Le quoi, pourquoi et comment répondre aux questionnaires de sécurité
Publié: 2021-08-20Vous disposez de nombreuses options de solutions pour vous aider à émettre un questionnaire de sécurité.
Lorsqu'il s'agit de répondre à un questionnaire de sécurité, il y a moins d'options, mais vous serez heureux de savoir que des solutions existent pour vous aider dans ce que certains considèrent comme un processus manuel et répétitif.
Des questionnaires de sécurité existent afin que les organisations puissent vérifier que leurs données seront sécurisées en transit, en cours d'utilisation et au repos avec des fournisseurs tiers. Les consommateurs exigent que leurs données privées, financières, médicales et autres soient sécurisées à tout moment. Dans la plupart des industries, des réglementations de conformité existent pour garantir le respect des normes de protection minimales.
Pour prouver la conformité, les fournisseurs doivent remplir des questionnaires de sécurité dans le cadre d'une évaluation des risques.
Traditionnellement, les questionnaires de sécurité arrivent sous la forme d'une feuille de calcul ou d'un autre document téléchargeable. Les solutions technologiques qui automatisent le processus de réponse à ces questionnaires peuvent s'avérer indispensables si vous souhaitez gagner du temps et assurer la cohérence des réponses aux questionnaires.
Il existe une tendance croissante aux portails de questionnaires de sécurité en ligne qui rendent l'automatisation délicate et obligent les fournisseurs à répondre à plus de questions une par une. Bien qu'il existe certaines technologies et techniques qui aideront à accélérer la réponse aux questionnaires de sécurité dans les portails en ligne, les stratégies d'automatisation reposent fortement sur des intégrations tierces propriétaires qui peuvent être coûteuses et ne s'appliquer qu'à une « saveur » de sécurité.
En tant que fournisseur confronté à de plus en plus de questionnaires de sécurité de plus en plus sophistiqués, vous avez pour défi d'y répondre de manière efficace et complète.
Qu'est-ce qu'un questionnaire de sécurité ?
Un questionnaire de sécurité est utilisé lorsqu'une organisation doit évaluer si ses données seront en sécurité lorsqu'elles échappent à son contrôle, généralement entre les mains d'un fournisseur.
Les consommateurs et les clients font confiance aux organisations avec leurs données commerciales et privées en supposant qu'elles seront en sécurité tant qu'elles seront sous le contrôle de cette organisation. Les organisations doivent s'assurer que toute personne ou entité extérieure à l'organisation maintient un niveau de sécurité minimum égal à celui de l'organisation.
En d'autres termes, si vous avez un garde du corps ceinture noire de karaté qui vous accompagne partout pour s'assurer que votre portefeuille est en sécurité, vous ne pouvez laisser personne emprunter votre portefeuille à moins que son garde du corps ait également au moins une ceinture noire de karaté. Et les deux gardes du corps doivent être là lorsque vous remettez votre portefeuille, même si l'endroit où la remise a lieu est également censé être complètement sécurisé.
Les questionnaires de sécurité proviennent généralement de l'un des trois endroits suivants :
- Construisez le vôtre, généralement dans une feuille de calcul, qui comprend une évaluation de toutes les exigences de sécurité minimales nécessaires pour accéder à vos données (c'est-à-dire "Remplissez ce formulaire pour prouver que votre garde du corps est aussi bon que mon garde du corps").
- Achetez le vôtre. Vous pouvez vous balancer pour les clôtures et tout évaluer avec quelque chose comme un questionnaire SIG (Standardized Information Gathering). Ou vous pouvez évaluer un risque spécifique avec, par exemple, Nessus, qui est un outil d'évaluation de la sécurité du réseau.*
- Empruntez un questionnaire de sécurité accessible au public. Certaines organisations à but non lucratif fournissent des questionnaires qui englobent les normes convenues par un groupe de professionnels partageant les mêmes idées. Un tel exemple est le Consensus Assessment Initiative Questionnaire (CAIQ), qui est publié par la Cloud Security Alliance (CSA).
Une chose qu'un questionnaire de sécurité n'est pas est un questionnaire de diligence raisonnable (DDQ) . Il existe deux différences majeures. Premièrement, les DDQ ne sont pas aussi détaillés et se concentrent davantage sur le processus. Vous pouvez recevoir une DDQ lorsqu'une organisation veut savoir comment vous vous conformerez à ses normes et répondrez à ses besoins. C'est dans le questionnaire de sécurité où vous devrez fournir la preuve.
Deuxièmement, les DDQ arrivent généralement plus tôt dans le processus de vente par rapport à un questionnaire de sécurité. Considérez le DDQ comme le premier filtre. Les organisations pensent que si vous ne savez pas comment vous conformer à l'étape DDQ, cela ne vaut pas la peine de passer du temps sur les détails plus loin dans le processus de vente.
Cela ne signifie pas nécessairement que les questionnaires de sécurité doivent être considérés comme des étapes clés du processus de vente. Ils peuvent apparaître tôt comme les DDQ, mais ils peuvent également apparaître au stade de la démonstration plus loin dans le processus de vente ou même publier une clôture lorsque les plans d'intégration commencent à prendre forme. Recevoir un questionnaire de sécurité n'est pas une indication de votre succès éventuel. Mais ne pas répondre à temps et avec précision pourrait certainement tuer un accord.
Pourquoi les questionnaires de sécurité sont-ils nécessaires ?
Autrefois, les applications logicielles étaient hébergées en interne, ou sur site, ce qui signifiait que le propriétaire des données les possédait à tout moment. Il y avait encore des questionnaires de sécurité, mais ils étaient beaucoup moins impliqués.
Avec le passage au SaaS, les données et les applications critiques pour l'entreprise sont confiées à un tiers. Avant qu'une organisation embarque une solution SaaS, elle doit avoir confiance en deux choses, du point de vue de la sécurité. Premièrement, toutes ses données seront en sécurité avec le fournisseur de cette solution SaaS.
Deuxièmement, l'application sera disponible en cas de besoin et conforme aux critères de disponibilité convenus (par exemple, vous ne voulez pas que le système RH tombe en panne juste avant le traitement de la paie). Les questionnaires de sécurité se sont multipliés à la suite de l'assaut des solutions SaaS.
Néanmoins, les questionnaires de sécurité évaluent plus que les aspects spécifiques à la sécurité des données, tels que le chiffrement ou le stockage. Les questions peuvent porter sur la sécurité du réseau, les processus d'audit et de conformité, et même la sécurité physique de vos sites, pour n'en nommer que quelques-uns. Le fait est que les questionnaires deviennent plus courants, plus longs et plus complexes pour deux raisons principales.
Premièrement, les solutions SaaS gagnent en complexité et en interconnectivité. Il existe rarement une application métier entièrement autonome. Ils ont souvent besoin de se parler pour aider les organisations à atteindre un objectif plus large.
Plus il y a d'applications qui doivent communiquer entre elles, plus l'exposition au risque est grande, ce qui entraîne des évaluations de sécurité plus strictes.
Deuxièmement, les menaces évoluent constamment. Il n'y a pas de système 100 % sécurisé, principalement parce que peu importe la sécurité et l'intelligence des systèmes, il y aura toujours une empreinte humaine quelque part.
88%
des violations de données peuvent être attribuées à une erreur humaine.
Source : RSSI Mag
Des systèmes de vote aux réseaux de distribution de carburant en passant par les grands détaillants, les acteurs malveillants peuvent pivoter rapidement pour diriger les cyberattaques partout où ils trouvent une faiblesse.
À quoi s'attendent les examinateurs du questionnaire de sécurité ?
Une réponse honnête, directe et complète. Et de respecter leur temps. Faites attention aux instructions. Certaines questions nécessitent des réponses brèves et directes. D'autres exigent des explications détaillées sur les types de contrôles en place.
Même avec la prise en charge de l'automatisation, vous devrez réfléchir à chaque réponse pour vous assurer qu'elle est correctement répondue. Si une réponse en deux parties est requise, fournissez toujours une brève description de votre réponse. Ceci est particulièrement important lorsque vous devez répondre « non » ou « sans objet ».
Votre réponse ne doit pas toujours être affirmative. Ne dites pas oui parce que vous avez l'intention de mettre en œuvre quelque chose. Ces plans deviennent des obligations que vous ne pourrez peut-être pas remplir. Ne répondez jamais par l'affirmative si vous ne pouvez pas livrer. Attendez-vous toujours à ce que le client demande une preuve.
