1. Créer et maintenir un inventaire de partenaires
Cela semble évident, mais avant de pouvoir gérer le risque, vous devez l’identifier. Cela signifie identifier les tiers qui peuvent présenter un risque de violation de données, de non-conformité, de divulgation non autorisée ou de défaillance du système. Lorsque le service informatique gère la relation, cela facilite les choses. Cependant, la présence de l’informatique fantôme signifie que vous devrez peut-être jeter un filet plus large. Votre service des achats peut être ici un allié clé, car la plupart des tiers sont rémunérés.
Cependant, ne pensez pas que l’externalisation est le seul jeu en ville. Les fournisseurs de logiciels, même open source, et les appareils Internet des objets sur site doivent être inclus. Si vos systèmes environnementaux dépendent tous de thermostats connectés au cloud, quels risques prenez-vous si vous ne pouvez plus contrôler le chauffage, la ventilation et la climatisation dans les zones de soins aux patients ?
2. Traitez TPRM comme une relation continue
Les fournisseurs de logiciels cloud en tant que service et d’infrastructure en tant que service prétendront avoir des programmes de sécurité complets et expérimentés qui peuvent alimenter votre propre gestion des risques. En réalité, SaaS et IaaS ont évolué à la vitesse d’Internet, et il reste encore des progrès à faire pour s’intégrer pleinement aux programmes TPRM des clients.
Tout le monde apprend et acquiert de l’expérience, ce qui signifie que vous devez rester en contact avec vos principaux partenaires pour comprendre ce qui change de leur côté et comment ils mûrissent et font évoluer leurs propres programmes de sécurité et de gestion des risques.
Une étape importante ici consiste à hiérarchiser les tiers : identifiez ceux qui présentent la plus grande exposition potentielle et concentrez-vous sur ces fournisseurs, gardez les canaux ouverts, planifiez des ateliers annuels pour découvrir les nouveautés et assurez-vous que vous vous situez d’abord dans les gros rochers.
Sachez que les tiers sont déjà enclins à ressentir la fatigue du questionnaire, ce qui signifie que vous n’obtiendrez de vraies réponses et de véritables informations que lorsque vous vous engagerez directement.
3. Intégrez holistiquement TPRM dans votre stratégie de sécurité
Les soins de santé utilisent le terme « holistique » pour définir une manière plus complète de fournir des soins aux patients. Utilisez certains de ces principes holistiques et traitez la TPRM comme une autre variante de la gestion des risques. Ne considérez pas les tiers comme un cas particulier : ils doivent faire pleinement partie de vos plans d’évaluation, de rapport et d’atténuation de la gestion des risques.
4. Soyez proactif avec la surveillance, l’analyse et l’escalade
Dire « la surveillance TPRM est importante » ne résout pas le problème difficile de savoir comment effectuer la surveillance, l’analyse et l’alerte sur l’infrastructure d’un tiers. Mais ce n’est pas parce que quelque chose est difficile que c’est impossible. Cela nécessitera de l’ingéniosité, de l’exploration et même de l’expérimentation au fur et à mesure que vous découvrirez ce qui est disponible, puis que vous l’intégrerez aux éléments de gestion des risques existants, tels que votre système de gestion des informations et des événements de sécurité. Faites preuve de discernement dans ce que vous utilisez : les tiers sont souvent submergés d’informations inutiles, ce qui rend difficile l’extraction des pépites utiles.
