HITRUST® va combler les lacunes du marché en matière de fiabilité et de défis dans l'échange d'évaluations de sécurité et de confidentialité

HITRUST® a annoncé aujourd'hui une extension majeure de son portefeuille d'évaluations pour augmenter la qualité et l'efficacité des assurances dans l'éventail des besoins de sécurité de l'information. HITRUST dévoile également une nouvelle approche évolutive visant à rationaliser l'échange et l'utilisation des résultats d'évaluation dans l'écosystème des parties concernées.

La certification HITRUST CSF est le rapport d'assurance des informations le plus fiable du marché et est rendue possible par la transparence et la cohérence dans la sélection des contrôles, ainsi que dans la notation et la validation des contrôles par des évaluateurs tiers qualifiés et les équipes d'assurance et de qualité de HITRUST. Conçu avec rigueur, le processus d'assurance garantit un niveau élevé d'assurance dans les résultats obtenus. Il existe cependant de nombreuses situations où un niveau d'assurance modéré ou faible est justifié. Les organisations recherchent un éventail plus large d'options d'évaluation dont l'élaboration nécessite moins d'efforts et de temps tout en offrant un niveau de fiabilité adéquat pour les scénarios présentant un risque modéré ou faible.

Pour répondre aux besoins du marché souhaitant des niveaux d'assurance plus fiables, HITRUST ajoute deux nouvelles offres d'évaluation. Comme l'évaluation validée HITRUST CSF, ces nouvelles offres permettront de comprendre l'efficacité du contrôle ainsi que la préparation et la résilience numérique. Avec l'ajout de ces deux nouvelles offres, le portefeuille d'évaluation HITRUST comprend ce qui suit :

• L'évaluation de base actuelle (Basic Current State, bC) est une évaluation de « bonne hygiène » et offre une fiabilité plus élevée que les auto-évaluations et les questionnaires en utilisant le moteur HITRUST Assurance Intelligence Enginetm (AI Engine) pour identifier les erreurs, les omissions et les fraudes.
• L'évaluation validée d'un an (Implemented One-Year, i1) est une évaluation des « meilleures pratiques » et est recommandée pour les situations qui présentent un risque modéré ou lorsqu'une évaluation des risques de départ est nécessaire. L'i1 est conçu pour offrir des niveaux de transparence, d'intégrité et de fiabilité supérieurs aux rapports d'assurance modérés existants, avec des niveaux de temps, d'effort et de coût comparables. Des évaluateurs externes agréés par HITRUST valideront les évaluations i1.
• L'évaluation validée HITRUST CSF standard de l'industrie est une évaluation basée sur les risques et personnalisable, qui continue de fournir le plus haut niveau d'assurance pour les situations de plus grande exposition aux risques en raison des volumes de données, de la conformité réglementaire ou d'autres facteurs de risque. L'évaluation validée HITRUST CSF sera renommée « évaluation basée sur les risques validée sur deux ans (r2) ».

Jusqu'à présent, la plupart des mécanismes d'évaluation des risques faibles à modérés étaient soit auto-certifiés, soit validés par rapport à une sélection de contrôles inadaptée ou incohérente et à des programmes d'assurance limités et subjectifs. De ce fait, il est difficile pour les parties concernées d'en comprendre les exigences de contrôle ainsi que la profondeur, l'étendue et la cohérence du processus d'assurance, ce qui limite l'utilité et la fiabilité des résultats.

« Souvent, les organisations utilisent des rapports d'assurance de niveau intermédiaire tels qu'un rapport SOC 2, car ils prennent moins de temps et d'efforts tout en étant moins coûteux. Malheureusement, ces rapports d'assurance de niveau intermédiaire n'ont pas la cohérence et la fiabilité d'évaluations plus complètes telles que celles d'HITRUST », a déclaré John Houston, vice-président de la sécurité de l'information et de la confidentialité chez UPMC. « L'évaluation HITRUST i1 comble une lacune sur le marché de l'évaluation d'assurance moyenne en offrant un niveau de fiabilité et de cohérence plus élevé tout en comportant un effort et un coût similaires à ceux d'un rapport SOC 2. Et cela peut aider l'organisation à évoluer vers la certification HITRUST CSF complète, que des organisations comme UPMC assimilent à la référence absolue. »

