Confidentialité des données et TPRM : 5 bonnes pratiques

Types de risques liés à la confidentialité des données de tiers

Les grandes entreprises déploient des technologies de pointe pour protéger leurs systèmes, leurs réseaux et leurs données, ce qui rend difficile pour les criminels de cyber d'y pénétrer par les voies conventionnelles. Toutefois, ces entreprises ne doivent pas se reposer sur leurs lauriers ; les acteurs malveillants cherchent constamment d'autres points d'entrée. Au lieu d'abandonner leurs tentatives d'accès à des données précieuses, les cybercriminels ciblent des entités plus petites, des partenaires commerciaux de troisième, quatrième et Nième partie.

Ces petites entreprises, qui bénéficient de connexions et d'un accès à des données convoitées, deviennent des passerelles potentielles en cas de violation. Il est alarmant de constater que près de la moitié des cyberattaques visent les petites entreprises. À mesure que les entreprises et les économies mondiales se numérisent et intègrent leurs services et leurs données, les enjeux et la probabilité des violations augmentent.

L'absence d'une vue d'ensemble du vaste réseau d'organisations de votre écosystème de vendeurs et de fournisseurs empêche de comprendre le flux de données, leur sort et le niveau de protection qu'elles reçoivent. Il n'est donc pas surprenant qu'un nombre croissant de violations de données très médiatisées se produisent par le biais de vulnérabilités de tiers.

Pression croissante pour une conformité étendue en matière de confidentialité des données

À une époque où les violations de données sont souvent liées à des vulnérabilités de tiers, il est nécessaire et stratégique d'adopter de solides pratiques de gestion des risques liés aux tiers. L'entité qui collecte les données est responsable de leur sécurisation, comme le souligne un nombre croissant de réglementations. Les organisations doivent s'assurer que leurs fournisseurs et partenaires adhèrent à une gouvernance et à des contrôles solides en matière de protection des données, et étendre ces exigences à leurs partenaires tiers.

5 bonnes pratiques pour gérer les risques liés à la protection des données des tiers

Si la gestion des risques liés aux données des tiers était simple, tout le monde s'y mettrait. Pourtant, de nombreuses organisations savent qu'elles n'ont pas mis en œuvre tout ce dont elles ont besoin pour surveiller et gérer les risques liés à la sécurité des tiers. La situation peut être pire pour des risques spécifiques tels que la confidentialité des données. Comme pour la cybersécurité, les entreprises échouent souvent parce qu'elles n'ont pas pris soin des éléments de base.

Voici les meilleures pratiques que nous recommandons :

1. Établir l'obligation de rendre compte

La clarté de la responsabilité en matière de gestion des risques liés aux données de tiers est cruciale. Une étude de Forrester Research a révélé que même les entreprises attentives aux risques liés aux vendeurs et aux fournisseurs ne disposent souvent pas d'une gouvernance ou d'une responsabilité solide en matière de gestion des risques liés aux données tierces. L'absence d'une partie désignée pour superviser les risques liés aux tiers peut se traduire par des contrôles faibles ou une absence totale de contrôles. Envisagez de former une équipe interfonctionnelle de protection des données comprenant des représentants des services juridiques, de la sécurité informatique, de l'audit interne et de la gestion des fournisseurs afin de promouvoir la responsabilité, la définition de politiques et l'engagement en faveur de la protection des données.

2. S'aligner sur un cadre

Les règlements précisent ce qui doit être fait, mais pas nécessairement comment le faire. Cette complexité s'intensifie lorsqu'il s'agit de traiter avec de nombreux fournisseurs dans des lieux différents, chacun étant régi par son propre ensemble de lois. L'adoption d'un cadre de gestion des risques liés aux tiers (TPRM) adapté à votre secteur d'activité et à vos exigences permet de guider le processus à l'aide des meilleures pratiques établies. Cela garantit la conformité aux lois tout en préservant la sécurité des données. Des cadres tels que le Shared Assessments TPRM Framework, NIST 800-161, NIST CSF v.2.0 Draft, ISO 27001 et ISO 27036 offrent des conseils complets.

3. Faire preuve de vigilance et de diligence tout au long du cycle de vie du tiers

Les risques liés aux données persistent tout au long de la relation d'une entreprise avec des fournisseurs tiers, au-delà des audits de conformité et de la résiliation. Une protection vigilante est essentielle depuis le début jusqu'à l'élimination des données, en passant par plusieurs étapes clés :

Recherche et sélection

• Examinez attentivement les tiers potentiels dès les premières étapes.
• Donnez la priorité à la protection des données dans votre demande de proposition (RFP), demande d'information (RFI) ou autre type de demande, en mettant l'accent sur des contrôles rigoureux.
• Vérifier les déclarations des fournisseurs auprès de sources externes, en évaluant leur situation financière, leur réputation et les failles de sécurité.
• Demander des preuves des mesures de sécurité - telles que la conformité avec les cadres de sécurité, les rapports d'audit et une évaluation potentielle de la sécurité par une partie objective - avant de finaliser les contrats.

