Violation des données tierces de la NBA : 7 stratégies à éviter pour ne pas tirer dans le vide

Améliorez les performances de votre équipe face aux incidents de cybersécurité impliquant des tiers en mettant en œuvre ces sept mesures.

Personnel de Mitratech
Personnel de Mitratech Mars 21, 2023 7 minutes de lecture
Decorative image

La National Basketball Association (NBA) a commencé à informer les personnes concernées que leurs données personnelles avaient été volées lors d'une violation de données chez un prestataire de services tiers. La NBA affirme que les informations concernées comprennent les noms et adresses e-mail, mais qu'aucun autre type d'informations personnelles n'a été consulté.

Comme c'est actuellement la période du March Madness
aux États-Unis, et pour rester dans le thème du basket-ball, cet article passe en revue sept stratégies qui permettront à votre équipe de gestion des risques liés aux tiers d'éviter les « air balls » face aux menaces de violation des données provenant de tiers.

#1. Créer une culture gagnante

Tout entraîneur vous dira qu'il est essentiel d'instaurer dès le départ une culture gagnante pour assurer le succès à long terme de l'équipe et de l'organisation. Il en va de même pour votre programme de gestion des risques liés aux tiers. Commencez par établir les bases adéquates, notamment en définissant :

  • Rôles et responsabilités clairs (par exemple, RACI) pour les équipes au sein de l'organisation
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Troisième, quatrième et Nème parties concernées
  • Méthodes d'évaluation et de suivi basées sur la criticité des tiers
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) pour évaluer les fournisseurs
  • Politiques, normes, systèmes et processus régissant la protection des données
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports des parties prenantes
  • Stratégies d'atténuation des risques et de remédiation

Les championnats se remportent à l'entraînement, alors testez et améliorez continuellement les processus TPRM de votre organisation afin de rester en phase avec l'évolution des menaces.

#2. Recrutez les bons joueurs pour votre équipe et définissez les attentes contractuelles

Une constitution d'équipe efficace commence par le recrutement ou l'échange des bons joueurs, ou la signature de contrats avec des agents libres qui correspondent à la culture de votre équipe. Dans le domaine de la gestion des risques liés aux tiers, cela signifie rechercher et sélectionner les fournisseurs qui présentent le moins de risques pour les activités de votre entreprise.

Dans le cadre de votre processus de sélection des fournisseurs, comparez et surveillez les informations importantes relatives aux risques liés aux fournisseurs, telles que les données démographiques, les technologies tierces utilisées, les scores ESG, les informations récentes sur l'activité et la réputation, l'historique des violations de données et les performances financières. Cela vous permettra de sélectionner des fournisseurs qui non seulement répondent à vos besoins, mais qui correspondent également à la propension au risque de votre organisation.

Pour optimiser les performances des fournisseurs, intégrez des indicateurs de performance clés mesurables et applicables dans le contrat fournisseur. Cela rendra les discussions relatives au renouvellement du contrat plus transparentes.

#3. Connaissez votre adversaire

Dans le basket, pour bien connaître ton adversaire, tu dois regarder des vidéos avant le match, comprendre les confrontations entre les joueurs et choisir les cinq bons joueurs pour maximiser tes chances de gagner. Dans la gestion des risques liés aux tiers, c'est plus compliqué de connaître ton adversaire, car il reste invisible jusqu'à ce qu'il passe à l'action. C'est pour ça qu'il est super important de comprendre les risques liés à la cybersécurité auxquels ton fournisseur est exposé, car c'est là que ton adversaire va frapper.

Commencez par évaluer les tiers sélectionnés en fonction de leur importance ou de l'ampleur des menaces pesant sur leurs actifs informationnels, en identifiant, suivant et quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent à la classification des tiers comprennent :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs, définir les niveaux appropriés de diligence raisonnable supplémentaire et déterminer la portée des évaluations continues et de la surveillance permanente.

#4. Schématisez les jeux efficaces et réagissez de manière agressive

Les équipes de basket qui réussissent jouent leur jeu, mais ajustent constamment leur approche pour améliorer leurs chances de gagner. L'agilité est ici essentielle, et dans la gestion des risques liés aux tiers, cela signifie évaluer en permanence les risques et réagir en conséquence aux incidents impliquant des fournisseurs tiers.

