La National Basketball Association (NBA) a commencé à informer les personnes dont les données personnelles ont été dérobées lors d'une violation de données chez un fournisseur de services tiers. La NBA affirme que les informations touchées comprennent les noms et les adresses électroniques, mais qu'aucun autre type d'information personnelle n'a été consulté.
Puisque c'est actuellement la "March Madness aux États-Unis, et pour continuer sur le thème du basket-ball, ce billet passe en revue sept jeux pour empêcher votre équipe de gestion des risques de tiers de lancer des "ballons d'air" contre les menaces d'atteinte à la protection des données de tiers.
Tous les entraîneurs vous diront que l'instauration d'une culture gagnante dès le départ est essentielle à la réussite à long terme de l'équipe et de l'organisation. Il en va de même pour votre programme de gestion des risques liés aux tiers. Commencez par poser les bonnes bases, notamment en les définissant :
Les championnats se gagnent à l'entraînement, il faut donc tester et améliorer en permanence les processus de gestion des risques technologiques de votre organisation pour rester en phase avec l'évolution des menaces.
Pour constituer une équipe efficace, il faut d'abord recruter ou échanger les bons joueurs, ou signer des contrats d'agents libres qui correspondent à la culture de l'équipe. Dans le domaine de la gestion des risques liés aux tiers, cela signifie qu'il faut rechercher et sélectionner les fournisseurs qui présentent le moins de risques pour les activités de l'entreprise.
Dans le cadre de votre processus de sélection des fournisseurs, comparez et surveillez les informations importantes sur les risques liés aux fournisseurs, telles que les données démographiques, les technologies de quatrième partie utilisées, les scores ESG, les informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières. Cela vous permettra de sélectionner des fournisseurs qui ne sont pas seulement adaptés à l'objectif, mais aussi à l'appétit pour le risque de votre organisation.
Pour maximiser les performances du fournisseur, intégrez des indicateurs de performance mesurables et applicables dans le contrat du fournisseur. Les discussions relatives au renouvellement du contrat seront ainsi plus transparentes.
Au basket-ball, connaître son adversaire signifie étudier les films avant le match, comprendre les correspondances joueur par joueur et choisir les cinq premiers joueurs pour maximiser les chances de victoire. Dans le domaine de la gestion des risques liés aux tiers, il est plus difficile de connaître l'adversaire, car on ne le voit pas avant qu'il ne frappe. C'est pourquoi il est essentiel de comprendre l'exposition de votre fournisseur aux risques de cybersécurité, car c'est sur ces lacunes que l'adversaire va s'acharner.
Commencez par évaluer les tiers sélectionnés en fonction de leur criticité ou de l'ampleur des menaces qui pèsent sur leurs actifs informationnels en saisissant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent en vue de la classification des tiers sont les suivants :
À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence raisonnable et déterminer l'étendue des évaluations continues et du contrôle permanent.
9 étapes d'un plan d'intervention en cas d'incident impliquant un tiers
Lorsque l'un de vos fournisseurs critiques fait l'objet d'une violation, il est essentiel d'être prêt avec un plan de réponse aux incidents normatif pour éviter que votre entreprise ne devienne la prochaine victime.
Les équipes de basket-ball qui réussissent jouent leur jeu mais adaptent constamment leur approche pour améliorer leurs chances de gagner. L'agilité est la clé, et dans la gestion des risques liés aux tiers, cela signifie évaluer continuellement les risques et répondre aux incidents liés aux fournisseurs tiers en conséquence.
Les éléments clés d'un programme efficace de réponse aux incidents impliquant des tiers sont les suivants :
La normalisation d'un cadre de réponse aux risques améliorera les performances de l'équipe en l'alignant sur un ensemble unique d'attentes.
Au basket-ball universitaire, la flèche de possession est utilisée pour déterminer quelle équipe aura la possession du ballon dans les situations où le contrôle définitif du ballon n'est pas clair. Pour les équipes de gestion des risques des tiers, nous étendons cette définition à la possession de données - parfois vous les possédez, parfois un troisième, un quatrième ou un Nième tiers les possède.
Pour limiter votre exposition aux risques d'incidents de sécurité des données dans votre écosystème étendu de fournisseurs, identifiez les relations de sous-traitance de quatrième et de Nième parties en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résultera décrira les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques.
Une fois ces éléments déterminés, il convient de procéder à une évaluation de la sécurité des données et de la protection de la vie privée. Les éléments clés à prendre en compte sont les suivants :
Savoir qui a la balle (ou dans ce cas les données) est la première étape pour améliorer la réponse aux incidents des tiers.
Rien ne peut plus altérer l'élan d'une équipe de basket-ball qu'une faute commise au mauvais moment. Pour les équipes de gestion des risques des tiers, les fautes peuvent être synonymes de violation de la conformité. Pour démontrer efficacement la conformité et éviter les amendes, il faut automatiser la collecte des informations sur les risques liés aux fournisseurs, quantifier les risques, proposer des mesures correctives aux fournisseurs (ou exiger des contrôles compensatoires) et faire correspondre les résultats aux cadres de contrôle de la sécurité informatique établis, tels que ISO 27001, NIST et autres. Une vision proactive des pratiques de sécurité des fournisseurs peut aider votre équipe à anticiper les fautes de conformité potentielles et à accélérer les rapports lors des audits.
Lorsque les pertes s'accumulent ou que l'entente au sein de l'équipe se dégrade, il peut être temps de modifier la composition de l'équipe, ce qui peut se traduire par un échange. Pour les équipes de gestion des risques des tiers, cela signifie qu'il faut surveiller en permanence les performances contractuelles et se séparer des fournisseurs lorsque les indicateurs clés de performance, les indicateurs clés de risque ou les accords de niveau de service ne sont pas respectés.
Lorsqu'une résiliation est nécessaire, tirez parti de l'automatisation et des flux de travail pour :
L'exécution de ces tâches réduira l'exposition de votre organisation aux risques post-contractuels.
Si un incident de cybersécurité tel que la violation de données de la NBA se produisait dans votre écosystème de fournisseurs, votre organisation serait-elle en mesure de comprendre rapidement ses implications pour votre entreprise et d'activer son propre plan de réponse aux incidents ? Envisagez d'exécuter ces sept exercices pour améliorer les performances de votre équipe, téléchargez la liste de contrôle de la réponse aux incidents des tiers ou contactez-nous pour planifier une démonstration personnalisée dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024
Pourquoi les violations par des tiers sont en augmentation, qui est touché et ce que vous pouvez faire...
09/20/2024