Intègre la gestion des risques liés aux outils numériques internes associés aux produits et services numériques — tels que le cloud, le mobile, le social et le Big Data — et aux technologies tierces. L’intelligence artificielle (IA) et l’apprentissage automatique (ML), la technologie opérationnelle (OT) et l’Internet des objets (IoT) en sont des exemples.
Augmentez encore plus l’efficacité des équipes en connectant vos logiciels existants et vos données non structurées à la solution, et en adoptant les autres modules transverses de gestion intégrée des risques qui permettent coordonner les actions entre les différents services en charge d’autres risques et éviter les redondances.
Augmentez jusqu’à 30 % l’efficacité des équipes et obtenez en temps réel une vision globale de vos risques IT Security.
Situation
- Une vision parcellaire des risques.
- Des obligations, des risques, des opportunités et une charge de travail en constante augmentation avec des équipes et des budgets qui augmentent relativement moins vite que les obligations.
- Des tâches manuelles et répétitives encore très présentes. Des opérationnels peu autonomes.
- Un usage fréquent de tableurs et des logiciels spécialisés fonctionnant en silo, inadaptés aux contraintes de consolidation et de mise à jour des informations.
Impact
- Des risques parfois mal identifiés et priorisés.
- Des équipes en surcharge de travail.
- Des actions redondantes.
- Trop de temps passé sur des tâches à faible valeur ajoutée et des risques d’erreurs et d’optimisations concernant des obligations essentielles.
Solution
Le module Risque IT Security aide votre Organisation à faire face aux risques numériques en :
- Coordonnant les obligations légales locales, nationales, internationales et extraterritoriales et les standards normatifs entre eux.
- Favorisant l’autonomie des opérationnels pour permettre aux équipes IT Security de ne gérer que les exceptions et avoir plus de temps pour l’analyse, les recommandations et le suivi.
- Coordonnant les équipes et les systèmes d’information et exploiter au mieux l’information présente et inexploitée (données structurées et non structurées).
- Automatisant les processus manuels chronophages.
Pour y parvenir, en complément des fonctionnalités puissantes communes à toute la solution Smart Global Governance
| Gouvernance. | Plan de formation, sensibilisation. |
| Gestionnaire de Cadres de référence. | Tableaux de bords et rapports. |
| Planification. | Analyse d’écarts automatisées. |
| Cartographie dynamique des risques. | Documentation, source Centrale de Preuves. |
| Piste d’audit fiable. | Monitoring, messagerie, alertes, notifications. |
| Contrôle permanent. | Remédiation collaborative grâce au gestionnaire de tâches, exceptions, assurances. |
| Gestion des politiques. | Traductions. |
| Intégration des informations et des données existantes dans la solution. Vous disposez de 200 connecteurs et d’un éditeur graphique pour créer de nouveaux connecteurs en toute autonomie. Vous pouvez agir sur les données (création, modification, suppression) si le logiciel que vous connectez le permet. |
Evaluation collaborative.
|
Vous bénéficiez en plus de cadres de référence prêts à l’emploi permettant de traiter les spécificités de ce risque et de votre Organisation
Vous pouvez ajouter les Cadres de référence progressivement, et partir de votre existant sans repartir de zéro. La solution Smart Global Governance identifie les écarts entre votre programme de conformité existant et vos nouvelles obligations pour vous fournir les exigences différentielles que vous aurez à mettre en œuvre.
| US Federal Data Security Laws | US State Data Security Laws |
| COPPA | CA SB 1386 |
| DFARS 252.204-70xx | MA 201 CMR 17.00 |
| FACTA | NY DFS 23 NYCRR500 |
| FAR 52.204-21 | OR 646A |
| FDA 21 CFR 11 | |
| FINRA | |
| HIPAA | |
| NERC CIP | |
| NISPOM | |
| SOX |
US Regulations
- Supplément à la réglementation fédérale des acquisitions de la défense (DFARS) – NIST 800-171
- Règlement fédéral sur les acquisitions (FAR)
- Programme fédéral de gestion des risques et des autorisations (FedRAMP)
- Cadre de gestion des risques d’assurance de l’information du DoD (DIARMF)
- Manuel d’exploitation du programme national de sécurité industrielle (NISPOM)
- Département des services financiers de New York (NY DFS) 23 NYCRR 500
Exigences contractuelles en matière d'IT Security et de confidentialité
- Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS)
- Autorité de régulation du secteur financier (FINRA)
- Contrôle des organisations de services (SOC)
- Principes de confidentialité généralement acceptés (GAPP)
Meilleures pratiques de l'industrie en matière d'IT Security
| Centre pour la sécurité Internet (CIS) Contrôles de sécurité critiques (CSC) | NIST 800-122 : Guide pour la protection de la confidentialité des informations personnellement identifiables (PII) |
| Cloud Security Alliance (CSA) Matrice des contrôles du cloud (CCM) | NIST 800-160 : Systems Security Engineering : Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems (Considérations pour une approche multidisciplinaire de l’ingénierie des systèmes sûrs et fiables). |
| Agence de cybersécurité du ministère de la Défense (DISA) Guides de mise en œuvre des technologies sécurisées (STIG) | NIST 800-161 : Pratiques de gestion des risques de la chaîne d’approvisionnement pour les organisations et les systèmes d’information fédéraux. |
| ISO 15288 : Ingénierie des systèmes et des logiciels — Processus de cycle de vie des systèmes | NIST 800-171 : Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations (Protection des informations non classifiées contrôlées dans les systèmes et organismes d’information non fédéraux) |
| ISO 27001 et ISO 27002 : Technologies de l’information — Techniques de sécurité — Code de pratique pour les contrôles de cybersécurité | NIST IR 7298 : Glossaire des principaux termes d’IT Security |
| ISO 37001 | NIST IR 8062 : Introduction à l’ingénierie de la confidentialité et à la gestion des risques dans les systèmes fédéraux |
| NIST 800-39 : Managing Cybersecurity Risk : Organization, Mission and Information System View (Gestion du risque IT Security : organisation, mission et système d’information) | Open Web Application Security Project (OWASP) |
| NIST 800-53 : Contrôles de sécurité et de confidentialité pour les organisations et les systèmes d’information fédéraux. | Les 10 risques les plus critiques pour la sécurité des applications Web de l’OWASP |
| NIST 800-64 : Security Considerations in System Development Lifecycle (Considérations de sécurité dans le cycle de vie du développement des systèmes) | Projet de norme de vérification de la sécurité des applications de l’OWASP (ASVS) |
| NIST 800-37 : Guide for Applying the Risk Management Framework to Federal Information Systems : A Security Life Cycle Approach |
Pouvoir aller plus vite avec nos modules et applications complémentaires
- Connectez automatiquement les données non structurées et structurées aux modules de la solution pour un contrôle continu grâce à Smart Forensic et Data Discovery (testez le gratuitement pendant trois mois) pour exemple pour contrôler automatiquement les écarts entre votre plan de contrôle et la réalité.
- Sensibilisez vos équipes aux enjeux sur les risques digitaux pour accroitre leur efficacité avec l’e-learning Smart Global Academy.
- Gérez le risque tiers avec le module dédié.
- Anonymisez vos données avec Smart.Anonymiser.
