Confidentialité des données et TPRM : 5 bonnes pratiques

Apprenez à naviguer dans les complexités de la protection des PII, PHI et autres données sensibles dans le paysage en évolution des relations avec les tiers.
Par :
Alastair Parr
,
Vice-président principal, Produits et services mondiaux
09 janvier 2024
Partager :
Blog Confidentialité des données TPRM 01 24

Les données sont l'un des biens les plus précieux de votre organisation - et les plus susceptibles d'être volées. On les appelle souvent "l'or numérique", mais contrairement à l'or physique, leur valeur réside dans leur utilisation. Cependant, chaque interaction, en particulier par vos tiers et Nième parties, augmente la vulnérabilité de vos données au vol et à l'accès non autorisé.

Protéger les données, ce n'est pas seulement sauvegarder des secrets de fabrication ; c'est aussi s'engager à préserver la vie privée des personnes qui vous confient leurs informations. Pourtant, au fur et à mesure que les données se déplacent le long de la chaîne de valeur - en s'éloignant de votre organisation - il devient de plus en plus difficile de garantir leur confidentialité.

Ce blog explore les défis liés à la confidentialité des données et propose 5 solutions pratiques pour sécuriser les données sensibles dans le monde complexe des relations avec les tiers.

Relever les défis de la protection des données des tiers

De nombreuses organisations ne savent pas où se trouvent leurs données les plus sensibles une fois qu'elles ont quitté leurs systèmes. Les fournisseurs, les sous-traitants et les partenaires commerciaux, ainsi que leurs réseaux étendus, peuvent manipuler ou partager vos données internes ou celles de vos clients sans que vous le sachiez, ce qui peut compromettre leur sécurité.

Les tierces, quatrièmes et énièmes parties jouent un rôle essentiel dans diverses fonctions organisationnelles, du traitement des paiements à la livraison des commandes et à l'amélioration des services par le biais d'API. Leur point commun est leur dépendance vis-à-vis des données, ce qui pose des problèmes pour une gestion efficace des risques.

Pour naviguer dans ce paysage complexe, votre organisation doit démêler un écheveau d'attentes, de demandes et de restrictions au milieu d'une pléthore de technologies générant des flux de données continus.

Les principaux défis sont les suivants :

1. La prolifération des règlements

Veiller à ce que les tiers protègent les données sensibles est une exigence clé de nombreuses lois mondiales sur la confidentialité des données. Avec 80 % des pays qui élaborent ou promulguent des lois, y compris des réglementations uniques au niveau de l'État aux États-Unis, les organisations sont confrontées à un paysage juridique complexe. Pour se conformer efficacement, les entreprises doivent rester informées et naviguer habilement dans ce labyrinthe complexe d'exigences réglementaires. Pour obtenir des informations détaillées sur des réglementations et des cadres spécifiques, consultez notre guide complet sur la conformité au TPRM.

2. Attentes des consommateurs et des actionnaires

Depuis la Déclaration universelle des droits de l'homme des Nations unies de 1948, la vie privée est reconnue comme un droit humain fondamental. Selon l'enquête TPRM dePrevalent, un tiers des équipes de gestion des risques se disent préoccupées par la gestion de la confidentialité et de la sécurité des données des tiers. Les organisations doivent répondre à cette préoccupation, étant donné que 63 % d'entre elles ne sont pas sûres de pouvoir se conformer aux exigences de divulgation obligatoire et que la moitié ne dispose pas des outils de contrôle nécessaires en cas de violation. Il est essentiel de répondre à ces attentes pour instaurer la confiance et la conformité.

3. Processus dépassés

Malgré les technologies disponibles qui permettent d'automatiser les tâches, de gagner du temps et d'améliorer la sensibilisation aux risques, une part importante des organisations (45 % en 2022, contre 42 % l'année précédente) continue d'adopter une approche manuelle de la gestion des risques liés aux tiers (TPRM). Le fait de s'appuyer sur des feuilles de calcul et des communications par e-mail entrave l'efficacité du suivi et de la gestion des fournisseurs, des vendeurs et des partenaires. Les entreprises doivent passer à des technologies automatisées de gestion des risques liés aux tiers pour rationaliser les processus, accroître l'efficacité et répondre efficacement au paysage dynamique de la protection des données des tiers.

