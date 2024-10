HITRUST publie sa vision pour 2025 visant à accroître la durabilité et les résultats en matière de sécurité grâce à la surveillance continue des contrôles

FRISCO, Texas, 3 octobre 2024 /CNW/ - HITRUST, le principal fournisseur de services de gestion des risques informatiques, de sécurité et d'assurance de la conformité, annonce aujourd'hui HITRUST Continuous Assurance, la dernière évolution stratégique fondée sur l'écosystème éprouvé de HITRUST. Alors que les organisations continuent d'équilibrer le coût et la complexité de la surveillance de la sécurité et de la conformité avec la nécessité d'obtenir des résultats en matière de sécurité, une approche systématique et efficace de l'assurance continue est essentielle. Les menaces à la sécurité ne sont pas statiques, et la nécessité de réduire efficacement la détérioration des preuves et de veiller continuellement à ce que les exigences en matière de sécurité restent pertinentes et fiables est essentielle compte tenu de l'évolution du contexte des menaces.

« Les frais généraux traditionnels et un nombre croissant de nouvelles approches exclusives et inefficaces visant à accélérer les pratiques désuètes doivent être mis de côté pour améliorer les résultats en matière de cybersécurité sans imposer un fardeau aux services essentiels dans de multiples industries », a déclaré Robert Booker, directeur de la stratégie chez HITRUST, lors de son discours à la conférence HITRUST Collaborate. « Les approches qui accordent la priorité à la conformité plutôt qu'à la sécurité sont compréhensibles dans les industries hautement réglementées, mais elles sont malheureusement à courte vue et font partie du problème et non de la solution. »

Les approches traditionnelles ne s'appuient pas sur une base éprouvée de contrôles pertinents, ne suivent pas le rythme des cybermenaces et ne permettent pas de souscrire une assurance contre les risques liés à la cybersécurité, car elles n'offrent pas de résultats et de validation démontrables en matière de sécurité ni d'assurance fondée sur la qualité, la transparence et l'intégrité. L'avènement de technologies transformatrices comme l'IA générative rend ce problème encore plus difficile, avec de nouvelles menaces et vulnérabilités à surmonter.

La détérioration des preuves a toujours été un problème pour les systèmes de gouvernance fondés uniquement sur la vérification, et HITRUST a largement atténué ce risque grâce à son système de qualité complet et centralisé, à ses exigences en matière de renouvellement rapide des accréditations, et à la validation des politiques et procédures qui sous-tendent les résultats en matière de sécurité. De plus, le système de HITRUST est fondé sur un modèle de maturité qui encourage les organisations à rechercher des niveaux plus élevés de maturité de la sécurité, y compris l'évaluation et la gestion des exigences de sécurité.

L'assurance continue est possible en plus de l'écosystème éprouvé de HITRUST qui a validé et certifié des milliers de systèmes au service de plusieurs industries. Après 15 ans, HITRUST continue d'afficher un grand succès, comme le montre le 2024 HITRUST Trust Report, où 99,4 % des certifications HITRUST actuelles, y compris dans des organisations de tailles variées dans de nombreuses industries, n'ont pas signalé de violation au cours des deux dernières années (2022 et 2023) tout en opérant dans l'un des environnements les plus agressifs de l'histoire en matière de cyberattaques. Ce succès est rendu possible par la combinaison du cadre de cybersécurité de HITRUST et d'une méthodologie requise qui évalue la maturité du contrôle à l'aide d'un modèle novateur d'évaluation des contrôles basé sur PRISMA soutenu par des milliers d'évaluateurs qualifiés et indépendants à l'échelle mondiale, tous surveillés par le système centralisé d'assurance de la qualité de HITRUST.

« La certification de HITRUST au niveau r2 exige une base solide de mise en œuvre de politiques, de procédures et de contrôles qui fournit un niveau d'assurance plus élevé fondé sur des preuves directes plutôt que sur des preuves circonstancielles », a déclaré Bimal Sheth, vice-président directeur, Développement des normes et opérations d'assurance chez HITRUST. « HITRUST s'appuie sur ce cadre éprouvé comme fondement de l'assurance continue. »

Éléments de l'assurance continue :

L'assurance continue va jusqu'au bout, en permettant l'intégration avec des technologies qui fournissent des mesures et une gestion des contrôles de sécurité. Il en résulte des niveaux d'assurance sans précédent en réduisant au minimum la détérioration des preuves grâce à la surveillance de preuves d'assurance clés et à la télémétrie de sécurité sur une base continue, le tout conçu pour détecter ou éviter les dérives dans la posture de contrôle d'une organisation. De multiples capacités existantes et prévues rendent l'assurance continue possible :

Taxonomie de surveillance continue par l'intermédiaire du cadre de cybersécurité de nouvelle génération de HITRUST : Les exigences en matière de contrôle demandent différentes approches de l'assurance continue pour assurer la pertinence et la fiabilité de la surveillance de la maturité de la sécurité. L'identification des catégories d'exigences de contrôle adaptées à l'assurance continue sera prise en charge dans la prochaine génération du cadre de cybersécurité de HITRUST, qui sera déployée par phases à compter de 2025, en commençant par le cadre de cybersécurité v12 de HITRUST. Améliorations au flux de production de la surveillance continue : La plateforme MyCSF de HITRUST comprendra de nouvelles capacités de flux de travail qui permettront aux entités évaluées de publier des mises à jour des preuves et d'obtenir la validation des preuves de la durabilité continue des contrôles. L'inspection et l'approbation varieront selon la catégorie de contrôle, et le système soutiendra les relations et le flux de travail nécessaires pour analyser les preuves soumises et confirmer qu'elles conviennent à l'exigence de contrôle et à la portée sous-jacente de la certification. En fonction de la rigueur et de l'importance des différentes exigences de contrôle, des évaluateurs externes seront nécessaires pour examiner et valider les résultats en matière de sécurité et contribuer de façon essentielle aux résultats de l'assurance continue. Collecte automatisée des preuves : La capacité actuelle de collecte automatisée des preuves de HITRUST soutient l'intégration avec les entités évaluées et les cadres de technologie et de conformité existants. Ces services représentent une base importante en fournissant la référence des preuves utilisées pour l'assurance de la sécurité et de la conformité tout en réduisant les coûts et la complexité. Inspection continue des résultats : HITRUST offrira de nouveaux services à compter de la fin de 2025, ce qui permettra aux fournisseurs de services et de technologies qualifiés de démontrer leur fidélité à HITRUST, leur intégrité et des capacités d'intégration suffisantes pour orienter les cotes de maturité de la sécurité et démontrer le respect des exigences en matière de sécurité grâce à leurs systèmes. Des fournisseurs de services infonuagiques et de technologies de sécurité sélectionnés, qualifiés et de premier plan fourniront tous ces services en plus des capacités solides et existantes de responsabilité partagée et d'héritage fournies par HITRUST. Système de distribution des résultats : La plateforme numérique existante de HITRUST permet la distribution et l'intégration harmonieuses des résultats d'évaluation et de certification, des plans de mesures correctives et des mises à jour sur l'état, éliminant ainsi le recours aux rapports PDF et permettant l'examen électronique des résultats de sécurité, l'analyse des mesures de maturité individuelles et la surveillance des engagements de remédiation sur demande et avec une fidélité accrue. Intégration de la gouvernance, de la gestion des risques et de la conformité (GRC) : Les résultats de l'évaluation et de l'assurance de HITRUST peuvent maintenant être intégrés directement au soutien des systèmes de gestion des risques des tiers et de GRC pour une analyse plus immédiate et plus précise, une remédiation plus rapide et une transparence accrue, y compris la gestion essentielle des risques des tiers et le soutien au flux de production grâce à des améliorations de l'efficacité et à une documentation claire et traçable.

Grâce à sa conception, le système HITRUST Continuous Assurance soutiendra à la fois la surveillance du contrôle systémique par l'inspection continue des résultats et la collecte d'artéfacts de sécurité avec des flux de travail de validation qui prouvent la conformité aux politiques et procédures requises. Les systèmes matures et complexes nécessiteront probablement une combinaison de formes de surveillance de sécurité automatisées et axées sur les artéfacts pour veiller au maintien de la pertinence des politiques et procédures.

Tirer parti d'un écosystème éprouvé :

L'assurance continue n'est possible que lorsqu'elle est assurée par un écosystème éprouvé. Au cours des 15 dernières années, HITRUST a bâti un écosystème prêt à offrir une assurance continue, avec notamment :

Un vaste portefeuille d'évaluation : HITRUST offre une gamme complète d'options d'évaluation qui couvrent divers niveaux d'assurance. Cela permet aux organisations et aux parties concernées d'harmoniser leurs efforts de gestion des risques avec la sélection des menaces et des contrôles adaptatifs qui est continuellement mise à jour en fonction de l'évolution des menaces. Des contrôles adaptatifs des cybermenaces : Le cadre de cybersécurité de HITRUST est continuellement mis à jour à mesure que de nouvelles cybermenaces sont identifiées et en réponse aux menaces actives. Cela permet aux organisations d'envisager continuellement les changements nécessaires pour gérer leurs risques et maintenir les protections requises par le système de sécurité. Les assurances ne restent valides que si elles mettent en œuvre les exigences de sécurité appropriées pour lutter contre les menaces actuelles. Une gestion de la qualité de l'assurance : Il s'agit d'une approche centralisée, éprouvée et transparente de l'assurance de la qualité qui comprend l'examen, la mise à l'essai et la validation des preuves de sécurité par des évaluateurs externes formés et qualifiés. Les normes de qualité sont publiées et adéquatement mesurées, testées et validées par des évaluateurs externes, puis par HITRUST. Cela garantit que les résultats en matière de sécurité et la certification qui en découle sont transparents, évolutifs, cohérents et précis et qu'ils démontrent l'intégrité requise par les parties concernées, dont les organismes de réglementation. Un héritage et une responsabilité partagée : Dans de nombreux cas, les contrôles de sécurité peuvent être hérités de fournisseurs de services comme les fournisseurs de services infonuagiques et, désormais, les fournisseurs de services d'IA. Cette capacité permet aux entités évaluées de compter sur ces fournisseurs de services pour fournir les composants du dispositif de sécurité en fonction de la validation et de la certification de leurs services ou pour partager la responsabilité des contrôles. L'assurance continue soutiendra l'héritage et la responsabilité partagée des contrôles dans les cas d'utilisation appropriés.

Optimisée par les intégrations de plateforme :

HITRUST Continuous Assurance s'appuie sur un réseau en expansion de capacités d'intégration de fournisseurs de plateformes et de services reconnus. Ces intégrations simplifieront le processus de gestion des risques liés à l'information et à la cybersécurité et permettront aux clients de l'écosystème de HITRUST d'intégrer les capacités d'assurance continue de plusieurs fournisseurs, le cas échéant.

Résultats éprouvés :

HITRUST Continuous Assurance offre un modèle de maturité riche et éprouvé. Toutefois, des atteintes à la sécurité et des perturbations des services découlant de cyberincidents se produisent toujours, et l'assurance continue permettra d'obtenir des résultats de sécurité encore plus élevés et des niveaux d'assurance supérieurs. « L'information issue des contrôles de surveillance de façon continue peut aider les organisations à évaluer en permanence l'état de leurs contrôles de sécurité de l'information et, par la suite, le niveau de risque résiduel supplémentaire auquel l'organisation pourrait s'exposer. L'introduction d'approches plus continues ou soutenues au cours des évaluations ponctuelles et de l'analyse des lacunes de contrôle augmente la fidélité des décisions actuelles fondées sur les risques et améliore les résultats en matière de cybersécurité », a déclaré Bryan Cline, directeur de recherche chez HITRUST.

