Étude 2023 sur la gestion des risques liés aux tiers : Attention ! Turbulences à venir

41% des entreprises ont été victimes d'une violation grave de la part d'un tiers au cours des 12 derniers mois, mais s'appuient sur des outils qui se chevauchent et sur des processus manuels pour répondre aux incidents.

Une écrasante majorité d'entreprises (71 %) déclarent cette année que la principale préoccupation concernant leur utilisation de tiers est une violation de données ou un autre incident de sécurité dû à de mauvaises pratiques de sécurité des fournisseurs.

Cela n'a rien de surprenant puisque 41 % des personnes interrogées ont déclaré avoir été victimes d'une violation de données et avoir subi un impact tangible au cours des 12 derniers mois.

En cas d'incident, les organisations ont déclaré avoir accès à davantage d'outils de réponse, tels que la surveillance du Dark Web et la surveillance des violations de données, par rapport à l'année précédente. Voir la page 6 du rapport pour connaître l'ensemble des outils et des processus de réponse utilisés par les répondants.

Vous constaterez que les méthodes manuelles persistent, avec un pourcentage décevant d'entreprises (54 %) qui incluent des feuilles de calcul manuelles dans le mélange et qui utilisent de plus en plus les flux d'informations pour s'informer sur les violations. Le bon côté des choses ? Le nombre d'entreprises qui ne surveillent pas les violations commises par des tiers est passé de 12 % à 4 % !

Les violations de données de tiers et les incidents de sécurité entraînent une implication accrue de la sécurité de l'information dans le TPRM ...

70 % des personnes interrogées indiquent que la sécurité de l'information est davantage impliquée dans la gestion des risques liés aux tiers, et 71 % indiquent que la sécurité de l'information est désormais propriétaire du programme de gestion des risques liés aux tiers.

Lire le rapport complet pour connaître le degré d'implication de départements spécifiques tels que les achats, la conformité/l'audit, la gestion des risques et d'autres dans les programmes de gestion des risques liés aux tiers (voir page 11).

Vous constaterez que l'équipe InfoSec est également la plus citée (57 %) en tant que service responsable de la définition de la stratégie du programme TPRM et qu'elle assume la plus grande part de responsabilité (71 %) dans l'exécution des évaluations et du contrôle des tierces parties.

Nous pensons que l'implication et la propriété accrues de l'Infosec sont le signe d'une plus grande adoption de la gestion des risques des tiers en tant que pratique de sécurité standard dans les organisations, la faisant peut-être progresser vers les rangs des pierres angulaires de la sécurité traditionnelle telles que la gestion des correctifs et la sécurité périmétrique.

... et l'engagement dans l'ensemble de l'organisation.

Toujours sur le thème des violations de données, 62 % des personnes interrogées dans le cadre de l'étude de cette année ont indiqué que les violations de données de tiers et les incidents de sécurité étaient les principaux facteurs à l'origine d'une implication accrue dans la gestion des risques de tiers.

Si l'InfoSec est devenu le principal acteur de la gestion des risques des tiers au cours de l'année écoulée, tous les départements ont augmenté leur implication dans la gestion des risques des tiers depuis 2022. La GPRT reste donc un sport d'équipe qui s'appuie sur les contributions de plusieurs départements ayant des priorités distinctes.

Découvrez quels sont les objectifs du TPRM les plus importants pour chaque département à la page 12 du rapport.

Près de la moitié des entreprises refusent d'abandonner leurs feuilles de calcul, et nombre d'entre elles ne sont pas sûres que leurs méthodes actuelles d'évaluation des risques soient efficaces !

Une tendance décevante se poursuit en 2023, car un nombre croissant d'organisations (48%) utilisent des feuilles de calcul pour évaluer leurs tiers. Ce pourcentage est en hausse par rapport à 2022 et 2021, où 45 % et 42 % des entreprises, respectivement, ont déclaré utiliser des feuilles de calcul.

Consultez la page 14 du rapport pour connaître l'opinion des répondants sur leur approche de l'évaluation des risques par les tiers.

Vous ne serez pas surpris d'apprendre qu'un grand pourcentage d'entreprises ont répondu "Incertain" lorsqu'on leur a demandé si leur méthode actuelle d'évaluation des risques tout au long du cycle de vie, d'évaluation de plusieurs types de risques, de création de rapports et de réponse aux incidents fonctionnait. Les méthodes manuelles ne suffisent tout simplement pas.

Les données présentent toutefois un aspect positif. Seuls 4 % des répondants ont indiqué qu'ils n'évaluaient pas du tout les tiers à l'heure actuelle, ce qui confirme la tendance à la baisse observée en 2021 (10 %) et en 2022 (8 %).

En examinant l'utilisation des différentes méthodes d'évaluation à la page 14 du rapport, on constate que plusieurs d'entre elles sont utilisées par plus de 25 % des personnes interrogées. Cependant, le fait que les organisations utilisent plusieurs outils d'évaluation soulève des questions :

1. Ces méthodes manuelles et ces ensembles d'outils disparates permettent-ils d'atteindre les objectifs de réduction des risques pour les tiers ? et
2. Avec tous ces outils en place, les organisations sont-elles en mesure de gérer les risques liés aux tiers de manière efficace et rentable ?

Il existe un ÉNORME écart entre le suivi et la correction des risques tout au long du cycle de vie - et en moyenne, 20 % des entreprises ne font rien du tout ! rien du tout !

Il n'est pas surprenant de constater que c'est au stade de l'abandon et de la cessation des relations avec les tiers que le pourcentage d'entreprises qui suivent les risques (47 %) et y remédient (38 %) est le plus faible et que le pourcentage d'entreprises qui ne font rien du tout est le plus élevé (39 %).