Soyez direct. Utilisez une voix active. La concision compte. Parfois, les questions sont posées de différentes manières plusieurs fois. Évitez de copier-coller et de paraître évasif. Ne perdez pas de temps à essayer de deviner les priorités des examinateurs. Ils révèlent rarement ce qui est obligatoire. Supposons que les équipes de conformité et de gestion des risques examinent toutes les réponses au peigne fin.
Votre objectif doit être d'avoir une réponse aussi complète que possible. Plus la réponse est complète, moins vous avez de chances d'avoir des suivis - plus tôt l'évaluation des risques est terminée, plus tôt la transaction peut être conclue. Vous ne voulez pas que la réponse au questionnaire de sécurité retarde la transaction. Ils viennent plus tard dans le processus de vente et plusieurs séries de suivis ou de clarifications ralentiront le processus, ce qui frustrera votre équipe de vente sans fin.
Éléments clés d'un questionnaire de sécurité
Dans la plupart des cas, les questionnaires de sécurité évaluent un large éventail de contrôles de sécurité. Attendez-vous à des questions sur plusieurs types de sécurité.
"Saveur" de sécurité | Exemple de question |
Sécurité des applications | Votre application Web possède-t-elle un certificat SSL ? |
Audit & Conformité | À quelle fréquence auditez-vous la conformité au California Consumer Privacy Act (CCPA) ? |
Continuité de l'activité | En cas de panne, comment votre application reste-t-elle en service ? |
reprise après sinistre | En cas de violation de données, combien de temps vous faudra-t-il pour nous en informer ? |
Le contrôle des changements | Quelle est la définition d'un changement d'urgence ? |
Sécurité des données/informations | Quelles directives votre programme de sécurité suit-il ? |
Confidentialité des données | Quel est le processus de sauvegarde de vos données ? |
Gestion du chiffrement | Le produit utilise-t-il le cryptage ou d'autres techniques cryptographiques ? |
Sécurité physique | Travaillez-vous dans un espace de bureau partagé? |
Gouvernance et gestion des risques | Conservez-vous un enregistrement des événements de sécurité ? |
HEURE | Formez-vous vos employés à la détection des cyberattaques ? |
Gestion des identités et des accès | Votre application offre-t-elle une authentification unique (SSO) ? |
Gestion tierce | Sous-traitez-vous les fonctions de sécurité à des prestataires tiers ? |
Gestion des vulnérabilités | Quels logiciels ou techniques utilisez-vous pour effectuer des analyses de vulnérabilité ? |
De nombreuses questions et exigences de contenu relèveront de l'un des quatre éléments suivants.
1. Certificats de conformité de sécurité
La preuve des certifications de conformité de sécurité est l'élément d'information le plus souvent demandé dans un questionnaire de sécurité. Des exemples de certificats de conformité de sécurité incluent Service Organization Control 2 (SOC 2), International Organization for Standardization (ISO) et National Institute of Standards and Framework's Cybersecurity Framework (NIST CSF).
2. Politiques de cybersécurité et documents de politique
Celles-ci seront probablement celles qui vous prendront le plus de temps. Ils couvrent de nombreux domaines, y compris la sécurité de l'information, physique, des applications, de l'infrastructure et du réseau. Ces questions évaluent vos politiques de sécurité informatique, de confidentialité des données et de résilience de l'entreprise. Parfois, il vous sera demandé de fournir le document de politique complet. D'autres fois, il vous sera demandé de retirer des sections spécifiques.
3. Procédures de sécurité
Ce composant est l'endroit où les organisations souhaitent évaluer vos procédures pour protéger les informations, les données et les systèmes des clients.
Les questions et demandes peuvent porter sur :
- Procédures pour la formation de sensibilisation à la sécurité des employés
- Procédures de correction, de mise à niveau et d'atténuation des vulnérabilités sur les serveurs ou les postes de travail
- Procédures de gestion des incidents en cas de faille de sécurité ou autre incident
- Plan de reprise après sinistre et de continuité des activités en cas d'indisponibilité prolongée
- Surveillance et suivi des activités malveillantes
4. Risques informatiques et contrôles d'atténuation
Si une organisation accepte votre risque en vous ajoutant en tant que fournisseur, elle doit savoir dans quoi elle s'engage. Plus important encore, ils veulent savoir ce que vous faites déjà pour atténuer les risques.