Alors que la fiabilité est cruciale pour l'assurance, l'accessibilité, la convivialité et l'utilisation des résultats sont tout aussi importantes si les organisations souhaitent gérer les risques liés à la chaîne d'approvisionnement compte tenu de l'évolution des cybermenaces. La méthode actuelle d'obtention et d'utilisation des résultats d'évaluation par la partie concernée entraîne souvent des retards, des inefficacités et des interprétations erronées, car elle repose sur l'échange de fichiers PDF qui sont examinés pour en déterminer la portée, la notation et les plans d'action corrective avant que les informations clés ne soient souvent saisies manuellement dans un système externe de gestion des risques (third-party risk management, TPRM).

Pour répondre à la demande croissante d'une gestion efficace des risques liés aux informations tout au long de la chaîne d'approvisionnement, le système de distribution des résultats (Results Distribution System, RDS) HITRUST permettra aux entités évaluées de fournir aux parties concernées leurs résultats d'évaluation HITRUST via un centre de reporting sécurisé et centralisé, ce qui élimine le besoin d'échanger des fichiers PDF, ainsi que l'examen manuel et la saisie dans des systèmes tiers qui se produisent par la suite. Les destinataires pourront personnaliser les tableaux de bord pour afficher les résultats qui les intéressent le plus, y compris la portée, l'agrégat ou les scores de contrôle spécifiques. De plus, l'intégration avec les plateformes GRC/VRM sera disponible via l'API.

« Pour que les systèmes de gestion des risques tiers atteignent leur plein potentiel et permettent aux organisations de gérer leurs risques fournisseurs, les résultats de l'évaluation doivent être partagés et utilisés électroniquement », a déclaré Jeremy Fisher, vice-président des produits chez Archer. « Le système de distribution des résultats de HITRUST est un important progrès allant dans ce sens. Il renforcera grandement notre concentration sur l'interaction avec les fournisseurs via Archer Engage. »

L'expansion du portefeuille d'évaluation HITRUST et l'ajout du RDS étendent davantage la position de HITRUST en tant qu'innovateur et leader en matière de gestion des risques liés à l'information, la conformité et l'assurance. HITRUST continue de générer des niveaux d'assurance plus élevées et une plus grande efficacité dans l'écosystème d'assurance. « HITRUST s'appuie sur notre leadership commercial pour fournir des assurances fiables en introduisant des produits d'assurance de l'information de niveau modéré et inférieur », a déclaré Bimal Sheth, vice-président exécutif, Développement des normes et opérations d'assurance, HITRUST. « Aucun autre organisme d'évaluation ou de certification n'est en mesure de répondre aux besoins croissants du marché mondial en matière d'évaluation des informations et de diffusion électronique des résultats. »

L'évaluation r2 standard de l'industrie (évaluation validée HITRUST CSF) est actuellement disponible tandis que les évaluations bC et i1 seront commercialisées vers la fin de l'année. Toute évaluation i1 ou r2 soumise avec une réservation est dotée d'une garantie de niveau de service garantissant un rapport d'évaluation dans les 45 jours.

Pour en savoir plus :

S'inscrire au webinaire

Portefeuille d'évaluation élargi

Système de distribution des résultats

À propos de HITRUST®

Depuis sa création en 2007, HITRUST a soutenu des programmes qui protègent les informations sensibles et gèrent les risques liés aux informations pour les organisations de tous les secteurs et tout au long de la chaîne d'approvisionnement tierce. En collaboration avec les leaders de la confidentialité, de la sécurité de l'information et de la gestion des risques des secteurs public et privé, HITRUST développe, maintient et fournit un large accès à ses cadres communs de gestion des risques et de la conformité largement adoptés, ainsi qu'aux méthodologies d'évaluation et d'assurance associées. Pour plus d'informations, consultez le site www.hitrustalliance.net.

Le texte du communiqué issu d'une traduction ne doit d'aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d'origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.