Demandez une démo

Violation des données d'un tiers de la NBA : 7 jeux pour éviter les tirs de balles en l'air

Améliorez les performances de votre équipe face aux incidents de cybersécurité impliquant des tiers en exécutant ces sept exercices.
Par :
Scott Lang
,
VP, Marketing produit
21 mars 2023
Partager :
Blog nba breach 0323

La National Basketball Association (NBA) a commencé à informer les personnes dont les données personnelles ont été dérobées lors d'une violation de données chez un fournisseur de services tiers. La NBA affirme que les informations touchées comprennent les noms et les adresses électroniques, mais qu'aucun autre type d'information personnelle n'a été consulté.

Puisque c'est actuellement la "March Madness aux États-Unis, et pour continuer sur le thème du basket-ball, ce billet passe en revue sept jeux pour empêcher votre équipe de gestion des risques de tiers de lancer des "ballons d'air" contre les menaces d'atteinte à la protection des données de tiers.

#1. Construire une culture gagnante

Tous les entraîneurs vous diront que l'instauration d'une culture gagnante dès le départ est essentielle à la réussite à long terme de l'équipe et de l'organisation. Il en va de même pour votre programme de gestion des risques liés aux tiers. Commencez par poser les bonnes bases, notamment en les définissant :

  • Rôles et responsabilités clairs (par exemple, RACI) pour les équipes dans l'ensemble de l'organisation.
  • Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
  • Troisième, quatrième et Nième parties dans le champ d'application
  • Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
  • Indicateurs clés de performance (ICP) et indicateurs clés de risque (ICR) permettant de mesurer les vendeurs.
  • Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
  • Conformité et exigences de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapport des parties prenantes
  • Stratégies d'atténuation des risques et de remédiation

Les championnats se gagnent à l'entraînement, il faut donc tester et améliorer en permanence les processus de gestion des risques technologiques de votre organisation pour rester en phase avec l'évolution des menaces.

#2. Choisir les bons joueurs pour votre équipe et fixer des attentes contractuelles

Pour constituer une équipe efficace, il faut d'abord recruter ou échanger les bons joueurs, ou signer des contrats d'agents libres qui correspondent à la culture de l'équipe. Dans le domaine de la gestion des risques liés aux tiers, cela signifie qu'il faut rechercher et sélectionner les fournisseurs qui présentent le moins de risques pour les activités de l'entreprise.

Dans le cadre de votre processus de sélection des fournisseurs, comparez et surveillez les informations importantes sur les risques liés aux fournisseurs, telles que les données démographiques, les technologies de quatrième partie utilisées, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières. Cela vous permettra de sélectionner des fournisseurs qui ne sont pas seulement adaptés à l'objectif, mais aussi à l'appétit pour le risque de votre organisation.

Pour maximiser les performances du fournisseur, intégrez des indicateurs de performance mesurables et applicables dans le contrat du fournisseur. Les discussions relatives au renouvellement du contrat seront ainsi plus transparentes.

#3. Connaître son adversaire

Au basket-ball, connaître son adversaire signifie étudier les films avant le match, comprendre les correspondances joueur par joueur et choisir les cinq premiers joueurs pour maximiser les chances de victoire. Dans le domaine de la gestion des risques liés aux tiers, il est plus difficile de connaître l'adversaire, car on ne le voit pas avant qu'il ne frappe. C'est pourquoi il est essentiel de comprendre l'exposition de votre fournisseur aux risques de cybersécurité, car c'est sur ces lacunes que l'adversaire va s'acharner.

Commencez par évaluer les tiers sélectionnés en fonction de leur criticité ou de l'ampleur des menaces qui pèsent sur leurs actifs informationnels en saisissant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent en vue de la classification des tiers sont les suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence raisonnable et déterminer l'étendue des évaluations continues et du contrôle permanent.

9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers

Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.

Lire la suite
Livre blanc sur la réponse aux incidents 0421

#4. Schématiser les jeux efficaces et réagir de manière agressive

Les équipes de basket-ball qui réussissent jouent leur jeu mais adaptent constamment leur approche pour améliorer leurs chances de gagner. L'agilité est la clé, et dans la gestion des risques liés aux tiers, cela signifie évaluer continuellement les risques et répondre aux incidents liés aux fournisseurs tiers en conséquence.