Maîtriser les risques liés à la confidentialité des données des tiers

Le guide des meilleures pratiques en matière de confidentialité des données et de gestion des risques liés aux tiers propose une approche normative de l'évaluation des contrôles et des risques liés à la confidentialité des données à chaque étape du cycle de vie des fournisseurs.

Lire la suite
Ressources en vedette Confidentialité des données tprm 0323

Types de risques liés à la confidentialité des données de tiers

Les grandes entreprises déploient des technologies de pointe pour protéger leurs systèmes, leurs réseaux et leurs données, ce qui rend difficile pour les criminels de cyber d'y pénétrer par les voies conventionnelles. Toutefois, ces entreprises ne doivent pas se reposer sur leurs lauriers ; les acteurs malveillants cherchent constamment d'autres points d'entrée. Au lieu d'abandonner leurs tentatives d'accès à des données précieuses, les cybercriminels ciblent des entités plus petites, des partenaires commerciaux de troisième, quatrième et Nième partie.

Ces petites entreprises, qui bénéficient de connexions et d'un accès à des données convoitées, deviennent des passerelles potentielles en cas de violation. Il est alarmant de constater que près de la moitié des cyberattaques visent les petites entreprises. À mesure que les entreprises et les économies mondiales se numérisent et intègrent leurs services et leurs données, les enjeux et la probabilité des violations augmentent.

L'absence d'une vue d'ensemble du vaste réseau d'organisations de votre écosystème de vendeurs et de fournisseurs empêche de comprendre le flux de données, leur sort et le niveau de protection qu'elles reçoivent. Il n'est donc pas surprenant qu'un nombre croissant de violations de données très médiatisées se produisent par le biais de vulnérabilités de tiers.

Pression croissante pour une conformité étendue en matière de confidentialité des données

À une époque où les violations de données sont souvent liées à des vulnérabilités de tiers, il est nécessaire et stratégique d'adopter de solides pratiques de gestion des risques liés aux tiers. L'entité qui collecte les données est responsable de leur sécurisation, comme le souligne un nombre croissant de réglementations. Les organisations doivent s'assurer que leurs fournisseurs et partenaires adhèrent à une gouvernance et à des contrôles solides en matière de protection des données, et étendre ces exigences à leurs partenaires tiers.

5 bonnes pratiques pour gérer les risques liés à la protection des données des tiers

Si la gestion des risques liés aux données des tiers était simple, tout le monde s'y mettrait. Pourtant, de nombreuses organisations savent qu'elles n'ont pas mis en œuvre tout ce dont elles ont besoin pour surveiller et gérer les risques liés à la sécurité des tiers. La situation peut être pire pour des risques spécifiques tels que la confidentialité des données. Comme pour la cybersécurité, les entreprises échouent souvent parce qu'elles n'ont pas pris soin des éléments de base.

Voici les meilleures pratiques que nous recommandons :

1. Établir l'obligation de rendre compte

La clarté de la responsabilité en matière de gestion des risques liés aux données de tiers est cruciale. Une étude de Forrester Research a révélé que même les entreprises attentives aux risques liés aux vendeurs et aux fournisseurs ne disposent souvent pas d'une gouvernance ou d'une responsabilité solide en matière de gestion des risques liés aux données tierces. L'absence d'une partie désignée pour superviser les risques liés aux tiers peut se traduire par des contrôles faibles ou une absence totale de contrôles. Envisagez de former une équipe interfonctionnelle de protection des données comprenant des représentants des services juridiques, de la sécurité informatique, de l'audit interne et de la gestion des fournisseurs afin de promouvoir la responsabilité, la définition de politiques et l'engagement en faveur de la protection des données.

2. S'aligner sur un cadre

Les règlements précisent ce qui doit être fait, mais pas nécessairement comment le faire. Cette complexité s'intensifie lorsqu'il s'agit de traiter avec de nombreux fournisseurs dans des lieux différents, chacun étant régi par son propre ensemble de lois. L'adoption d'un cadre de gestion des risques liés aux tiers (TPRM) adapté à votre secteur d'activité et à vos exigences permet de guider le processus à l'aide des meilleures pratiques établies. Cela garantit la conformité aux lois tout en préservant la sécurité des données. Des cadres tels que le Shared Assessments TPRM Framework, NIST 800-161, NIST CSF v.2.0 Draft, ISO 27001 et ISO 27036 offrent des conseils complets.

3. Faire preuve de vigilance et de diligence tout au long du cycle de vie du tiers

Les risques liés aux données persistent tout au long de la relation d'une entreprise avec des fournisseurs tiers, au-delà des audits de conformité et de la résiliation. Une protection vigilante est essentielle depuis le début jusqu'à l'élimination des données, en passant par plusieurs étapes clés :

Recherche et sélection

  • Examinez attentivement les tiers potentiels dès les premières étapes.
  • Donnez la priorité à la protection des données dans votre demande de proposition (RFP), demande d'information (RFI) ou autre type de demande, en mettant l'accent sur des contrôles rigoureux.
  • Vérifier les déclarations des fournisseurs auprès de sources externes, en évaluant leur situation financière, leur réputation et les failles de sécurité.
  • Demander des preuves des mesures de sécurité - telles que la conformité avec les cadres de sécurité, les rapports d'audit et une évaluation potentielle de la sécurité par une partie objective - avant de finaliser les contrats.

Accueil et embarquement

  • Intégrer des contrôles de la protection de la vie privée dans les contrats des fournisseurs, en spécifiant clairement les exigences.
  • Stipuler des protocoles de partage des données, en veillant à ce que les données soient notifiées lorsqu'elles sont partagées avec des tiers.
  • Faire preuve de diligence raisonnable tâches, tels que
    • Évaluation des contrôles de sécurité des fournisseurs par rapport aux cadres sectoriels, tels que ceux du NIST et de l'ISO.
    • Surveillance des expositions cyber , des violations de données, des problèmes financiers, des violations juridiques, des médias défavorables et d'autres risques liés au public.
    • Identifier les risques potentiels liés aux fournisseurs des quatrième et troisième parties qui n'étaient pas apparents lors de la recherche et de la sélection des fournisseurs.
    • Détecter les risques de réputation et de conformité dans la chaîne d'approvisionnement étendue du fournisseur
    • Certifier que les fournisseurs ont satisfait aux exigences de conformité "descendantes" selon GDPR, CMMC, HIPAA et d'autres réglementations.

Évaluation du risque inhérent

  • Évaluer les risques inhérents aux fournisseurs, en tenant compte de leur situation financière, de leurs pratiques en matière de sécurité et de leurs antécédents en matière d'infractions.
  • Utiliser des questionnaires et des contrôles pour l'évaluation interne des risques, en classant les fournisseurs en fonction du risque inhérent.
  • Créer une matrice combinant la probabilité et l'impact afin d'évaluer et de hiérarchiser efficacement les fournisseurs.

Évaluation périodique des risques par des tiers

  • Procéder à des évaluations régulières et approfondies des risques pour les fournisseurs présentant des risques inhérents plus élevés.
  • Analyser les contrôles de la protection de la vie privée, évaluer le respect des réglementations et identifier les risques, en fonction de la tolérance au risque.
  • Quantifier les risques en fonction des coûts organisationnels potentiels, en assurant une évaluation continue.

Surveillance continue des risques

  • Mettre en place un contrôle automatisé et continu pour identifier les risques émergents en matière de protection de la vie privée et valider les réponses des fournisseurs.
  • Examinez la posture en matière de cybersécurité, l'éthique commerciale, la situation financière et le contexte géopolitique pour assurer une vigilance permanente.
  • S'adapter à l'évolution des pratiques des fournisseurs en procédant à des évaluations régulières des risques.

SLA et gestion des performances

  • Veiller au respect permanent des exigences en matière de protection de la vie privée énoncées dans les contrats conclus avec les vendeurs et les fournisseurs.
  • Évaluer régulièrement les performances des fournisseurs, et pas seulement lors du renouvellement, afin de maintenir des normes cohérentes en matière de protection de la vie privée.

