I fornitori rilevanti sono provider esterni che incidono in modo sostanziale sulle operazioni, sui servizi o sulla postura di sicurezza di un'organizzazione. Possono includere host cloud, fornitori di servizi gestiti, vendor di software, operatori di telecomunicazioni, processori di pagamenti e altri terzi il cui guasto, compromissione o controlli inadeguati potrebbero interrompere l'attività. Nella sicurezza informatica, sono importanti perché il rischio di un'organizzazione non si ferma al proprio perimetro; si estende ai fornitori da cui dipende.
I team di sicurezza utilizzano la mappatura dei fornitori rilevanti per comprendere le dipendenze, assegnare la responsabilità e stabilire le priorità delle revisioni. In attacchi reali, un account di un fornitore compromesso, uno strumento di gestione remota vulnerabile o un canale di aggiornamento non sicuro possono diventare una via d'accesso a più clienti. In difesa, mantenere un censimento aggiornato dei fornitori supporta la due diligence, i controlli contrattuali, la revisione degli accessi, il coordinamento degli incidenti e la pianificazione della resilienza. Se i record dei fornitori sono obsoleti o frammentati, la risposta diventa più lenta e più soggetta a errori quando la continuità è in gioco.