Les éléments clés d'un programme efficace de réponse aux incidents impliquant des tiers comprennent :

  • Questionnaires automatisés de gestion des événements et des incidents pour déterminer l'exposition au risque
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs des fournisseurs pour accélérer la réponse aux risques
  • Règles de workflow pour déclencher des actions sur les risques en fonction de leur impact potentiel sur l'activité
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

La normalisation d'un cadre de réponse aux risques améliorera les performances de l'équipe en harmonisant les attentes autour d'un ensemble unique.

#5. Conserver la possession

Dans le basket universitaire, la flèche de possession est utilisée pour déterminer quelle équipe va récupérer le ballon quand le contrôle du ballon n'est pas clair. Pour les équipes de gestion des risques liés aux tiers, on élargit cette définition pour inclure la possession des données : parfois, c'est toi qui les as, et parfois, c'est un tiers, un quatrième ou un n-ième tiers qui les a.

Pour limiter votre exposition aux risques liés aux incidents de sécurité des données dans votre écosystème étendu de fournisseurs, identifiez les relations de sous-traitance de quatrième et n-ième partie en réalisant une évaluation sous forme de questionnaire ou en analysant de manière passive l'infrastructure publique du tiers. La cartographie des relations qui en résultera représentera les chemins d'information et les dépendances susceptibles d'exposer votre environnement à des risques.

Une fois cela déterminé, procédez à une évaluation de la sécurité et de la confidentialité des données. Les principaux éléments à prendre en considération sont les suivants :

  • Évaluations de l'impact sur la vie privée afin d'identifier les données commerciales à risque et de déterminer où se trouvent les informations personnelles identifiables (PII), où elles sont partagées et qui y a accès.
  • Contrôle de la cartographie et des rapports par rapport aux réglementations en matière de confidentialité
  • Surveillance continue des violations de données des fournisseurs, y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des violations de données des fournisseurs.
  • Application des dispositions contractuelles relatives à la protection des données dès le début de la relation

Savoir qui détient le ballon (ou, dans ce cas, les données) est la première étape pour améliorer la réponse aux incidents impliquant des tiers.

#6. Évitez les fautes

Rien ne peut altérer davantage la dynamique d'une équipe de basket-ball qu'une faute malvenue. Pour les équipes chargées de la gestion des risques tiers, les fautes peuvent entraîner des violations préjudiciables de la conformité. Pour démontrer efficacement votre conformité et éviter les amendes, automatisez la collecte d'informations sur les risques liés aux fournisseurs, quantifiez les risques, proposez des mesures correctives aux fournisseurs (ou exigez des contrôles compensatoires) et mappez les résultats à des cadres de contrôle de sécurité informatique établis tels que ISO 27001, NIST et autres. Une vision proactive des pratiques de sécurité des fournisseurs peut aider votre équipe à anticiper les éventuelles fautes de conformité et à accélérer la production de rapports lors des audits.

#7. Savoir quand passer à un modèle supérieur

Lorsque les pertes s'accumulent ou que la cohésion de l'équipe souffre, il peut être temps de changer la composition de l'équipe, ce qui peut impliquer un transfert. Pour les équipes de gestion des risques tiers, cela signifie surveiller en permanence les performances contractuelles et se séparer des fournisseurs lorsque les KPI, KRI ou SLA ne sont pas atteints.

Lorsqu'une résiliation est nécessaire, tirez parti de l'automatisation et des flux de travail pour :

  • Effectuer une dernière révision du contrat
  • Régler toutes les factures en suspens
  • Révoquer l'accès à l'infrastructure informatique, aux données et aux bâtiments physiques
  • Vérifier la conformité en matière de confidentialité des données et de sécurité de l'information
  • Mettez à jour votre base de données de gestion des fournisseurs
  • Surveiller en permanence les fournisseurs afin d'identifier les risques potentiels futurs

L'exécution de ces tâches réduira l'exposition de votre organisation aux risques post-contractuels.

Prochaines étapes pour atténuer les risques liés aux violations de données par des tiers

Si un incident de cybersécurité tel que la violation de données de la NBA se produisait dans votre écosystème de fournisseurs, votre organisation serait-elle en mesure de comprendre rapidement ses implications pour votre entreprise et d'activer son propre plan d'intervention en cas d'incident ? Envisagez de mettre en œuvre ces sept mesures pour améliorer les performances de votre équipe, téléchargez la liste de contrôle pour la réponse aux incidents impliquant des tiers ou contactez-nous dès aujourd'hui pour planifier une démonstration personnalisée.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.