Démission et résiliation

  • Lors de la conclusion du contrat, révoquer l'accès du fournisseur aux systèmes, en particulier ceux qui stockent des données sensibles.
  • Vérifier l'effacement complet des données des systèmes des fournisseurs afin d'atténuer efficacement les risques.
  • Aborder les risques liés à la protection des données lors de l'intégration et de la cessation d'activité, souvent négligés par de nombreuses entreprises.

En adoptant ces pratiques à chaque étape, les organisations peuvent mettre en place un programme solide et efficace de gestion des risques liés aux tiers, en protégeant les données et en préservant la vie privée tout au long des relations avec les fournisseurs.

4. Ne pas négliger le risque résiduel

Les risques résiduels persistent même après que les fournisseurs ont mis en œuvre les mesures requises. Il est essentiel de comprendre la tolérance au risque de votre organisation pour gérer efficacement les risques résiduels. Pour compenser les risques résiduels, il peut être nécessaire d'exiger des fournisseurs qu'ils mettent en œuvre des contrôles supplémentaires, en particulier pour les données très sensibles. La norme ISO 27001 met l'accent sur la surveillance continue pour traiter et gérer efficacement les risques résiduels.

5. Produire des rapports pertinents et efficaces

La documentation de toutes les activités de gestion des risques en matière de protection des données et de la vie privée des fournisseurs est essentielle pour assurer la conformité et fournir des preuves en cas d'audit. Les rapports doivent démontrer la conformité avec les lois sur la protection des données, décrire les efforts de remédiation et répondre aux besoins des différentes parties prenantes, y compris les équipes de conformité, les équipes de sécurité, la direction générale, les fournisseurs et le conseil d'administration. L'utilisation d'une solution tierce de gestion des risques permet de rationaliser les rapports et de les aligner sur les systèmes de GRC et de gestion des risques de l'entreprise.

L'adoption de ces cinq bonnes pratiques constitue une base solide pour une protection complète des données des tiers. Dans un paysage en constante évolution, une approche proactive garantit la sécurité et la confidentialité de vos données dans le réseau complexe des relations avec les tiers.

Comment Prevalent peut aider

Prevalent offre une plateforme unique de gestion des risques liés aux tiers que les équipes de toute l'entreprise peuvent utiliser pour collaborer sur les risques liés à la confidentialité des données des tiers. La plateforme Prevalent TPRM :

  • Permet de savoir où se trouvent les données, comment elles circulent et qui y a accès.
  • Accélère l'identification des risques et la prise de mesures correctives, ce qui permet de limiter les coûts liés aux violations et les atteintes à la réputation.
  • Génère des rapports ciblés pour les régulateurs, les fournisseurs et les parties prenantes internes afin de collaborer à la réduction des risques.
  • Intégration avec d'autres processus de gestion du risque fournisseur pour une gestion centralisée du risque tiers

Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à découvrir, gérer et réduire les risques liés à la confidentialité des données de tiers, téléchargez le livre blanc ou contactez-nous pour une démonstration dès aujourd'hui.

Tags :
Partager :
Leadership alastair parr
Alastair Parr
Vice-président principal, Produits et services mondiaux

Alastair Parr est chargé de veiller à ce que les exigences du marché soient prises en compte et appliquées de manière innovante au sein du portefeuille Prevalent . Il a rejoint Prevalent après avoir été l'un des fondateurs de 3GRC, où il était responsable de la définition des produits et des services et y a joué un rôle déterminant. Il est issu du monde de la gouvernance, du risque et de la conformité, et a développé et mis en œuvre des solutions dans le domaine toujours plus complexe de la gestion des risques. Il apporte plus de 15 ans d'expérience dans la gestion de produits, le conseil et les livrables opérationnels.

Plus tôt dans sa carrière, il a occupé le poste de directeur des opérations pour un fournisseur mondial de services gérés, InteliSecure, où il était chargé de superviser des programmes efficaces de protection des données et de gestion des risques pour les clients. Alastair est titulaire d'un diplôme universitaire en politique et relations internationales, ainsi que de plusieurs certifications en sécurité de l'information.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo