• blogangle-right
  • Sécurité des Tiers : 8 Étapes pour Évaluer les Risques et Protéger votre Écosystème

Table of Contents

Sécurité des Tiers : 8 Étapes pour Évaluer les Risques et Protéger votre Écosystème

  • January 18, 2024

L'entreprise moyenne partage des informations confidentielles avec 583 fournisseurs tiers — et 82 % des entreprises accordent à ces tiers un accès à leurs données sensibles.

Dans le paysage commercial interconnecté d'aujourd'hui, la surface d'attaque d'une organisation s'étend bien au-delà de sa propre infrastructure informatique. Évaluer et gérer les risques des tiers est essentiel pour protéger vos opérations contre les menaces externes.

Ci-dessous, nous allons approfondir l'importance de la sécurité des tiers, partager un processus étape par étape pour évaluer les risques des tiers et définir les KPI pour mesurer le succès de votre programme TPRM.

Comprendre la gestion des risques des tiers (TPRM) : Qu'est-ce que la sécurité des tiers ?

Les fournisseurs tiers sont des entreprises qui ont accès aux actifs de données sensibles de votre organisation, tels que les prestataires de services, les plateformes de cloud computing, les centres de données, les processeurs de paie et les fournisseurs.

Travailler avec des fournisseurs tiers permet aux organisations de se développer plus rapidement, d'améliorer les processus et de travailler plus efficacement, mais cela introduit également des risques. Chaque fournisseur tiers ayant accès à vos systèmes offre aux acteurs malveillants un point d'accès potentiel à vos données sensibles d'entreprise ou de client.

Selon un rapport d'enquête sur les violations de données de Verizon, 62 % de toutes les violations de données se produisent via des fournisseurs tiers.

C'est pourquoi la sécurité des tiers est si essentielle — disposer d'un ensemble de pratiques et d'outils pouvant aider à identifier les risques des tiers et à réduire leur probabilité et leur impact peut protéger votre organisation et vos clients contre des menaces graves. Sans compter que le fait de ne pas gérer correctement les risques des tiers peut exposer votre organisation à des dommages réglementaires, financiers, juridiques et de réputation.

La menace des risques de sécurité des tiers en 2024

Les risques des tiers continuent d'évoluer parallèlement au paysage plus vaste de la sécurité de l'information. De nouvelles technologies, telles que l'IA, des pratiques commerciales globales changeantes, de nouvelles législations et exigences réglementaires, et d'autres facteurs rendent les pratiques de gestion des risques des tiers essentielles pour les organisations en 2024 et au-delà.

  • Au cours des deux dernières années, 82 % des organisations ont connu une ou plusieurs violations de données causées par un tiers, coûtant en moyenne 7,5 millions de dollars à remédier.
  • Seuls 34 % des répondants ont confiance qu'un tiers principal les informerait d'un incident de sécurité ou d'une violation de données.
  • 98 % des organisations ont des relations de fournisseurs avec au moins un tiers qui a connu une violation au cours des deux dernières années.
  • Pour chaque fournisseur tiers dans leur chaîne d'approvisionnement, les organisations ont généralement des relations indirectes avec 60 à 90 fois ce nombre de relations de quatrième partie.
  • Comparé à l'organisation principale, les fournisseurs tiers sont cinq fois plus susceptibles de montrer une faible sécurité. Environ 10 % des fournisseurs tiers reçoivent une note de F parmi les organisations qui obtiennent une note de A pour leur propre posture de sécurité.
  • En moyenne, l'identification et la contenance d'une violation de la chaîne d'approvisionnement prennent 26 jours de plus que la moyenne mondiale pour d'autres types de violations.

Lecture recommandée

Gestion des risques des fournisseurs (VRM) : Comment mettre en œuvre un programme VRM qui prévient les violations des tiers

Types de risques de sécurité des tiers

S'associer avec des fournisseurs tiers peut introduire plusieurs types de risques pour votre organisation. Voici quelques-uns des risques les plus courants à connaître lorsque vous développez un programme de gestion des risques tiers.

  1. Risque de cybersécurité: Le risque d'une violation de la sécurité des données ou d'une cyberattaque sur un tiers ayant accès aux systèmes ou actifs de données de votre organisation, permettant aux pirates ou autres acteurs malveillants d'accéder de manière non autorisée à vos réseaux.
  2. Risque de conformité: De nombreuses réglementations exigent que les organisations effectuent une diligence raisonnable pour s'assurer que les fournisseurs avec lesquels elles travaillent disposent de protections de données adéquates. Par exemple, HIPAA oblige les organisations de santé à vérifier que leurs associés commerciaux protègent les PHI. Si un fournisseur tiers ne respecte pas les exigences réglementaires et légales, votre organisation peut être exposée à des pénalités de violation.
  3. Risque de réputation: Si une violation de données, un incident de sécurité ou de mauvaises pratiques commerciales sont rendus publics chez un fournisseur tiers, votre organisation pourrait souffrir de dommages à sa réputation par association.
  4. Risque financier: Si un tiers sur lequel vous comptez rencontre des difficultés financières ou fait faillite, votre organisation pourrait subir des pertes de revenus ou des coûts excessifs — surtout si vous dépendez fortement de leurs services ou produits.
  5. Risque opérationnel: Le risque que le tiers ne fournisse pas les services ou produits comme prévu, ce qui peut perturber vos opérations commerciales et vos engagements envers les clients.
  6. Risque stratégique: Si les objectifs stratégiques d'un fournisseur tiers ne sont pas alignés avec ceux de votre organisation, leurs stratégies ou opérations peuvent changer d'une manière qui soit préjudiciable à votre entreprise.

Comment réaliser une évaluation des risques de sécurité des tiers

Une évaluation des risques tiers est un outil essentiel pour comprendre, quantifier et réduire les risques associés aux fournisseurs et prestataires tiers. Ces évaluations des risques sont importantes pour plusieurs raisons clés :

  • Elles offrent une meilleure compréhension du niveau et des types de risques que vous pourriez assumer avec chaque relation de fournisseur. Munis de cette connaissance, vous serez en mesure de prendre des décisions plus éclairées sur la façon de gérer et de réduire efficacement ces risques — ou de ne pas prendre de risques inutiles.
  • Ils vous donnent des informations critiques sur les pratiques de cybersécurité et de protection des données d'un fournisseur. Lorsque vous accordez à un fournisseur l'accès à votre environnement informatique, vous devez être assuré qu'il prend la cybersécurité aussi au sérieux que vous. Une évaluation des risques ou un questionnaire de diligence raisonnable peut vous aider à comprendre les contrôles de sécurité qu'ils ont mis en place et à quel point vos données sensibles seraient protégées en cas d'attaque externe.
  • Vous serez en mesure de vérifier votre propre niveau de conformité avec toutes les réglementations ou normes de l'industrie qui vous obligent à travailler avec des fournisseurs conformes, comme le GDPR, le CCPA, le NYDFS, le PCI DSS, et le HIPAA. Vous répondrez également aux exigences de conformité pour les réglementations qui exigent des évaluations régulières des risques tiers.
  • Vous adopterez une approche proactive pour protéger la santé financière et la réputation de votre entreprise. L'association avec un fournisseur compromis pourrait avoir des implications majeures pour votre entreprise, avec à la fois des conséquences financières immédiates et une perte de confiance des clients.

Voici un guide étape par étape sur la façon de réaliser une évaluation des risques tiers.

Étape 1 : Déterminer un niveau acceptable de risque tiers

Les niveaux acceptables de risque tiers sont souvent dictés par les objectifs stratégiques de l'organisation, l'environnement réglementaire, les capacités opérationnelles et la capacité financière.

Différentes unités commerciales peuvent également avoir des tolérances de risque différentes, donc les décisions concernant les niveaux acceptables de risque doivent impliquer plusieurs parties prenantes à travers l'organisation. Incluez la direction générale, les équipes juridiques, l'informatique, la sécurité, la conformité et le personnel des opérations dans les discussions sur la définition d'un niveau de risque acceptable.

Étape 2 : Identifier les risques pertinents

Différents fournisseurs comportent également différents niveaux de risque. Voici quelques questions pour aider à identifier les risques potentiels liés aux tiers :

  • Le fournisseur aurait-il accès aux réseaux internes ? Quel niveau d'accès serait accordé ?
  • Existe-t-il des exigences réglementaires spécifiques associées au fournisseur, comme HIPAA ou GDPR ?
  • Le fournisseur dépend-il d'autres tiers susceptibles de constituer un risque pour la prestation de leurs services ? Comment gèrent-ils et surveillent-ils leurs propres risques liés à la chaîne d'approvisionnement ?
  • Le fournisseur a-t-il eu des antécédents de violations ou d'incidents ?
  • Le fournisseur est-il conforme à la norme SOC 2 ou à la norme ISO 27001 ?
  • Quelles mesures le fournisseur a-t-il en place pour assurer la continuité des activités en cas de catastrophe ?

Étape 3 : Évaluer l'environnement de contrôle actuel et la posture de cybersécurité du fournisseur tiers

La diligence raisonnable ou un questionnaire de sécurité doit toujours faire partie de votre processus d'achat fournisseur. Assurez-vous que tous les fournisseurs potentiels que vous envisagez de partenariat satisfont à vos exigences de sécurité avant de continuer.

  • Quels contrôles de sécurité ont-ils actuellement en place pour atténuer les risques ?
  • À quelles normes de sécurité sont-ils conformes et quand ont-ils terminé leur dernier audit externe ?
  • Le fournisseur a-t-il subi une violation de données ou un incident de sécurité majeur, ou a-t-il fait l'objet d'une intervention réglementaire ?
  • Le fournisseur dispose-t-il d'un plan de réponse aux incidents ? Ce plan inclut-il la notification de votre organisation en cas d'incident de sécurité ou de violation de données ?
  • Le fournisseur dispose-t-il d'un plan robuste de continuité des activités et de reprise après sinistre ? Comment ont-ils géré les perturbations ou les crises passées ?
  • Effectuent-ils régulièrement des tests de pénétration, des analyses de vulnérabilité ou des audits de sécurité internes ?

Si vous ne savez pas quoi demander, consultez notre modèle de questionnaire de sécurité des fournisseurs pour une liste complète de questions d'évaluation de la sécurité.

Lecture Recommandée

Comment utiliser les questionnaires SIG pour une meilleure gestion des risques tiers

Étape 4 : Comprendre les risques liés aux sous-traitants de quatrième niveau

Ce fournisseur sous-traitera-t-il certaines opérations à d'autres prestataires ? De nombreuses organisations ont une visibilité ou un contrôle limité sur les relations de quatrième niveau. Pourtant, ces sous-traitants peuvent aussi introduire des risques importants pour vos opérations commerciales. 

Pour atténuer efficacement les risques de quatrième niveau, les organisations doivent étendre leurs cadres de gestion des risques et leurs processus de diligence raisonnable au-delà des fournisseurs directs pour s'assurer que les fournisseurs de troisième niveau gèrent efficacement leurs sous-traitants.

Demandez aux fournisseurs de vous parler de leurs propres programmes de gestion des risques de troisième partie pour comprendre comment ils évaluent et surveillent les sous-traitants de quatrième niveau. Il est également recommandé d'inclure des clauses de risque de quatrième partie dans les contrats de fournisseur : 

  • Incluez une clause qui vous permet d'auditer la gestion des sous-traitants par le fournisseur de troisième partie, ou qui les oblige à fournir des rapports d'audit. 
  • Stipulez que les fournisseurs de troisième partie doivent s'assurer que leurs sous-traitants se conforment à une norme de sécurité, de confidentialité et/ou de conformité spécifique à votre industrie, telle que SOC 2, ISO 27001, HIPAA ou NIST 800-53. 
  • Définissez la responsabilité en cas de violation de la sécurité ou de perte de données par un sous-traitant de quatrième niveau. 
  • Exigez que la troisième partie vous informe rapidement de tout problème avec les sous-traitants pouvant affecter votre organisation. 
  • Exigez des fournisseurs de troisième partie qu'ils divulguent des informations sur les sous-traitants clés impliqués dans des opérations commerciales critiques ou manipulant des données sensibles. 
  • Envisagez d'exiger des fournisseurs de troisième partie qu'ils disposent d'une assurance cybersécurité couvrant les dommages causés par les sous-traitants. 

Étape 5 : Classer les risques de troisième partie à l'aide d'un registre et d'une matrice des risques

Ensuite, vous devrez évaluer la probabilité et l'impact potentiels de chaque risque fournisseur. Cela facilitera la priorisation des risques, la comparaison des fournisseurs et la concentration sur l'atténuation des risques les plus urgents posés à votre organisation. 

Ajoutez les risques de troisième partie à votre registre des risques pour maintenir une vue d'ensemble de votre profil de risque et de votre surface d'attaque. Puis utilisez une matrice des risques pour prioriser les risques de troisième partie et créer un plan d'atténuation.

Une matrice des risques classe les risques en fonction de la probabilité et des scores d'impact. Les risques qui sont à la fois très susceptibles de se produire et qui auraient un impact significatif sur votre entreprise sont prioritaires par rapport aux risques moins graves. 

La plateforme Secureframe utilise des échelles qualitatives et quantitatives pour sa fonctionnalité de registre des risques :

Étape 6 : Sélectionner un fournisseur de troisième partie et mettre en place des contrôles d'atténuation

Après avoir créé une liste de fournisseurs de troisième partie avec lesquels vous souhaitez collaborer, il se peut que vous leur demandiez de mettre en œuvre des contrôles supplémentaires pour gagner votre entreprise. 

Incluez dans votre contrat fournisseur tous les niveaux de service minimum ou les exigences de sécurité et de conformité de base - par exemple, que le fournisseur doit maintenir une certification ISO 27001 active ou subir un audit SOC 2 annuel. 

Étape 7 : Surveiller en continu le risque de troisième partie

Les évaluations des risques de tiers ne se font pas en une seule fois. Après l'intégration d'un nouveau fournisseur, continuez à effectuer des évaluations des risques de tiers sur une base annuelle pour maintenir une image claire et à jour de votre environnement de risque. Mettez à jour les scores de risque des fournisseurs si nécessaire et signalez tout fournisseur qui dépasse votre seuil de risque établi.

Étape 8 : Définir une stratégie de sortie de fournisseur

Si une nouvelle évaluation des risques révèle qu'un fournisseur ne répond plus à votre niveau de risque acceptable, vous pouvez décider de terminer la relation. Bien désintégrer un fournisseur est tout aussi important que d'en intégrer un avec succès, donc ayez un plan pour chaque étape du cycle de vie du fournisseur.

Lors de la désintégration, vous devrez retirer l'accès d'un fournisseur à votre infrastructure informatique et à vos actifs de données pour maintenir une sécurité solide et réduire le risque de faille. Assurez-vous de : 

  • Désautoriser tous les comptes et identifiants de connexion des fournisseurs, y compris les identifiants partagés
  • Désautoriser les identifiants pour les API, VPN, partage de fichiers et applications de messagerie
  • Demander que tout équipement de l'entreprise soit retourné
  • Révoquer tout accès physique accordé aux centres de données ou aux actifs d'information
  • S'assurer que toutes les données obtenues par le fournisseur ont été correctement éliminées
  • Maintenir des journaux d'accès pour les traces d'audit et pour détecter les tentatives d'accès non autorisées

Metrics et KPIs pour mesurer le succès du programme de gestion des risques des tiers

Mesurer l'efficacité de votre programme de gestion des risques des tiers implique plusieurs metrics clés. Ces KPIs et KRIs peuvent aider à évaluer à quel point vous gérez bien les risques associés aux relations avec des tiers.

Ces metrics comprennent :

  1. Nombre de fournisseurs sans une évaluation des risques actuelle : Établir une politique de gestion des risques des fournisseurs peut garantir que tout le monde dans votre organisation respecte les exigences et suit le processus défini d'évaluation des risques des tiers.
  2. Taux de réussite des questionnaires de sécurité : Si chaque fournisseur que vous évaluez satisfait à vos exigences de sécurité, elles ne sont probablement pas assez strictes. Assurez-vous que les questionnaires offrent une évaluation complète des pratiques de gestion des risques et des contrôles de sécurité du fournisseur.
  3. Nombre de problèmes de conformité ou de découvertes de sécurité actuels : Plus le nombre de problèmes est élevé, plus le fournisseur est susceptible de subir des pénalités ou des violations de conformité réglementaire. Les fournisseurs non conformes ont des implications majeures pour votre propre statut de conformité.
  4. Taux de conformité : Pourcentage de tiers conformes aux politiques et normes de sécurité de votre organisation.
  5. Temps de réponse aux incidents : Temps pris pour identifier et répondre aux incidents de sécurité impliquant des tiers.
  6. Efficacité de l'atténuation des risques : Évaluez l'efficacité avec laquelle les risques des tiers identifiés sont atténués ou gérés. Cela peut inclure l'examen du succès des contrôles mis en œuvre.
  7. Exposition au risque des sous-traitants : Comprenez le risque posé par les propres fournisseurs de vos tiers. Il est crucial de savoir comment vos tiers gèrent les risques en aval.

Renforcez votre gestion des risques de sécurité des tiers avec Secureframe

La plateforme d'automatisation GRC de Secureframe comprend une gestion robuste des fournisseurs et une solution de gestion des risques de bout en bout pour vous aider à construire et maintenir une posture de sécurité solide.

  • Les workflows d'évaluation des risques améliorés par l'IA identifient les risques, attribuent des scores de risque, et suggèrent des plans de traitement des risques en quelques clics seulement.
  • Documenter les plans de traitement des risques et consulter l'historique des risques pour montrer aux auditeurs et aux parties prenantes les étapes que vous avez prises pour atténuer les risques et renforcer votre posture de sécurité.
  • Construisez votre registre des risques avec notre bibliothèque de risques complète qui comprend des scénarios de risque NIST pour des catégories telles que la fraude, le juridique, la finance et l'informatique.
  • Suivez la santé des contrôles et identifiez les vulnérabilités avec une surveillance continue dans toute votre pile technologique.
  • Utilisez l'automatisation, l'apprentissage automatique et la Base de Connaissances de Secureframe pour automatiser les réponses aux questionnaires de sécurité et aux appels d'offres.
  • Utilisez un Centre de Confiance Secureframe pour démontrer à vos tiers votre propre conformité et posture de sécurité.

En savoir plus sur la façon dont Secureframe peut rationaliser la sécurité et la conformité et améliorer votre gestion des risques en planifiant une démo avec un expert produit.

Utilisez la confiance pour accélérer la croissance

Demander une démoangle-right
cta-bg

FAQs sur la sécurité des tiers

Qu'est-ce que la sécurité des tiers ?

La sécurité des tiers se réfère aux pratiques et mesures qu'une organisation utilise pour s'assurer que ses fournisseurs, partenaires ou prestataires de services tiers maintiennent une sécurité adéquate pour protéger les données sensibles et les systèmes informatiques. Étant donné que ces tiers ont souvent accès à des données commerciales critiques ou les gèrent, la gestion de leurs risques de sécurité est cruciale. La sécurité des tiers implique l'évaluation et la gestion des risques posés par des entités externes à l'infrastructure de données et de TI de l'organisation.

Qu'est-ce que la sécurité d'accès des tiers?

La sécurité d'accès des tiers est un aspect plus spécifique de la sécurité des tiers, se concentrant sur le contrôle et la sécurisation de l'accès accordé aux tiers. Cela comprend la gestion des identifiants, la définition des privilèges d'accès, ainsi que la surveillance et l'audit des activités des tiers au sein du réseau de l'organisation. Le but est de s'assurer que les tiers n'ont que le niveau d'accès nécessaire pour remplir leur rôle, réduisant ainsi le risque de violations de données ou d'activités non autorisées.

Qu'est-ce qu'un fournisseur de sécurité tiers?

Un fournisseur de sécurité tiers est une entreprise ou un service externe qui offre des services de cybersécurité à d'autres organisations. Ces services peuvent inclure des évaluations de sécurité, la surveillance, des solutions de cybersécurité et la réponse aux incidents. Les entreprises sollicitent souvent des fournisseurs de sécurité tiers pour améliorer leurs capacités de sécurité, bénéficier d'une expertise spécialisée et répondre à des besoins de sécurité spécifiques qu'elles ne peuvent pas gérer en interne.

Quelle est la différence entre la sécurité de première et de tierce partie?

Alors que la sécurité de première partie se concentre sur les efforts internes de cybersécurité d'une organisation, la sécurité des tiers étend ces efforts aux parties externes avec lesquelles l'organisation interagit.

  • Sécurité de Première Partie: Cela concerne les mesures de sécurité qu'une organisation met en place pour ses propres systèmes et données. Cela implique de protéger l'infrastructure TI interne de l'organisation, ses données, ses applications et ses réseaux contre les cybermenaces. La sécurité de première partie est entièrement sous le contrôle de l'organisation.
  • Sécurité de Tierce Partie: En revanche, la sécurité des tiers consiste à s'assurer que les entités externes (comme les fournisseurs, les partenaires ou les prestataires de services) qui ont accès ou gèrent les données et les systèmes d'une organisation maintiennent également des normes de sécurité adéquates. La sécurité des tiers concerne davantage la gestion des risques externes et nécessite collaboration et coordination avec des entités extérieures à l'organisation.