GDPR… Ne sous-estimez pas le risque associé aux tiers

par | Août 11, 2017 | Data Center, Technologie | 0 commentaires

GDPR : Qualys propose un service de questionnaire sur l'évaluation de la sécurité, rationalisant l'ensemble du cycle de vie de l'évaluation des risques tiers.

GDPR : Qualys propose un service de questionnaire sur l’évaluation de la sécurité, rationalisant l’ensemble du cycle de vie de l’évaluation des risques tiers.

Elément clé de la future conformité GDPR, le risque lié aux tierces parties. Le Règlement général sur la protection des données de l’Union européenne exige des entreprises qu’elles protègent de manière adéquate les informations personnellement identifiables (IPI) de leurs clients européens. Et aussi qu’elles sachent où sont stockées chacune de ces données, ainsi que leur provenance et avec qui elles sont partagées.

«Cette dernière précision, ‘avec qui sont-elles partagées ?’ est fondamentale, estime Darron Gibbard, Chief Technology & Security Officer, Qualys. En effet, le GDPR étend la responsabilité des données des clients aux tiers avec lesquels l’entreprise partage ces données. En d’autres termes, si un quelconque membre de votre réseau de tiers de confiance (fournisseurs, partenaires, sous-traitants, consultants, prestataires…) agit de manière irresponsable et compromet les informations IPI de vos clients, vous êtes également concernés par les pénalités et les amendes.»

La traditionnelle méthode d’évaluation des risques fournisseurs avec envoi manuel de questionnaires par messagerie électronique, collecte des réponses, regroupement des résultats et suivi des réponses sur une feuille de calcul n’est plus adaptée : en plus d’être extrêmement laborieuse, coûteuse et fastidieuse, cette façon de faire est une source d’erreurs majeure. Selon Qualys, il faut disposer d’un système vous permettant de réaliser votre propre évaluation de manière rapide, précise, fréquente et complète.

Avec SAQ (Security Assessment Questionnaire), le fournisseur de solutions de sécurité et de conformité basées sur le cloud propose un service de questionnaire sur l’évaluation de la sécurité automatise et rationalise l’ensemble du cycle de vie de l’évaluation des risques tiers et notamment la conception de l’enquête, le suivi des réponses, le regroupement des données et la génération de rapports.

Grâce au service SAQ, une entreprise peut identifier avec rapidité et précision les lacunes en matière de sécurité et de conformité des tiers avec lesquels elle travaille ainsi qu’en interne au niveau de ses employés.

SAQ agit à plusieurs niveaux :

  • Conception intuitive et souple des questionnaires et des campagnes – L’assistant SAQ assiste les utilisateurs pour créer des campagnes et leur permet d’affecter des échéances et de définir des notifications. Les questions peuvent être posées dans différents formats tandis que les concepteurs de l’enquête peuvent exiger la communication de fichiers de preuve pour certaines réponses. Les questions peuvent être configurées pour être affichées ou masquées de manière dynamique selon qu’une ou plusieurs réponses sont possibles. De même, les campagnes peuvent être conçues à l’aide de différents workflows. Une enquête est considérée comme bouclée une fois le questionnaire renseigné par son destinataire, sous réserve d’exigences supplémentaires telles que la révision ou l’approbation d’un expert.
  • Distribution simplifiée du questionnaire – Comme il dimensionne automatiquement les enquêtes, le service SAQ évite de devoir configurer des comptes utilisateurs. Les destinataires répondent à l’enquête via un formulaire Web et peuvent confier à d’autres personnes les questions auxquelles ils ne peuvent pas répondre. Les administrateurs peuvent envoyer des emails de rappel aux personnes interrogées et configurer des campagnes récurrentes.
  • Suivi automatisé des campagnes – Le service SAQ capture les réponses en temps réel et les regroupe en un point unique pour permettre aux administrateurs de suivre la progression des campagnes. SAQ affiche des tableaux actualisés en temps réel afin que les administrateurs puissent approfondir certains questionnaires spécifiques et découper et analyser les résultats. Le service SAQ fournit une preuve de conformité accompagnée de rapports détaillés qui s’adressent à différents types de destinataires, notamment à l’équipe dirigeante au moyen de tableaux de bord pour la direction et aux auditeurs à l’aide de vues plus détaillées des données. Les administrateurs peuvent créer des tableaux de bord sur mesure et suivre et gérer en même temps plusieurs campagnes depuis la console centralisée.
  • Notation – Grâce au service SAQ, vous pouvez affecter dans les modèles de questionnaire des niveaux de criticité aux questions ainsi qu’une note aux différentes options de réponses. Le niveau de criticité de la question peut être personnalisé avec des étiquettes et une pondération des réponses. Lors de la génération des rapports, il est possible de filtrer selon le niveau de criticité de la question et la note attribuée à la réponse pour obtenir une note globale des risques ou identifier des zones à haut risque.
  • Modèle pour le règlement GDPR – Un modèle de questionnaire SAQ spécifique à GDPR permet d’automatiser la distribution, la gestion et la collecte des réponses au questionnaire.
Summary
GDPR... Ne sous-estimez pas le risque associé aux tiers
Article Name
GDPR... Ne sous-estimez pas le risque associé aux tiers
Description
GDPR : Qualys propose un service de questionnaire sur l'évaluation de la sécurité, rationalisant l'ensemble du cycle de vie de l'évaluation des risques tiers.
Author
Publisher Name
Solutions Magazine
Publisher Logo