Internet

Les tiers représentent-ils un cyber-risque pour votre entreprise ? Soyez en contrôle!

Virginia adore faire des recherches et écrire sur des sujets scientifiques qui stimulent l’imagination.

Fournisseurs tiers

Fournisseurs tiers

Les fournisseurs tiers, en particulier ceux qui fournissent des services liés à l’information, sont souvent le point le plus faible du système de défense d’une entreprise contre les cyberattaques. Il est déconseillé de contracter un tiers sans une enquête approfondie sur les antécédents. Cet article vous donnera des conseils sur la façon de procéder à une vérification des antécédents et de négocier un accord qui réduira les risques.

Évaluation

Lorsque vous choisissez un fournisseur tiers, vous devez tenir compte de nombreux problèmes de sécurité. La rigueur d’une vérification des antécédents dépendra du service que le fournisseur fournira à votre entreprise – soyez particulièrement méticuleux si le tiers a accès à des informations sensibles. Voici quelques aspects que vous voudrez peut-être considérer :

  • Audits et autres documents financiers
  • Expérience et capacité
  • Réputation de l’entreprise
  • Étendue des opérations commerciales
  • Qualifications et expertise des dirigeants de l’entreprise
  • Stratégies et objectifs
  • Existence de réclamations ou litiges
  • Recours à d’autres parties ou sous-traitants
  • Périmètre du contrôle interne
  • Sécurité des systèmes et des données
  • Connaissance des lois sur la protection des consommateurs et les droits civils
  • Adéquation des systèmes d’information de gestion
  • Couverture d’assurance
  • Sites Internet
  • Étendue des responsabilités du vendeur
  • Pays dans lequel le vendeur est basé

Au cours de l’enquête, traitez les problèmes suivants avec le fournisseur :

  • Comment l’entreprise peut présenter un risque en termes d’accès à l’information
  • Demandez des formulaires de vérification des antécédents
  • Demandez des références liées au service que le fournisseur va effectuer dans votre entreprise
  • Vérifiez leur historique d’infractions. S’il y en avait, qui était en faute ?
  • Si des violations se sont produites, quelles leçons ont été tirées par le fournisseur ?
  • Les employés ont-ils jamais été réexaminés ?
A lire aussi :  Comment rester en sécurité et sain d'esprit en ligne

Faites défiler pour continuer

N’oubliez pas de vérifier vous-même les faits au cas où le vendeur ne divulguerait pas tous les détails. Demandez des documents pour vous assurer qu’ils respectent la réglementation.

Malheureusement, les vérifications des antécédents sont coûteuses et prennent du temps. De plus, le vendeur peut simplement partir si vous le pressez trop fort. N’oubliez pas que tous les fournisseurs tiers n’exigent pas le même niveau de vérification – tout dépend du type d’informations auxquelles ils auront accès. Malgré les inconvénients d’un contrôle approprié, il est crucial pour la sécurité de votre entreprise ; vous ne voulez pas vous retrouver avec des tiers frauduleux ou même inexistants. Essayez d’équilibrer les coûts et les considérations de sécurité.

Accords de niveau de service à risque renforcé

Un accord de niveau de service à risques renforcés vous offrira un niveau de sécurité supérieur lorsqu’il s’agira de faire appel à des fournisseurs tiers. Voici quelques suggestions sur ce qui devrait être inclus dans l’accord :

  1. Sécurité des informations. Assurez-vous que le fournisseur comprend l’importance de la sécurité des informations, qui prend en compte la sécurité technique, physique et administrative. Vous voudrez peut-être demander des rapports écrits réguliers concernant les politiques internes de sécurité de l’information du fournisseur.
  2. Confidentialité des informations. La confidentialité des informations concerne la manière dont les informations réglementées peuvent être utilisées et par qui. Les principes de confidentialité généralement acceptés (GAPP) peuvent vous donner des directives de base pour développer ce point. Les informations réglementées comprennent les informations sur les conditions médicales ou de santé, les informations financières, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les préférences sexuelles, les informations relatives aux infractions pénales. GAPP stipule également que certaines données non réglementées, telles que la propriété intellectuelle et les secrets commerciaux, doivent rester confidentielles. Assurez-vous que le fournisseur comprend vos politiques de confidentialité des informations et qu’il est tenu de les suivre.
  3. Analyse des menaces et des risques. Obligez le fournisseur à effectuer des évaluations des risques, qui devraient inclure une vérification rigoureuse des employés et examiner l’historique des failles de sécurité. Le fournisseur doit divulguer à votre entreprise toute violation signalée et non signalée.
  4. Conformité réglementaire et industrielle. La conformité aux réglementations est le niveau de sécurité le plus bas possible que le fournisseur doit respecter.
  5. Audit interne. Négociez autant d’accès à l’audit du fournisseur que possible.
  6. Gestion des pratiques de corruption étrangères. Mesurez le niveau de corruption dans le pays dans lequel le fournisseur est basé. Assurez-vous que le fournisseur a mis en place un programme anti-corruption et évaluez son efficacité – la corruption peut nuire à sa réputation.
  7. mise en vigueur. Si le vendeur ne respecte pas l’une des conditions convenues par les deux parties, des conséquences proportionnelles à l’événement devraient s’ensuivre. Une violation grave de la sécurité devrait vous donner le droit de résilier le contrat.
fournisseurs-tiers-et-cyber-sécurité

sources

Ulsch, N MacDonnell, « Cybermenace ! Comment gérer le risque croissant de cyberattaques », Wiley, 2014

A lire aussi :  10 œufs de Pâques Cool Discord: la liste ultime

Cet article est exact et fidèle au meilleur de la connaissance de l’auteur. Le contenu est uniquement à des fins d’information ou de divertissement et ne remplace pas un conseil personnel ou un conseil professionnel en matière commerciale, financière, juridique ou technique.

Bouton retour en haut de la page