Les éléments clés d'un programme efficace de réponse aux incidents impliquant des tiers sont les suivants :

  • Questionnaires automatisés de gestion des événements et des incidents pour déterminer l'exposition au risque
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Des rapports proactifs sur les fournisseurs pour accélérer la réponse aux risques
  • Règles de flux de travail pour déclencher des actions sur les risques en fonction de leur impact potentiel sur l'entreprise
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

La normalisation d'un cadre de réponse aux risques améliorera les performances de l'équipe en l'alignant sur un ensemble unique d'attentes.

#5. Maintenir la possession

Au basket-ball universitaire, la flèche de possession est utilisée pour déterminer quelle équipe aura la possession du ballon dans les situations où le contrôle définitif du ballon n'est pas clair. Pour les équipes de gestion des risques des tiers, nous étendons cette définition à la possession de données - parfois vous les possédez, parfois un troisième, un quatrième ou un Nième tiers les possède.

Pour limiter votre exposition aux risques d'incidents de sécurité des données dans votre écosystème étendu de fournisseurs, identifiez les relations de sous-traitance de quatrième et de Nième parties en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résultera décrira les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques.

Une fois ces éléments déterminés, il convient de procéder à une évaluation de la sécurité des données et de la protection de la vie privée. Les éléments clés à prendre en compte sont les suivants :

  • Évaluations de l'impact sur la vie privée pour découvrir les données commerciales à risque et où se trouvent les informations personnelles identifiables (IPI), où elles sont partagées et qui y a accès.
  • Cartographie des contrôles et rapports sur les réglementations en matière de protection de la vie privée
  • Surveillance continue des violations de données des fournisseurs - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des violations de données des fournisseurs.
  • Appliquer les dispositions contractuelles relatives à la protection des données dès le début de la relation

Savoir qui a la balle (ou dans ce cas les données) est la première étape pour améliorer la réponse aux incidents des tiers.

#6. Éviter les fautes

Rien ne peut plus altérer l'élan d'une équipe de basket-ball qu'une faute commise au mauvais moment. Pour les équipes de gestion des risques des tiers, les fautes peuvent être synonymes de violation de la conformité. Pour démontrer efficacement la conformité et éviter les amendes, il faut automatiser la collecte des informations sur les risques liés aux fournisseurs, quantifier les risques, proposer des mesures correctives aux fournisseurs (ou exiger des contrôles compensatoires) et faire correspondre les résultats aux cadres de contrôle de la sécurité informatique établis, tels que ISO 27001, NIST et autres. Une vision proactive des pratiques de sécurité des fournisseurs peut aider votre équipe à anticiper les fautes de conformité potentielles et à accélérer les rapports lors des audits.

#7. Savoir quand passer à la vitesse supérieure

Lorsque les pertes s'accumulent ou que l'entente au sein de l'équipe se dégrade, il peut être temps de modifier la composition de l'équipe, ce qui peut se traduire par un échange. Pour les équipes de gestion des risques des tiers, cela signifie qu'il faut surveiller en permanence les performances contractuelles et se séparer des fournisseurs lorsque les indicateurs clés de performance, les indicateurs clés de risque ou les accords de niveau de service ne sont pas respectés.

Lorsqu'une résiliation est nécessaire, tirez parti de l'automatisation et des flux de travail pour :

  • Procéder à un examen final du contrat
  • Régler les factures en suspens
  • Révoquer l'accès à l'infrastructure informatique, aux données et aux bâtiments physiques
  • Examiner la conformité en matière de confidentialité des données et de sécurité de l'information
  • Mettre à jour votre base de données de gestion des fournisseurs
  • Contrôler en permanence les fournisseurs pour déceler les risques potentiels à venir

L'exécution de ces tâches réduira l'exposition de votre organisation aux risques post-contractuels.

Prochaines étapes pour atténuer les risques de violation de données par des tiers

Si un incident de cybersécurité tel que la violation de données de la NBA se produisait dans votre écosystème de fournisseurs, votre organisation serait-elle en mesure de comprendre rapidement ses implications pour votre entreprise et d'activer son propre plan de réponse aux incidents ? Envisagez d'exécuter ces sept exercices pour améliorer les performances de votre équipe, téléchargez la liste de contrôle de la réponse aux incidents des tiers ou contactez-nous pour planifier une démonstration personnalisée dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo