ou une surveillance continue. Créez un rapport sur les conclusions de l'évaluation pour les pistes d'audit et les références futures.

Sur la base de l'évaluation, continuez soit avec la relation avec le vendeur, exigez certaines mesures de réduction des risques, effectuez d'autres évaluations, ou décidez de ne pas engager le vendeur.

Étape 8 : Surveiller. Surveillez en continu la conformité et la posture de risque du vendeur. Vous pouvez réémettre périodiquement le questionnaire SIG, ou s'il y a des changements significatifs dans les services du vendeur ou dans l'environnement réglementaire.

Conseils pour répondre à un questionnaire SIG

Répondre à un questionnaire SIG est une opportunité de démontrer l'engagement de votre organisation envers la sécurité et la conformité. Une réponse réfléchie et bien préparée peut renforcer votre relation avec le client et améliorer votre réputation sur le marché.

Suivez ce processus pour répondre à tout questionnaire SIG que vous recevez :

Étape 1 : Passez en revue l'ensemble du questionnaire en premier. Cela vous aidera à comprendre la portée du questionnaire et comment il se rapporte à votre produit et à vos services, ainsi que d'avoir un aperçu des informations requises. Si des questions ne sont pas claires, contactez l'organisation émettrice pour obtenir des éclaircissements.

Étape 2 : Assemblez votre équipe. Mieux comprendre les exigences vous permet maintenant de faire appel à des personnes clés de différents départements comme l'informatique, la sécurité, la conformité, le juridique et les opérations. Leur expertise est cruciale pour fournir des réponses précises et complètes.

Étape 3 : Répondez aux questions. Assurez-vous que les réponses sont exactes et reflètent vos pratiques et politiques actuelles. Si certaines parties de votre posture de sécurité ne sont pas satisfaisantes ou sont obsolètes, reconnaissez-les et détaillez tout plan d'amélioration ou de mise à jour. Soyez clair et concis, et évitez le jargon technique excessif.

Bien que les réponses doivent être complètes, il est également important de veiller à la confidentialité des informations partagées. Assurez-vous que les réponses ne violent aucune politique interne ou réglementation de protection des données.

Étape 4 : Incluez des documents de soutien. Dans la mesure du possible, appuyez vos réponses avec des documents pertinents tels que des politiques, des certifications, des rapports d'audit ou des déclarations de conformité pour ajouter de la crédibilité à vos réponses.

Étape 5 : Passez en revue et validez les réponses. Les parties prenantes internes doivent examiner le questionnaire complété pour assurer son exactitude et maintenir un message cohérent sur vos pratiques de sécurité et de conformité.

Étape 6 : Soumettez le questionnaire complété. Assurez-vous de conserver une copie de votre questionnaire complété et de tout document de soutien. Cela peut être utile pour référence future et pour maintenir la cohérence entre plusieurs réponses à des questionnaires.

Automatiser les questionnaires SIG et de sécurité

Les questionnaires SIG sont un outil puissant pour évaluer les risques des tiers et gagner la confiance des clients. Mais ils peuvent être incroyablement lourds et coûteux en ressources à remplir et à examiner.

L'Automatisation des Questionnaires de Secureframe peut rationaliser le processus fastidieux et chronophage de réponse à de longs questionnaires de sécurité et RFP, avec une fonctionnalité AI intégrée qui extrait les réponses d'une base de connaissances contenant des centaines à des milliers de réponses avec une précision de plus de 90 %. Il vous suffit de télécharger un questionnaire SIG complété, de vérifier et de stocker les réponses dans votre base de connaissances, et Secureframe extraira les réponses pour compléter automatiquement les futurs questionnaires SIG.

Associez les questionnaires SIG au Secureframe Trust Center pour démontrer la force de votre posture de sécurité, mettre en avant vos principaux indicateurs et certifications de sécurité, et gagner la confiance des clients. En savoir plus sur Secureframe Trust et nos capacités d'automatisation des questionnaires, ou planifiez une démo avec un expert produit pour voir cela en action.