Accueil et embarquement

• Intégrer des contrôles de la protection de la vie privée dans les contrats des fournisseurs, en spécifiant clairement les exigences.
• Stipuler des protocoles de partage des données, en veillant à ce que les données soient notifiées lorsqu'elles sont partagées avec des tiers.
• Faire preuve de diligence raisonnable tâches, tels que
  • Évaluation des contrôles de sécurité des fournisseurs par rapport aux cadres sectoriels, tels que ceux du NIST et de l'ISO.
  • Surveillance des expositions cyber , des violations de données, des problèmes financiers, des violations juridiques, des médias défavorables et d'autres risques liés au public.
  • Identifier les risques potentiels liés aux fournisseurs des quatrième et troisième parties qui n'étaient pas apparents lors de la recherche et de la sélection des fournisseurs.
  • Détecter les risques de réputation et de conformité dans la chaîne d'approvisionnement étendue du fournisseur
  • Certifier que les fournisseurs ont satisfait aux exigences de conformité "descendantes" selon GDPR, CMMC, HIPAA et d'autres réglementations.

Évaluation du risque inhérent

• Évaluer les risques inhérents aux fournisseurs, en tenant compte de leur situation financière, de leurs pratiques en matière de sécurité et de leurs antécédents en matière d'infractions.
• Utiliser des questionnaires et des contrôles pour l'évaluation interne des risques, en classant les fournisseurs en fonction du risque inhérent.
• Créer une matrice combinant la probabilité et l'impact afin d'évaluer et de hiérarchiser efficacement les fournisseurs.

Évaluation périodique des risques par des tiers

• Procéder à des évaluations régulières et approfondies des risques pour les fournisseurs présentant des risques inhérents plus élevés.
• Analyser les contrôles de la protection de la vie privée, évaluer le respect des réglementations et identifier les risques, en fonction de la tolérance au risque.
• Quantifier les risques en fonction des coûts organisationnels potentiels, en assurant une évaluation continue.

Surveillance continue des risques

• Mettre en place un contrôle automatisé et continu pour identifier les risques émergents en matière de protection de la vie privée et valider les réponses des fournisseurs.
• Examinez la posture en matière de cybersécurité, l'éthique commerciale, la situation financière et le contexte géopolitique pour assurer une vigilance permanente.
• S'adapter à l'évolution des pratiques des fournisseurs en procédant à des évaluations régulières des risques.

SLA et gestion des performances

• Veiller au respect permanent des exigences en matière de protection de la vie privée énoncées dans les contrats conclus avec les vendeurs et les fournisseurs.
• Évaluer régulièrement les performances des fournisseurs, et pas seulement lors du renouvellement, afin de maintenir des normes cohérentes en matière de protection de la vie privée.

Démission et résiliation

• Lors de la conclusion du contrat, révoquer l'accès du fournisseur aux systèmes, en particulier ceux qui stockent des données sensibles.
• Vérifier l'effacement complet des données des systèmes des fournisseurs afin d'atténuer efficacement les risques.
• Aborder les risques liés à la protection des données lors de l'intégration et de la cessation d'activité, souvent négligés par de nombreuses entreprises.

En adoptant ces pratiques à chaque étape, les organisations peuvent mettre en place un programme solide et efficace de gestion des risques liés aux tiers, en protégeant les données et en préservant la vie privée tout au long des relations avec les fournisseurs.

4. Ne pas négliger le risque résiduel

Les risques résiduels persistent même après que les fournisseurs ont mis en œuvre les mesures requises. Il est essentiel de comprendre la tolérance au risque de votre organisation pour gérer efficacement les risques résiduels. Pour compenser les risques résiduels, il peut être nécessaire d'exiger des fournisseurs qu'ils mettent en œuvre des contrôles supplémentaires, en particulier pour les données très sensibles. La norme ISO 27001 met l'accent sur la surveillance continue pour traiter et gérer efficacement les risques résiduels.

5. Produire des rapports pertinents et efficaces

La documentation de toutes les activités de gestion des risques en matière de protection des données et de la vie privée des fournisseurs est essentielle pour assurer la conformité et fournir des preuves en cas d'audit. Les rapports doivent démontrer la conformité avec les lois sur la protection des données, décrire les efforts de remédiation et répondre aux besoins des différentes parties prenantes, y compris les équipes de conformité, les équipes de sécurité, la direction générale, les fournisseurs et le conseil d'administration. L'utilisation d'une solution tierce de gestion des risques permet de rationaliser les rapports et de les aligner sur les systèmes de GRC et de gestion des risques de l'entreprise.

L'adoption de ces cinq bonnes pratiques constitue une base solide pour une protection complète des données des tiers. Dans un paysage en constante évolution, une approche proactive garantit la sécurité et la confidentialité de vos données dans le réseau complexe des relations avec les tiers.

Comment Prevalent peut aider

Prevalent offre une plateforme unique de gestion des risques liés aux tiers que les équipes de toute l'entreprise peuvent utiliser pour collaborer sur les risques liés à la confidentialité des données des tiers. La plateforme Prevalent TPRM :

• Permet de savoir où se trouvent les données, comment elles circulent et qui y a accès.
• Accélère l'identification des risques et la prise de mesures correctives, ce qui permet de limiter les coûts liés aux violations et les atteintes à la réputation.
• Génère des rapports ciblés pour les régulateurs, les fournisseurs et les parties prenantes internes afin de collaborer à la réduction des risques.
• Intégration avec d'autres processus de gestion du risque fournisseur pour une gestion centralisée du risque tiers

Pour en savoir plus sur la façon dont Prevalent peut aider votre organisation à découvrir, gérer et réduire les risques liés à la confidentialité des données de tiers, téléchargez le livre blanc ou contactez-nous pour une démonstration dès aujourd'hui.