Frente al fortalecimiento de la seguridad de los sistemas de información empresarial, los Piratas encontraron el desfile: sin pasar por la dificultad atacando a sus proveedores cuyas barreras protectoras son menos sofisticadas y más porosas. Una situación que se preocupa en particular la RSSI francesa como se muestra en el último observatorio de 2024, aún no pudo en línea a la redacción de este artículo, del Club de Información y Expertos de Seguridad Digital (CESIN) con la Junta de Cibernética sobre este tema. "La conciencia de los problemas del riesgo del proveedor es el tema de un gran consenso en las empresas cuestionadas", se puede leer el informe. Por lo tanto, el 88% de los funcionarios de seguridad de los entrevistados consideran que este tipo de riesgo es importante o incluso muy importante, sin ser considerado como tales por los líderes empresariales porque en el 45% de los casos, no es seguido por el Comité Ejecutivo. "En las sociedades que consideran este riesgo como" muy importante ", el 76 % lo hace a seguir por el Comex", sin embargo, señala la cesina. En este estudio también aprendemos que en el 55% de las empresas, la gestión del riesgo de proveedores está centralizada (al nivel del asiento, por ejemplo), mientras que el 35% de ellas ha establecido una gestión híbrida y que el 10% favorece la gestión descentralizada (a nivel de la unidad de negocios, por ejemplo).

El club también se interesó en las dificultades encontradas por la RSSIS para administrar el riesgo cibernético con sus proveedores y/o socios. La falta de recursos en el plomo (73.2%), seguido de la complejidad de involucrarlos (64.3%), la dificultad de incrustar las operaciones (51.4%), así como la incapacidad de ciertos proveedores para alcanzar el nivel de seguridad solicitado (48.5%). "La dimensión legal sigue siendo muy presente en las discusiones con nuestros socios", señala en particular el CISO de un grupo bancario para ilustrar las dificultades encontradas, mientras que un RSSI de un grupo de seguros apunta a él como la principal dificultad "La ausencia de un repositorio real de todas las terceras partes" y explicar: "Las herramientas grupales son los subcontrataciones de la capacidad en el sentido de la solvabilidad 2, pero no es la capacidad de la Oposición Regular y el otro, pero no es el Otro de la Otro. para hacer auditorías.

Índice
  1. Gestión de riesgos afectada por desarrollos regulatorios
    1. Metodología

Gestión de riesgos afectada por desarrollos regulatorios

La mayoría de los encuestados (60%) indican que su empresa ha implementado un sistema de clasificación para sus proveedores con el punto principal de atención a la criticidad del servicio o al producto proporcionado (57.4%), el nivel de integración en los datos IS (51.4%), acceso a personal (48.5%) y estratégicos (44.5%). Del mismo modo, los dispositivos de evaluación también se han adoptado, como planes de seguro de seguridad (66.3%), certificaciones (ISO 27001, Soc2 ...) (57.4%) o calificaciones cibernéticas (29.7%). "El nuevo contexto regulatorio transforma completamente la gestión del riesgo vinculado a proveedores y riesgos cibernéticos más generalmente", explica Frank van Caengem, CISO EMEA por Schneider Electric y administrador de Cesin.

"Estamos en un momento clave que implica escalar y, por lo tanto, llevar a los gerentes responsables a industrializar sus métodos y herramientas de evaluación para los proveedores". ¿El mensaje saldrá bien? Hasta la fecha, el 53.4% ​​de las organizaciones cuestionadas indican que las nuevas regulaciones (NIS2, Dora ...) los llevarán a modificar en los próximos doce meses su enfoque para la gestión de riesgos de proveedores. Para ver ahora si esta conciencia se acelerará bien con el tiempo.