La boîte à outils d'évaluation des prestataires communautaires de l'enseignement supérieur (HECVAT) aide l'enseignement supérieur à atténuer l'impact des risques de sécurité liés aux relations avec les fournisseurs proposant des services basés sur le cloud.
Avec l’augmentation des attaques contre la chaîne d’approvisionnement et les risques liés aux fournisseurs parmi les trois premiers vecteurs d’attaque pour les violations de données, la conformité HECVAT devient une exigence obligatoire pour tout partenariat avec des établissements d’enseignement supérieur.
Si vous êtes un prestataire tiers souhaitant vous développer dans le secteur de l’éducation ou si vous avez été tenu de vous conformer à la HECVAT, ce guide de conformité vous aidera. Pour tirer le meilleur parti de cet article, téléchargez la liste de contrôle ci-jointe.
Un aperçu rapide de HECVAT
HECVAT a été créé par le Conseil de sécurité de l'information sur l'enseignement supérieur (HEISC) et le groupe de travail sur les évaluations partagées en collaboration avec Internet2 et REN-ISAC.
L’objectif de HECVAT est de permettre aux établissements d’enseignement supérieur de continuer à tirer parti des avantages opérationnels des fournisseurs de services cloud tout en minimisant l’impact de leurs risques de sécurité.
En savoir plus sur les risques inhérents et résiduels >
Deux acteurs interviennent dans le processus d’évaluation HECVAT :
- Établissements d'enseignement supérieur – La conformité HECVAT confirme qu'un prestataire suit les meilleures pratiques en matière de protection des données. Cela confirme à son tour que le fournisseur a mis en place des contrôles de cybersécurité pour atténuer l’impact de la compromission des données sensibles en cas de tentative de violation de données.
- Fournisseurs externes – Les fournisseurs tiers conformes à la HECVAT augmentent vos chances d'établir des relations commerciales dans le secteur de l'éducation.
HECVAT était à l’origine connu sous le nom d’outil d’évaluation des fournisseurs de cloud pour l’enseignement supérieur et comprenait une longue liste de questions de sécurité. Avec son changement de nom, HECVAT est devenu un ensemble d'outils complet pour prendre en charge la gestion des risques pour tous les fournisseurs de services tiers, et pas seulement pour les services cloud.
Découvrez l’état de la cybersécurité universitaire >
L'ensemble d'outils HECVAT propose désormais plusieurs outils pour répondre aux exigences uniques de gestion des risques de cybersécurité des différents établissements d'enseignement et prestataires de services tiers.
- HECTVA Complet – Il s’agit de l’évaluation de sécurité la plus complète réalisée par HECVAT. Les 250 questions complètes d'HECVAT offrent le plus haut niveau d'examen des contrôles de sécurité qui protègent les informations personnelles identifiables (PII).
- HECTVA Lite – Cet outil HECVAT est une version plus concise de HECVAT complète. Cette évaluation des risques convient aux prestataires qui ne traitent pas de données critiques.
- HECTVA sur place – L'évaluation locale HECVAT est utilisée pour évaluer les informations de traitement des appareils locaux.
- Triage HECTVA – Cette évaluation est destinée uniquement aux établissements d'enseignement, et non aux prestataires. L'évaluation Triage aide les entités éducatives à documenter leurs intentions de partager des données afin qu'elles puissent être partagées avec des prestataires potentiels.
Plus d'informations sur HECTVA >
Liste de contrôle de conformité HECTVA
La liste de contrôle suivante peut être utilisée comme modèle pour un programme de cybersécurité conforme à la HECVAT. De nombreux éléments doivent être pris en compte lors de l’évaluation de la conformité à la TVA HEC. Par souci de concision, seuls les principaux éléments de conformité HECVAT sont décrits ci-dessous. Vous pouvez télécharger une liste de contrôle complète de conformité HECVAT en suivant le lien ci-dessous.
Téléchargez la check-list complète de conformité HECTV >
1. Identifiez quel niveau HECTVA s'applique à vous
La première étape vers la conformité HECVAT consiste à comprendre quel niveau de l’ensemble d’outils s’applique à votre organisation. Pour vous aider à décider, voici un aperçu des différents cas d’utilisation pour chaque évaluation :
Qui doit remplir le formulaire HECVAT complet ?
La HECVAT complète doit être renseignée par les prestataires qui traitent les données clients critiques, telles que les informations personnellement identifiables (PII).
Découvrez ce qui constitue une classification PII >
Les prestataires tenus de réaliser une HECVAT complète ne rentrent pas forcément dans une catégorie objective. Les échelles de sensibilité des données diffèrent selon l'organisation, et vous pouvez décider que les prestataires qui doivent se conformer à la HIPAA doivent également effectuer une évaluation HECVAT complète.
Heureusement, cette décision n’est pas entièrement motivée par l’intuition. Une réponse quantitative peut être obtenue en mappant vos politiques de classification des données sur la liste de contrôle de sécurité HECVAT (celle-ci se trouve dans le troisième onglet de l'évaluation HECVAT complète).
L’évaluation HECVAT complète est accessible via le site Educause.
Qui doit compléter HECVAT Lite ?
HECVAT Lite doit être complété par des prestataires de services qui ne traitent pas d'informations personnelles identifiables, que ce soit au sein de solutions cloud ou d'appareils sur site.
Si vous ne savez pas si vos processus impliquent des informations personnelles, vous devez effectuer une évaluation HECVAT complète pour en être sûr.
L’évaluation HECVAT Lite est accessible via le site Educause.
Qui doit réaliser HECVAT On-Premise ?
