La cybersécurité est l’une des principales préoccupations des banques, des assureurs et des autres institutions financières, car ces entités peuvent représenter des cibles de choix pour des cyberattaques. De plus, elles peuvent être vulnérables à d’éventuelles perturbations en raison de leurs systèmes technologiques souvent complexes, des actifs financiers importants qu’elles détiennent et de leur abondance de données de clients. En raison de la conscience accrue des cyberrisques, de nombreuses institutions financières ont développé de solides compétences internes pour détecter les cyberattaques et prévenir les interruptions technologiques. En outre, les pratiques de gestion des cyberrisques de vos fournisseurs sont tout aussi importantes, et ce, tant pour les organisations que pour les organismes de réglementation.
Examen des cyberrisques des tiers
Depuis la crise financière de 2007 à 2009, la Réserve fédérale américaine, la Securities and Exchange Commission, l’Office of the Comptroller of the Currency et d’autres organismes de réglementation ont examiné de très près les pratiques de gestion de risques des institutions financières. Ils ont porté une attention particulière, entre autres, sur le risque technologique.
Récemment, les risques que présentent les fournisseurs ont fait l’objet de discussions au sein du secteur et des différents organismes de réglementation. Beaucoup de grandes institutions financières ont mis sur pied des équipes de gestion des fournisseurs dont la mission expresse est de surveiller et de superviser les fournisseurs et autres tiers avec qui elles collaborent. Bien que les organismes de réglementation semblent apprécier cette approche de gestion de risques, ce n’est pas suffisant : ils poussent plutôt leur examen en incluant les fournisseurs secondaires et tertiaires, ceux auxquels se fient les fournisseurs des institutions financières.
Pour les institutions financières, ces fournisseurs représentent d’éventuelles vulnérabilités liées aux cyberrisques qui pourraient leur coûter des millions de dollars. Les fournisseurs qui détiennent ou traitent des données pourraient être victimes de piratage ou servir de voie d’entrée aux réseaux internes des institutions financières. Les interruptions technologiques chez les fournisseurs peuvent également perturber les opérations des institutions financières.
Analyse de la chaîne de valeur
À l’instar des entreprises qui fabriquent ou vendent des produits physiques et qui vérifient régulièrement leurs chaînes d’approvisionnement pour évaluer leur vulnérabilité aux aléas naturels et aux autres risques physiques, les institutions financières devraient évaluer leurs chaînes de valeur et chercher à mieux connaître les pratiques d’atténuation des cyberrisques de leurs fournisseurs primaires, secondaires et tertiaires.
Il se peut que ces renseignements soient déjà connus au sein de votre organisation. Sinon, vous devriez faire ce qui suit :
- Évaluer les processus de gestion et les besoins en matière de données existants des tiers, déterminer toutes les relations avec les fournisseurs et les tiers, et vérifier le libellé des contrats liés à la sécurité en matière de données.
- Développer un cadre de gestion de risques qui tient compte de l’exposition à chaque fournisseur et du risque d’intrusion ou de perte d’exploitation, et comprend des mesures recommandées.
- Surveiller continuellement la cybersécurité du réseau de votre fournisseur et identifier les entreprises qui présentent des risques aux fins d’analyse plus poussée.
- Établir un protocole d’action qui vous permet de gérer systématiquement les risques des tiers.
Il est aussi important de quantifier vos cyberrisques, y compris les risques de tiers. Une analyse des cyberrisques basée sur un scénario peut vous aider à estimer la probabilité et la sévérité éventuelle d’un cyberincident impliquant un fournisseur, ce qui intéresse grandement les organismes de réglementation du secteur financier. De plus, la modélisation de scénarios peut vous aider à cerner et à évaluer les différentes options d’assurance et d’atténuation des risques.
Il se peut que vous ayez un programme de cybersécurité efficace au sein de votre organisation, mais ce n’est peut-être pas le cas pour vos fournisseurs ou les fournisseurs auxquels ils se fient. Suivez ces étapes pour mieux comprendre et gérer les cyberrisques des tiers.