Ces petits fournisseurs n'ont peut-être même pas de personnel informatique dédié, encore moins une équipe de sécurité. Pourtant, ils traitent souvent des données sensibles et se connectent directement aux systèmes d'entreprise. Cela représente une vulnérabilité non seulement pour ces entreprises, mais pour tous ceux qui sont partenaires avec elles.  

Mais comment votre équipe peut-elle aider à sécuriser ces relations critiques avec des tiers sans s'attendre à ce que les petits fournisseurs fonctionnent comme des entreprises du Fortune 500 ? Nous explorerons certaines options qui vous aideront à faire partie de la solution.

1. Communiquer des attentes claires et prioritaires 

Rappelez-vous, de nombreux fournisseurs veulent faire ce qu'il faut. Souvent, ils ont juste besoin de conseils. Il est peut-être temps de repenser l'exigence de longs questionnaires de sécurité ou de demander une conformité complète à l'ISO 27001. Envisagez une approche personnalisée basée sur les risques. Identifiez les données, les systèmes ou les processus auxquels le fournisseur aura accès et définissez des attentes proportionnées à ce risque.  

Rédigez une simple liste de contrôle de sécurité qui décrit vos attentes de base pour un fournisseur. Cela peut inclure : 

• Utiliser MFA 

• Télécharger et installer régulièrement les mises à jour logicielles 

• Crypter les données en transit et au repos 

• Formation régulière en sécurité pour les employés couvrant des sujets tels que le phishing et les mots de passe 

2. Offrir aux fournisseurs des outils et des modèles 

De nombreux petits fournisseurs ne savent pas par où commencer. Vous pouvez initier leur posture de sécurité en offrant une aide pratique. Heureusement, vous n'avez pas besoin de créer des outils à partir de zéro. Vous pouvez simplement leur envoyer des liens pour les aider à démarrer. De plus, si votre organisation dispose de modèles pour les politiques de sécurité, les plans de réponse aux incidents ou les directives d'utilisation acceptable, envisagez de les partager. 

Il existe des outils de cybersécurité à faible coût conçus spécifiquement pour les petites entreprises. 

• Microsoft’s Defender for Businesses 

• Le Small Business Cybersecurity Corner de NIST 

• CyberSecure My Business du NCA (c'est nous !)  

3. Promouvoir les bases 

Vous n'avez pas besoin d'une IA de pointe ou d'une salle pleine de serveurs pour prévenir de nombreux incidents cybernétiques. Les professionnels du TPRM devraient encourager les petits fournisseurs à se concentrer sur faire les bases de manière fiable : 

Corriger les vulnérabilités connues

• Utiliser des mots de passe forts et uniques avec un gestionnaire de mots de passe pour tous les comptes

• Activer MFA sur tous les comptes

• Sauvegarder régulièrement les données – et tester les sauvegardes

• Communiquer avec leur personnel sur les arnaques courantes – soyez spécifiques avec des directives comme, « Je ne vous demanderai jamais d'acheter des cartes-cadeaux » 

4. Intégrer la cybersécurité dans la relation commerciale 

Plutôt que de voir la sécurité comme une barrière, travaillez à la cadrer comme un partenariat. Nous recommandons de formaliser cette approche en intégrant le langage de la cybersécurité dans les contrats et les accords de niveau de service (SLA). Discutez de la sécurité tôt dans la relation avec le fournisseur. Ensuite, vous pouvez maintenir un esprit de coopération et de collaboration, ce qui aidera vos fournisseurs à se sentir soutenus plutôt que scrutés. 

Voici des moyens de maintenir la cybersécurité au premier plan : 

• Inclure les obligations en matière de cybersécurité dans les contrats 

• Demander des bilans ou des évaluations annuels 

• Discuter de l'importance que les fournisseurs vous informent des incidents rapidement 

5. Utiliser votre influence 

En tant que partenaire plus important, votre organisation a une influence significative – peut-être même plus que vous ne le réalisez. Travaillez pour encourager les améliorations en matière de sécurité de manière solidaire plutôt qu'en exigeant simplement des changements.   

Vous pouvez opérer avec un esprit de collaboration en : 

• Organisant un webinaire sur la cybersécurité pour les fournisseurs ou en les incitant à participer au Mois de la sensibilisation à la cybersécurité!      

• Créer un portail de ressources privé pour les fournisseurs -- n'hésitez pas à utiliser le nôtre! 

• Fournir des retours sur leurs politiques ou outils 

La cybersécurité est un sport d'équipe 

C'est un refrain commun parmi les spécialistes de la sécurité de nos jours, mais la cybersécurité est vraiment un sport d'équipe. Et vos fournisseurs tiers font partie de votre équipe même si vous n'êtes pas officiellement collègues. Aider les petits fournisseurs à rester sécurisés concerne la réduction des risques, mais cela aide également à construire des partenariats résilients.  

Pour en savoir plus sur la sécurité en ligne, inscrivez-vous à notre newsletter! Notre programme CyberSecure My Business est une excellente offre pour les petits fournisseurs – laissez-nous vous aider!