Vous verrez des demandes telles que :
- Soumettre un plan de gestion des risques
- Identifier la liste des risques pouvant impacter directement nos données et nos systèmes d'information
- Décrivez votre méthodologie d'évaluation des risques
- Lister les contrôles de sécurité en place pour atténuer les risques
- Énumérer le personnel/les rôles responsables de la gestion des risques
Notez que vous avez probablement déjà de nombreuses réponses à ces questions. La question est où sont-ils situés ? C'est la clé pour répondre plus rapidement aux questionnaires de sécurité.
5 conseils pour répondre plus rapidement aux questionnaires de sécurité
Avec de plus en plus de questionnaires de sécurité résultant de la prolifération du SaaS (et de l'infrastructure en tant que service [IaaS] et de la plate-forme en tant que service [PaaS]), la précision, l'efficacité et la répétabilité seront essentielles pour répondre de manière transparente à plusieurs questionnaires chaque année. Ces cinq conseils vous aideront.
Mettre en œuvre l'IA et l'apprentissage automatique pour automatiser les réponses
Des solutions d'automatisation existent déjà. Ironiquement, ils sont aussi SaaS. Ce qui est important, que vous construisiez le vôtre ou que vous recherchiez un fournisseur, c'est que la solution dispose de capacités AI/ML pour faire plus que simplement copier et coller. Il y a plus à une réponse que de trouver n'importe quelle réponse ; vous devez être en mesure de trouver la meilleure réponse, rapidement.
Développer une solution de gestion de contenu pour rationaliser la recherche et la mise à jour des réponses
Vous avez probablement déjà la plupart des réponses aux questionnaires de sécurité. Habituellement, le problème est que les documents où se trouvent ces réponses sont cloisonnés, dupliqués, obsolètes, ne permettent qu'un accès limité et ne sont pas consultables. Centraliser votre contenu résoudra ce problème.
Suivez les meilleures pratiques pour réduire les délais d'exécution tout en améliorant la précision
Vos mécanismes de collaboration internes et externes entraîneront une amélioration ici. En plus de l'automatisation activée par l'IA/ML, la préparation des affectations pour que les experts en la matière répondent et révisent peut également être automatisée. Il est essentiel de mettre votre équipe au diapason pour éviter les questions de suivi frustrantes qui peuvent résulter d'une réponse incomplète ou inexacte.
Identifier une solution SaaS qui prend en charge la technologie pour interagir directement avec des portails en ligne tiers
L'automatisation AI/ML fonctionne mieux sur les formulaires téléchargeables, tels que les feuilles de calcul, les documents ou les PDF. Les portails en ligne sont plus gênants et, à ce jour, ne peuvent être automatisés que grâce à des partenariats backend entre l'émetteur de questionnaires de sécurité et les fournisseurs de solutions de réponse.
Une technologie qui peut vous aider est un portail d'extension de navigateur qui renvoie à votre bibliothèque de contenu. Ils vous aident à travailler plus rapidement sur un portail en ligne, car vous n'avez pas à basculer entre les applications pour accéder aux réponses.
Remplir les questionnaires de sécurité avant la date limite du client
Cela dépeint la compétence et la bonne volonté. Cela donne également à votre client une plus grande tranquillité d'esprit que vous preniez la sécurité au sérieux tout en respectant son temps précieux.
Ne laissez pas les questionnaires de sécurité étouffer les revenus
Répondre aux questionnaires de sécurité sous une forme ou une autre fera partie du processus d'intégration des fournisseurs dans un avenir prévisible. Sur la base du paysage actuel, vous pouvez vous attendre à ce que les questionnaires de sécurité continuent de croître en taille et en sophistication.
Les dépenses en cybersécurité devraient dépasser 1 billion de dollars et les fournisseurs tiers représentent 63 % des violations de données. Les organisations voudront plus d'assurances que leurs données seront en sécurité et que leurs applications seront disponibles.
En mettant en œuvre des processus métier qui prennent un questionnaire de sécurité de la réception à la soumission, en automatisant autant que possible le processus de réponse et en améliorant la collaboration pour garder les experts en la matière concentrés sur la tâche, vous pouvez accélérer et simplifier la façon dont vous répondez aux questionnaires. Votre objectif est de ne jamais laisser les questionnaires de sécurité constituer un goulot d'étranglement pour le processus de vente.