Les fournisseurs de services disposant d’appareils ou de logiciels traitant des informations critiques dans leurs installations doivent compléter l’évaluation locale.
L’évaluation HECVAT On-Premise est accessible via le site Educause.
Qui doit effectuer le tri HECVAT ?
Idéalement, tous les établissements d’enseignement se livrant à une quelconque forme de partage de données privées compléteraient la classification HECVAT. Les évaluations de notation sont souvent demandées dans le processus d’évaluation des risques lors des audits de sécurité des établissements d’enseignement.
En savoir plus sur les évaluations de sécurité >
Veuillez noter que toutes les évaluations HECVAT gratuites sur le site Educause sont disponibles au format xls et que l'administration de quiz dans des feuilles de calcul n'est pas une bonne pratique pour un programme VRM évolutif.
Pour plus de facilité d'utilisation, une solution de gestion de l'évaluation des fournisseurs comprenant un modèle de questionnaire HECVAT doit être utilisée.
Découvrez comment faire évoluer votre programme VRM >
2. Identifiez vos seuils de partage de données
Cette étape s’applique uniquement aux établissements d’enseignement. Réalisez un classement HECVAT pour cartographier tous vos engagements de partage de données et les datacenters dans lesquels sont stockées les données institutionnelles, y compris les flux entre solutions SaaS. Cet effort peut également vous obliger à cartographier l’empreinte numérique de votre écosystème informatique.
Les données collectées à partir d'une évaluation de notation fourniront une image de vos seuils de partage de données, des informations qui éclaireront la définition de votre appétit pour le risque.
3. Adaptez vos seuils de partage de données à votre appétit pour le risque
Le résultat de votre évaluation de notation peut conduire à une réévaluation de votre appétit pour le risque. Après avoir comparé les deux profils, vous constaterez peut-être que votre appétit pour le risque doit être ajusté en fonction des risques de sécurité associés aux pratiques de partage de données négligées.
Un appétit pour le risque bien défini permettra de maintenir tous les efforts de traitement des données, y compris ceux impliqués dans les processus d'acquisition, dans les limites recommandées par HECVAT.
Apprenez à calculer votre appétit pour le risque >
4. Identifiez les éventuelles lacunes en matière de contrôle de sécurité entre HECVAT et votre programme de cybersécurité
Il est important de comprendre que l’outil d’évaluation des prestataires communautaires de l’enseignement supérieur (HECVAT) n’a pas été conçu de toutes pièces. Ses fonctionnalités ont été influencées par diverses réglementations et cadres de cybersécurité, notamment HIPAA et PCI DSS. Même la structure des rapports SOC, en particulier les éléments d'auto-divulgation, a joué un rôle dans l'élaboration du programme d'évaluation final de HECVAT.
Étant donné que la TVA HEC correspond à plusieurs réglementations et normes de gestion des risques des fournisseurs, vous avez peut-être déjà mis en place des contrôles de sécurité qui prennent en charge la conformité à la TVA HEC. Vous pouvez le confirmer en comparant la liste des contrôles recommandés par HECVAT avec la vôtre.
La liste des contrôles HECVAT et les lignes directrices se trouvent dans le troisième onglet de l'évaluation HECVAT complète.
Une compréhension plus approfondie de votre processus de gestion des contrôles de sécurité révélera la véritable force de vos plans de continuité d’activité, de reprise après sinistre et de réponse aux incidents.
Découvrez comment obtenir un score HECTVA acceptable >
La HECVAT est-elle suffisante pour gérer les risques fournisseurs des établissements d’enseignement supérieur ?
HECVAT propose aux établissements d'enseignement une feuille de route pour améliorer la sécurité de leurs fournisseurs, mais n'aborde pas l'ensemble de la gestion des risques fournisseurs (VRM).
HECVAT n'est essentiellement qu'un questionnaire de sécurité, qui n'est qu'un élément d'un programme de gestion des risques fournisseurs au sein de la catégorie d'évaluation des risques.
Le cycle de vie de la gestion des risques fournisseurs est composé de 4 étapes :
- Évaluations des risques – Utilisé pour découvrir les vulnérabilités et les risques tiers. Ils sont souvent thématiques et correspondent à HECVAT. et d'autres cadres tels que le NIST CSF.
- Planification des mesures correctives – Hiérarchisation intelligente des risques des fournisseurs ayant le plus grand impact négatif potentiel sur les postures de sécurité.
- Surveillance continue – Surveillance continue de la surface d'attaque interne et tierce grâce à des évaluations de sécurité et des analyses de détection de fuites de données.
- Découverte des menaces – Découverte de nouveaux risques résiduels issus des efforts de surveillance.
UpGuard propose une solution complète de gestion des risques liés aux fournisseurs pour aider les établissements d'enseignement à aborder toute la portée de la sécurité des fournisseurs. UpGuard propose également des questionnaires de sécurité spécifiques à HECVAT pour aider les entités éducatives et les prestataires à suivre leurs performances en matière de cybersécurité par rapport aux normes de sécurité HECVAT.
Étant donné que HECVAT correspond à un certain nombre de cadres de sécurité, tels que NIST CSF, ISO 27002, HIPAA, les contrôles de sécurité critiques CIS, etc., garantir l'alignement avec ces cadres peut simplifier les efforts de conformité HECVAT.
Avec une plateforme comme UpGuard, vous pouvez suivre vos efforts d'alignement avec des cyber-frameworks populaires comme NIST CSF. Regardez la vidéo ci-dessous pour un aperçu des capacités de reporting de conformité d'UpGuard dans ce domaine.
