5 meilleurs logiciels de gestion des risques tiers
Gestion des risques tiersétend votre système tests de vulnérabilité jusqu'aux fournisseurs de services, de matériel, de logiciels et d'applications utilisés dans votre infrastructure. Cette évaluation s'étend également aux sociétés associées autres que les fournisseurs.
La notion de gestion des risques dans les systèmes informatiques fait spécifiquement référence à la protection des données sensibles. Spécifiquement, Informations personnellement identifiables (PII). Ainsi, toutes les données traitées par votre entreprise ne seront pas éligibles à ces mesures de contrôle supplémentaires.
Voici notre liste des cinq meilleurs logiciels de gestion des risques tiers :
- OneTrust Vendorpedia Third-Party Risk Exchange CHOIX DE L'ÉDITEUR Une plateforme de gestion des risques avec des évaluations complétées fournies par d'autres clients. Ce système est constamment mis à jour et comprend les évaluations de plus de 70 000 entreprises.
- Informations sur CyberGRX AIR Un évaluateur basé sur l'IA qui identifie les tiers qui devraient être prioritaires pour l'analyse des risques et fournit des informations communautaires sur les entreprises.
- Aperçu des tiers SpyCloud Ce service évalue le risque de rachat de compte et dispose d'un module spécial pour le risque ATO tiers.
- SureCloud Une plateforme de gestion des risques tierce basée sur des questionnaires et faisant partie d'un package de gestion de la conformité.
- Gestion des risques liés aux tiers Riskonnect Un portail de vérification des fournisseurs qui impose un cadre de gestion des risques sur les évaluations tierces.
Vous pouvez en savoir plus sur chacune de ces options dans les sections suivantes.
La nécessité d’une gestion des risques dans les systèmes informatiques
Le paysage juridique auquel sont confrontées les entreprises a évolué rapidement ces dernières années. Le Règlement Général sur la Protection des Données (RGPD) et le Directive sur la vie privée et les communications électroniques de l’UE ont été mises en œuvre sous forme de lois dans chaque pays de l’UE. Celles-ci régissent l'utilisation des informations personnelles et précisent également les droits des individus. Les individus ont le droit de demander des informations sur les données que les organisations conservent. Ils ont également le droit d'exiger que les erreurs soient corrigées ou que les données les concernant soient supprimées. Le RGPD précise également qu'une autorisation doit être demandée pour envoyer les informations personnelles des citoyens de l'UE en dehors de l'UE.
Le RGPD permet aux individus de demander une compensation pour l'abus de données personnelles, ce qui inclut la divulgation accidentelle d'informations. Les gouvernements peuvent également imposer des amendes aux entreprises pour une telle divulgation accidentelle. La directive prévoit une amende maximale de 20 millions d'euros (environ 17 millions de livres sterling ou 24,5 millions de dollars) ou 4 % du chiffre d'affaires mondial annuel. Ces limites peuvent être inférieures dans la législation nationale qui met en œuvre le RGPD.
Notez que l'amende peut aller jusqu'à 4 pour cent du chiffre d'affaires , pas de profit, et il n'y a pas de passe-droit pour les entreprises qui ont déjà été condamnées à une amende une fois au cours d'un exercice. Indemnisation du consommateur peuvent être recherchées en plus de ces amendes. Par conséquent, un événement de perte de données peut être désastreux. Cela incite fortement les entreprises qui souhaitent commercer au sein de l’UE à prendre toutes les mesures possibles pour empêcher la divulgation de données ou l’utilisation inappropriée des informations personnelles.
Depuis le RGPD, d'autres régions du monde ont mis en œuvre leur législation sur la protection des données. Ceux-ci incluent le Loi californienne sur la protection de la vie privée des consommateurs (CCPA), le Brésil Loi générale sur la protection des données (LGPD), le Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et l’Afrique du Sud Loi sur la protection des renseignements personnels (POPIE). Aux États-Unis, il existe des règles supplémentaires en matière de protection des données pour les détails des cartes de paiement ( PCI DSS ) et les informations de santé protégées ( HIPAA ).
La différence entre la gestion des risques liés aux tiers et la gestion des risques liés aux fournisseurs
Gestion des risques fournisseurs est un type de gestion des risques tiers . Pour de nombreuses entreprises, l’évaluation par des tiers ne doit aller que jusqu’à la gestion des risques liés aux fournisseurs. Par exemple, les prestataires de services doivent évaluer les risques liés à leurs systèmes et à ceux de leurs fournisseurs, mais ils n’ont pas besoin d’auditer les systèmes de leurs clients.
L’incidence la plus importante d’un tiers qui n’est pas un fournisseur serait probablement un franchisé . Toutefois, le franchiseur peut être considéré comme un fournisseur. Dans les deux cas, le franchisé et le franchiseur sont des tiers l'un envers l'autre. Un autre exemple d'entreprises associées sans relation fournisseur-client traditionnelle est un partenariat de développement conjoint . Une autre relation mutuelle entre entreprises se noue lors d’un rachat ou d’une fusion.
Mise en œuvre d’une évaluation des risques par des tiers
Le processus typique d’évaluation des risques s’articule autour d’un questionnaire. Ce formulaire fournit un format d'évaluation standard, garantissant que tous les fournisseurs sont traités de la même manière. Le format le plus courant pour le formulaire d'évaluation est appelé le Collecte d'informations standardisée questionnaire, ou SIG.
Une évaluation appropriée nécessitera des informations provenant d'un tiers, il est donc préférable de demander à quelqu'un de cette entreprise de remplir le SIG pour vous. L'équipe commerciale ou le service contractuel se fera un plaisir de le faire, car les entreprises impliquées dans la fourniture de systèmes informatiques sont conscientes de l'exigence d'une évaluation des risques dans la plupart des cas. normes de protection des données . Ils n’obtiendraient pas beaucoup d’affaires s’ils ne disposaient pas déjà de toutes les informations pertinentes pour le SIG.
La plateforme tierce d'évaluation des risques fournit un index des documents relatifs à chaque entreprise auditée. Chaque profil comprendra également des créneaux pour les copies de certification et les résultats d’évaluation d’audit. Certains systèmes d'évaluation des risques incluent une méthode pour Mutualisation SIG , ce qui permet à de nombreux clients de bénéficier du même effort pour constituer un seul SIG.
Si vous souscrivez à un service de partage SIG, vous devez vous assurer que l'évaluation est récente ou récemment mise à jour. Certains fournisseurs effectuent ce processus d'évaluation pour vous et garderont un œil sur les développements avec chaque tiers enregistré.
Le meilleur logiciel de gestion des risques tiers
Il existe de nombreux choix sur le marché de l’évaluation des risques pour la gestion des risques tiers car celle-ci devient un service essentiel pour un grand nombre d’entreprises.
Que devez-vous rechercher dans un système de gestion des risques tiers ?
Nous avons examiné le marché des logiciels de gestion des risques tiers et analysé les options en fonction des critères suivants :
- Un système qui rassemble toute la documentation nécessaire pour chaque entreprise évaluée dans un seul profil
- Un cadre soutenu par une équipe juridique
- Un format d’évaluation adaptable à des normes spécifiques
- Un système d’évaluation qui s’inscrit dans une plateforme plus large de gouvernance et de conformité
- Une évaluation des risques constamment mise à jour
- Un essai gratuit ou une autre méthode pour une évaluation sans risque
- Un service dont le prix est adapté à la valeur des modules qu'il propose
En plus de suivre les critères de sélection ci-dessus, nous avons veillé à identifier des services adaptés à tous les budgets.
1. Échange de risques tiers OneTrust Vendorpedia
Fournisseur OneTrust Échange de risques avec des tiers est une base de données SIG pilotée par ses membres qui donne accès aux évaluations réalisées par d'autres entreprises et par les consultants OneTrust.
Principales caractéristiques:
- Base de données mondiale
- Provenant de la foule
- Enregistrements de violations de données
- Détails des audits de conformité ayant échoué
- Classements de sécurité des entreprises
Une confiance est un leader en matière de gouvernance, de gestion des risques et de conformité. L'entreprise gère un cabinet de conseil qui effectue des évaluations des risques pour les entreprises afin de vérifier à la fois leurs risques internes et leurs risques tiers. L'innovation du stockage de ces évaluations des risques dans une base de données et leur mise à disposition des abonnés permet une réutilisation très rentable de l'expertise OneTrust.
Les évaluations des fournisseurs ne s’arrêtent pas aux fournisseurs de premier rang. L'analyse des risques révèle quels fournisseurs s'appuient sur d'autres entreprises pour créer leurs produits. une hiérarchie de fournisseurs . Chaque fournisseur aura un SIG dans la base de données, afin que les abonnés puissent voir à travers la chaîne d'approvisionnement pour bien comprendre les dépendances et constituer un paysage complet des risques.
Les SIG qui évaluent plus de 70 000 fournisseurs sont enregistrés dans la base de données Vendorpedia Third-Party Risk Exchange. Le service est basé sur le cloud et le tableau de bord est accessible via n'importe quel navigateur standard. La console comprend des outils d'interrogation de données pour vous aider à localiser les enregistrements et vous pouvez ensuite stocker des collections de documents qui créent un profil pour chacun de vos fournisseurs et leurs fournisseurs. Cet ensemble d'outils analytiques s'appelle Guide de données OneTrust et il fournit l'expertise dont vous avez besoin pour bénéficier pleinement de la base de données Vendorpedia.
La base de documents d'évaluation des risques que vous créez dans le système vous aidera à preuve de conformité aux normes NIST, HIPAA, PCI DSS, RGPD, EBA, CCPA. La création d'un profil pour une entreprise dans votre compte utilisateur ne copie pas les informations et ne les stocke pas séparément. Au lieu de cela, vous obtenez une vue sur un document partagé. Ainsi, lorsqu'un SIG est mis à jour, vous obtenez instantanément la dernière version.
Les consultants OneTrust modèrent et vérifient les données contenues dans la base de données Vendorpedia ; ce n’est pas une mêlée totale. Alors, vous obtenez données vérifiées et valides sur tous les fournisseurs, pas seulement sur l’opinion de quelqu’un d’autre. Les évaluations des risques dans Vendorpedia concernent chaque produit d'une entreprise, pas seulement l'entreprise. Cela explique le fait que différents produits seront basés sur une chaîne d’approvisionnement différente et présenteront donc des profils de risque différents.
Avantages:
- Une base de données des manquements aux normes
- Cela fonctionne comme une liste noire pour les fournisseurs dont il faut se méfier
- Une base de données organisée d'informations provenant de nombreuses sources
- Une console basée sur le cloud qui comprend des outils de recherche
- Peut identifier une hiérarchie de fournisseurs qui contribuent à une chaîne d'approvisionnement
Les inconvénients:
- Chaque évaluation concerne un produit spécifique et sa chaîne d'approvisionnement plutôt qu'une entreprise
Tu peux demander une démo pour avoir une compréhension complète du système Risk Exchange.
LE CHOIX DES ÉDITEURS
Échange de risques tiers OneTrust Vendorpedia est notre premier choix pour la gestion des risques liés aux tiers car il exploite l’expertise de OneTrust et les évaluations déjà réalisées pour d’autres entreprises. Il s'agit d'un excellent moyen d'obtenir des évaluations des risques sur vos fournisseurs et leurs produits sans avoir à passer par le processus fastidieux de création vous-même de SIG. Les conseils au sein de la console basée sur le cloud garantissent que vous obtenez une évaluation complète des risques sans avoir à avoir des années d'expérience dans le domaine.
Demander une démo : vendeurpedia.com/request-demo
Système opérateur : Basé sur le cloud
deux. Informations sur CyberGRX AIR
Informations sur CyberGRX AIR est un outil de gestion de données disponible pour localiser et conserver les informations sur les risques liés aux tiers. Ce système fait partie d'une base de données SIG d'évaluation basée sur le cloud qui permet aux entreprises de regrouper leurs informations d'évaluation des risques par des tiers.
Principales caractéristiques:
- Une base de données en ligne
- Des SIG sur plus de 100 000 entreprises
- Outils de recherche manuelle
- Modèles de normes de protection des données
CyberGRX est le plus grand pool SIG au monde avec des évaluations sur plus de 100 000 entreprises. Le service distribue non seulement des informations de conformité et des rapports sur les événements de perte de données sur les entreprises, mais comprend également des stratégies partagées de risque de remédiation, qui pourraient inclure une action en justice conjointe. Il aide également à la création de contrats avec des recommandations sur les clauses SLA.
Le module CyberGRX AIR Insights est un outil d'aide au triage qui vous permet de vous concentrer sur les produits et les fournisseurs qui sont de premier ordre. importance systémique à votre infrastructure de traitement de données, puis exploitez toutes les informations disponibles pour vérifier si le risque lié à la manipulation de ces produits est acceptable et dans les limites de votre conformité aux normes de protection des données. L'outil AIR Insights automatise bon nombre de vos tâches de gestion des risques.
L'accès à la base de données CyberGRX et au système AIR Insights fait partie du CyberGRX Gestion des cyber-risques tiers paquet. Cette plateforme comprend également le Framework Mapper, qui adapte vos efforts de gestion des risques à des normes spécifiques de protection des données. Le système d'évaluation est à plusieurs niveaux, vous découvrirez donc la chaîne d'approvisionnement derrière les produits que vous utilisez ou souhaitez acheter et mettrez en œuvre des évaluations des risques sur tous les fournisseurs contributeurs.
Avantages:
- Collecte des informations sur les risques liés aux données provenant de nombreuses sources
- Les données sont vérifiées par des analystes
- Une recherche gratuite à titre d'essai
- Les évaluations automatisées fournissent un score de risque
Les inconvénients:
- Une option de recherche fournie par un consultant prend des semaines pour renvoyer des résultats
Vous pouvez faire réaliser des évaluations de risques pour vous gratuitement par l'équipe CyberGRX comme un essai du système . Les commentaires sur cette offre ne sont pas instantanés. Pour accéder à cette offre, vous devez vous inscrire au service et envoyer une liste des tiers sur lesquels vous devez enquêter. Au bout de trois semaines, vous recevrez un rapport d'évaluation sur deux de ces entreprises.
3. Aperçu des tiers SpyCloud
LeSpyCloudL’évaluateur de risques est un peu différent des autres sur cette liste. Le service SpyCloud se concentre sur Risque de rachat de compte (ATO). Le problème ATO porte atteinte à la protection des données de votre entreprise en raison d’actions malveillantes d’initiés ou de négligence des utilisateurs avec les informations de connexion. Tout comme ce service peut évaluer les risques au sein de votre propre entreprise, il peut évaluer ces risques chez les fournisseurs de vos logiciels et services essentiels.
Principales caractéristiques:
- Identifie les rachats de comptes
- Présente un risque de vol de données
- Évalue le succès des fournisseurs en matière de sécurité
- Évalue les fournisseurs de logiciels et de matériel
De nombreux dirigeants sont réticents à travailler avec l'externalisation et les services cloud, car ils craignent de perdre le contrôle de leurs activités. sécurité du système tout en devant assumer la responsabilité des événements de perte de données. SpyCloud résout ce problème. Vous pouvez au moins assurer le conseil d'administration que les entreprises avec lesquelles votre service informatique traite sont protégées contre le piratage de compte.
SpyCloud Third Party Insight analyse les sources d'informations à la recherche de rapports de violations de données sur votre liste d'entreprises et de fournisseurs associés. Essentiellement, c'est un fil d'actualité sur les violations de données qui est rassemblé dans un format présentable via le tableau de bord SpyCloud. L’ensemble de ce système est hébergé dans le cloud.
Avantages:
- Collecte des informations sur les risques liés aux données provenant de nombreuses sources
- Les données sont vérifiées par des analystes
- Une recherche gratuite à titre d'essai
- Les évaluations automatisées fournissent un score de risque
Les inconvénients:
- Une option de recherche fournie par un consultant prend des semaines pour renvoyer des résultats
Tu peux obtenir une démo de SpyCloud Third Party Insight pour définir le service par vous-même.
Quatre. SureCloud
SureCloudest une plateforme cloud qui propose un package de gouvernance , gestion des risques , et conformité les fonctions. Ces services incluent un module de gestion des risques tiers.
Principales caractéristiques:
- Flux de travail pour les enquêtes guidées
- Fournit une liste de contrôle
- Questionnaires à envoyer aux fournisseurs
Le Gestion des risques liés aux tiers Le système logiciel de SureCloud crée une interface centrale pour votre documentation d’évaluation des fournisseurs et de gestion des risques. Le tableau de bord comprend des modèles de questionnaire qui expliquent comment collecter des données pertinentes sur les fournisseurs et leurs produits, ainsi que sur les autres entreprises qui contribuent à la production de ces produits.
Le système SureCloud est disponible en trois forfaits. L'édition inférieure, appelée Standard , convient mieux aux entreprises qui disposent d’une expertise interne en matière d’évaluation des risques. Bien que ce plan fournisse une structure qui vous aide à organiser vos évaluations des risques, il ne contient pas beaucoup d’automatisation des processus. Les flux de travail guidés pour l'évaluation des risques et la gestion des risques liés aux tiers ne sont disponibles que dans les deux plans supérieurs, qui sont Entreprise et Prime .
Comme la plupart des systèmes de gestion des risques tiers, le système SureCloud est basé sur GIS questionnaires . Ceux-ci vous donnent une stratégie sur laquelle travailler, en vous assurant que vous recherchez et vérifiez toutes les données pertinentes dont vous aurez besoin pour vérifier vos fournisseurs et vous assurer de minimiser les risques.
Le système de gestion des risques tiers SureCloud offre également l'option d'un service complémentaire, appelé BitSight moyennant des frais supplémentaires. BitSight est une base de données de données d'évaluation des risques sur de nombreuses entreprises et écourte le processus de recherche que vous devez suivre en fournissant toutes les données nécessaires.
Avantages:
- Fait partie d'une plateforme de gouvernance, de gestion des risques et de conformité
- Guide les enquêtes plutôt que de fournir une base de données sur les incidents
- Formalise la communication avec les fournisseurs sur les questions de sécurité
Les inconvénients:
- L'accès à une base de données de SIG coûte en supplément
Tu peux demander une démo pour voir par vous-même le système de gestion des risques tiers SureCloud.
5. Gestion des risques liés aux tiers Riskonnect
Gestion des risques liés aux tiers Riskonnect est un système cloud qui vous offre une console pour gérer tous les problèmes liés aux risques lorsque vous traitez avec des fournisseurs et d'autres tiers. Cela peut être vu comme une plateforme de médiation car elle permet de communiquer avec des fournisseurs potentiels dans un format standardisé qui impose un cadre et un flux de travail pour compléter les évaluations.
Principales caractéristiques:
- Une console basée sur le cloud
- Guide l’évaluation des risques
- Prend également en charge le suivi SLA
Le système Riskonnect ne s’arrête pas aux évaluations des fournisseurs. Il gère également la formulation des contrats et SLA afin que votre entreprise puisse être rassurée sur le fait que les risques liés à l'achat d'un produit ou d'un service ont été minimisés.
Heureusement, la plupart des fournisseurs dans le domaine du traitement des données connaissent bien les exigences des normes et ont attestation acquis grâce à la régularité audit de conformité . La preuve documentaire de ce statut contribue grandement à éliminer les risques. Cependant, les évaluations doivent être réimplémentées périodiquement et le service Riskonnect comprend un calendrier qui vous alertera lorsqu'il sera temps de recontacter les fournisseurs pour confirmer leur statut de conformité en cours.
Riskconnect calcule un classement des risques pour chacune des entreprises que vous entrez dans le système. Les outils analytiques du système vous permettent de catégoriser les produits que vous utilisez et leurs fournisseurs afin que vous puissiez concentrer votre attention sur les entreprises qui pourraient avoir un impact sur votre conformité aux normes.
Avantages:
- Un guide pour effectuer des évaluations des risques plutôt qu’un pool de données
- Un calendrier avec des alertes pour une revérification rapide des risques liés aux tiers
- Calcule une note de risque pour chacun des fournisseurs sur lesquels vous enquêtez
Les inconvénients:
- Ne fournit pas d'informations sur les entreprises tierces
Tu peux demander une démo du système Riskonnect pour l'évaluer par vous-même.