Cependant, c'est la disparité entre le suivi des risques et l'action réelle sur ces risques, ou leur remédiation, qui est la plus choquante ici. L'écart significatif entre le suivi et la correction des risques aux stades de l'évaluation initiale, du sourcing et de la due diligence précontractuelle est particulièrement surprenant, étant donné qu'il s'agit des principaux stades permettant de découvrir et de corriger les risques avant qu'ils n'aient un impact sur l'organisation ! En fait, environ 20 % des entreprises en moyenne ne semblent pas du tout suivre les risques ou y remédier !

Pour connaître l'ampleur de cet écart à chaque étape du cycle de vie des tiers, il suffit de passer à la page 16 du rapport complet.

Les organisations se heurtent à des processus manuels pour gérer les risques tout au long du cycle de vie. cycle de vie.

Sur les sept étapes du cycle de vie du risque lié aux tiers, cinq présentent encore des difficultés évidentes dues à la prépondérance des processus manuels. Cela ne devrait pas être une surprise, car les feuilles de calcul représentent toujours la première méthode d'évaluation des risques liés aux tiers (48 %, voir constat n° 2) et sont utilisées principalement au stade de la recherche de fournisseurs et de la diligence raisonnable avant la signature du contrat (31 %). C'est peut-être la raison pour laquelle il existe un décalage entre le suivi et la correction des risques (voir constatation n° 4) - il n'est tout simplement pas possible de le faire de manière efficace.

L'utilisation d'outils manuels pourrait être à l'origine des difficultés rencontrées par les entreprises dans la gestion des risques tout au long du cycle de vie.

Les réponses de cette année font apparaître l'utilisation de plusieurs outils différents pour suivre et gérer les risques aux différentes étapes du cycle de vie. Nous avons demandé aux personnes interrogées quels étaient leurs principaux outils pour chaque étape, et nous présentons nos conclusions à la page 18 du rapport complet.

La question cruciale qui se pose ici est la suivante : Avec autant d'outils différents à leur disposition, pourquoi les organisations sont-elles encore aux prises avec des processus manuels ?

4 Recommandations de bonnes pratiques pour assurer un vol de TPRM sans heurts

Les résultats de cette étude montrent que la gestion des risques liés aux tiers gagne du terrain dans les entreprises, mais que de nombreux programmes n'ont pas encore atteint leur vitesse maximale en raison des effets des processus manuels et des outils cloisonnés.

NOTE : Pour connaître tous les détails de la recommandation, téléchargez le document sur les résultats de l'étude.

1. Automatiser la réponse aux incidents pour réduire les coûts et l'exposition aux risques

Le temps, c'est de l'argent. Réduire l'écart entre la découverte d'un incident et sa résolution permet de réduire les coûts et de limiter l'exposition de l'entreprise aux risques, mais cela signifie que vous devez automatiser les processus de réponse aux incidents. Fini les feuilles de calcul ou les outils qui se chevauchent et qui ne racontent qu'une partie de l'histoire de l'origine de l'incident !

2. Créer une source unique de vérité pour éliminer les silos et étendre la visibilité des risques à l'ensemble de l'entreprise

Les résultats de cette étude montrent que, bien que les risques liés à la sécurité de l'information soient considérés comme les plus importants, de nombreuses équipes de l'entreprise sont impliquées dans la gestion des risques liés aux tiers - chacune ayant ses propres objectifs, flux de travail, processus d'évaluation et risques à examiner.

Pourtant, nous constatons qu'un pourcentage élevé d'entreprises utilisent plusieurs outils (y compris des feuilles de calcul) pour évaluer les fournisseurs et ne sont pas sûres que leurs méthodes actuelles atteignent leur but, ni même qu'elles fournissent des informations consolidées dans tous les domaines de risque.

Une meilleure approche consiste à unifier toutes les équipes internes avec un ensemble unique de flux de travail, de profils de risque de tiers, d'évaluations et de rapports.

3. Abandonner définitivement les feuilles de calcul et automatiser les processus d'évaluation et de suivi tout au long du cycle de vie

Près de la moitié des organisations utilisent encore des feuilles de calcul pour évaluer les tiers. Cette étude montre également que les entreprises sont confrontées à des processus manuels (comme les feuilles de calcul) dans 5 des 7 étapes du cycle de vie des risques liés aux tiers. Il convient donc de rechercher une solution qui centralise la gestion du cycle de vie des contrats, offre des conseils de remédiation pour s'assurer que les fournisseurs retirés répondent aux exigences de conformité et de sécurité de votre entreprise à un niveau de risque acceptable, et fournit un processus prescriptif pour traiter les tâches finales et établir des rapports conformément aux exigences de conformité. Rien de tout cela n'est possible avec une feuille de calcul !

4. Pour l'amour du ciel, remédiez à la situation !

Les données de cette étude montrent qu'il y a un décalage important entre le suivi des risques et la remédiation. On ne peut pas parler de gestion des risques si l'on ne gère pas réellement les risques! Pour ramener les risques à un niveau acceptable pour l'entreprise (ou pour exiger la preuve de contrôles compensatoires à la place de mesures correctives spécifiques), tirez parti d'une plateforme tierce de gestion des risques.

Franchir les prochaines étapes vers l'altitude de croisière du TPRM

Téléchargez l'intégralité de l'e-book et de l'infographie pour obtenir des statistiques, un contexte et des recommandations supplémentaires afin d'évaluer vos pratiques actuelles en matière de TPRM. Ensuite, demandez une démonstration pour une session de stratégie avec un expert en TPRM.