61 % des entreprises ont été victimes d'une intrusion de la part d'un tiers : Découvrez pourquoi

Ce billet examine les cinq tendances clés de l'étude de cette année et recommande trois bonnes pratiques pour que l'organisation se concentre sur la gestion des risques liés aux tiers.

Constatation n° 1 : De nombreux services sont impliqués dans la lutte contre les incendies de TPRM, mais personne ne dirige les opérations.

Comme les résultats de l'étude des années précédentes, la principale préoccupation des organisations dans leur utilisation de tiers cette année - de loin à 74% - est une violation de données ou un autre incident de sécurité. La raison de cette inquiétude est assez évidente : 61 % des personnes interrogées ont déclaré avoir été victimes d'une violation de données ou d'un autre incident de sécurité au cours des 12 derniers mois. Cela représente une augmentation significative de 49 % par rapport aux résultats de l'enquête de 2023 et une multiplication par trois depuis 2021.

Cette augmentation du nombre de violations intervient à un moment où les équipes chargées de la sécurité de l'information, de la gestion des risques et de la confidentialité des données sont de plus en plus impliquées dans les risques liés aux tiers - et les violations en sont la raison. En fait, le seul type de risque suivi cette année en plus grand nombre que l'année dernière est le risque de cybersécurité (58 %).

Cependant, éteindre les incendies de TPRM n'est pas aussi simple que les données le suggèrent. Si l'équipe chargée de la sécurité de l'information est généralement responsable du programme de gestion des risques liés aux technologies, les responsables d'entreprise sont responsables des relations avec les tiers et les services d'approvisionnement gèrent la base de données des vendeurs/fournisseurs.

Le paradigme complexe de la propriété entre la sécurité, les propriétaires d'entreprise et les achats nous amène à poser la question : Qui est réellement chargé de la surveillance des incendies ?

Constat n° 2 : Les entreprises n'utilisent pas toujours les bons outils pour éteindre les incendies liés au TPRM.

La bonne nouvelle est que la grande majorité des organisations déclarent avoir mis en place un programme de gestion des risques des tiers (TPRM), de gestion des risques des fournisseurs informatiques (VRM) ou de gestion des risques des fournisseurs (SRM). Mais la mauvaise nouvelle, c'est que 50 % de ces mêmes entreprises indiquent qu'elles utilisent encore des feuilles de calcul pour évaluer ces vendeurs et fournisseurs tiers, ce qui correspond aux résultats de l'étude des années précédentes. C'est comme essayer d'éteindre un feu de forêt avec une couverture.

La plus forte croissance d'une année sur l'autre dans l'utilisation des outils provient toutefois des services d'évaluation de la sécurité. L'utilisation croissante des services d'évaluation de la sécurité pourrait être liée à un pourcentage plus élevé d'entreprises ayant signalé une violation de données par un tiers ou un incident de sécurité au cours des 12 derniers mois, ce qui pourrait conduire à un besoin de visibilité accrue sur les incidents de cybersécurité et de surveillance de ces risques (voir le constat n° 1).

Ce qu'il faut retenir, c'est que les entreprises ne s'appuient pas sur un seul outil pour gérer les risques liés aux tiers, mais qu'elles en utilisent plusieurs. Mais s'agit-il des bons outils ?

La cybersécurité est le seul type de risque relevé dans cette enquête pour lequel le pourcentage de répondants effectuant un suivi via des flux de surveillance est plus élevé (75 %) que pour les évaluations basées sur des questionnaires (61 %). Les deux méthodes sont importantes, mais une dépendance excessive à l'égard des données des flux de surveillance pourrait limiter la capacité d'une organisation à inspecter les contrôles et pratiques internes de ses tiers et à prendre des mesures pour remédier à ces risques.

En outre, tous ne semblent pas satisfaits de leur méthode actuelle d'évaluation des tiers, en particulier lorsqu'il s'agit d'évaluer les risques à chaque étape du cycle de vie du fournisseur, et de savoir si cette méthode permet l'automatisation et l'établissement de rapports en vue de la mise en conformité.

Notre point de vue est le suivant : Les organisations n'inspectent peut-être pas les broussailles où les incendies prennent généralement naissance.

Constatation n° 3 : Il faut des ressources pour éteindre les incendies liés au TPRM, mais la plupart des organisations manquent de main-d'œuvre et de coordination.

Les organisations ne gèrent qu'environ 33 % des tiers avec lesquels elles travaillent. Outre l'insatisfaction générale à l'égard des outils et des méthodes examinée dans le constat n° 2, ce faible pourcentage de fournisseurs gérés pourrait être lié à un manque de personnel. 37 % des répondants ont déclaré qu'ils avaient entre 1 et 4 personnes actuellement impliquées dans l'évaluation des tiers, et 37 % ont déclaré qu'ils avaient besoin de 5 à 9 personnes.

En fait, le principal obstacle, selon 63 % des personnes interrogées, qui empêche l'adoption ou la croissance de leur programme de gestion des risques technologiques est le manque de ressources. Le fait de manquer de personnel par un facteur de 2 signifie qu'il y a beaucoup trop de fournisseurs non évalués qui exposent l'organisation à un risque trop élevé.

Le manque de coordination du programme peut également être une source de préoccupation. Plus de la moitié des répondants (51 %) ont indiqué qu'il existait une certaine coordination au sein de l'organisation, tandis qu'un nombre étonnamment faible de répondants (31 %) ont indiqué que le programme était très bien coordonné.

Sans les ressources et le leadership nécessaires, cet incendie peut rapidement devenir incontrôlable.

Constatation n° 4 : On ne peut pas éteindre un incendie de TPRM en le regardant brûler.

Les données de l'étude de cette année montrent qu'entre 85 et 87 % des entreprises suivent les risques depuis le sourcing et la sélection jusqu'aux étapes de surveillance continue des risques du cycle de vie des tiers - une amélioration par rapport aux résultats de l'étude de 2023 - mais seulement 74 à 79 % des entreprises suivent les risques liés aux accords de niveau de service (SLA) et aux ruptures de contrat plus tard dans le cycle de vie de la relation. Bien qu'il s'agisse également d'une amélioration par rapport aux résultats de l'étude de l'année dernière, le manque de visibilité des accords de niveau de service et des risques de rupture de contrat pourrait être problématique pour les entreprises si elles n'évaluent pas les risques à ces stades avec la même fréquence qu'aux autres stades.

Ce qui est plus intéressant, c'est la disparité entre le pourcentage d'organisations qui suivent les risques et celles qui y remédient effectivement. Cette disparité n'est nulle part plus grande qu'au stade de la recherche et de la sélection du cycle de vie. Bien que les entreprises fassent un bon suivi des risques à ce stade (85 %), seules 29 % d'entre elles remédient à ce qu'elles découvrent. En outre, seules 46 % des entreprises déclarent avoir pris des mesures correctives à la suite de l'évaluation des risques - l'étape où les risques devraient absolument être atténués ! On ne peut pas éteindre un feu en se contentant de le regarder brûler.

Constatation n° 5 : les nouvelles technologies peuvent faciliter la lutte contre les incendies de TPRM.

L'étude de cette année a montré que même si seulement 5 % des entreprises déclarent utiliser activement l'IA dans leurs programmes de gestion de la relation client, 61 % d'entre elles étudient les cas d'utilisation de l'IA. 25 % affirment fermement qu'elles n'ont pas l'intention d'utiliser l'IA. La raison pour laquelle 25 % des entreprises déclarent ne pas avoir l'intention d'utiliser l'IA est que près de la moitié d'entre elles (49 %) n'ont pas mis en place de stratégie organisationnelle pour l'IA.

Pourtant, les entreprises voient la valeur de l'IA. Pour les organisations qui l'utilisent ou envisagent de l'utiliser, les principaux cas d'utilisation concernent les rapports, l'accélération du remplissage des questionnaires et la collecte de données provenant de sources multiples. Il existe un potentiel énorme pour les organisations d'exploiter cet outil dans leurs programmes et cela pourrait les aider à réduire les défis en matière de ressources exposés dans le constat n° 3.

Recommandations

Les résultats de cette étude montrent que de nombreux programmes sont confrontés à des processus manuels qui limitent le risque, le cycle de vie et la couverture des fournisseurs, ce qui rend la lutte contre les incendies liés aux TPRM lourde et fastidieuse et risque de les propager. Voici trois mesures concrètes pour améliorer la lutte contre les incendies liés aux TPRM.

Créer des équipes interfonctionnelles et établir clairement la propriété du TPRM pour s'assurer que les remèdes sont appliqués

Bien que la plupart des entreprises déclarent avoir mis en place un programme de TPRM, on ne sait pas exactement dans quelle mesure ces équipes collaborent au sein de leurs programmes. Cette approche segmentée peut s'expliquer par le fait que les équipes se concentrent sur leurs responsabilités individuelles sans avoir de vision collective, ce qui les amène à négliger la "forêt" de la gestion des risques à l'échelle de l'entreprise au profit des "arbres" des objectifs propres à chaque département.

Il est essentiel d'augmenter l'incidence de la remédiation des risques si l'on veut réellement tirer le meilleur parti d'un programme de TPRM. Créer des équipes interfonctionnelles avec des responsabilités claires en matière d'appropriation et étendre cette appropriation jusqu'à la remédiation des risques.

Automatiser les processus TPRM autour d'une plateforme unique afin d'unifier les équipes, les données et le cycle de vie du risque.

La moitié des entreprises déclarent utiliser encore des feuilles de calcul ainsi qu'un ensemble complexe d'outils pour évaluer et gérer leurs tiers. Les entreprises à la recherche de nouveaux outils devraient s'orienter vers des solutions qui :

• Centraliser l'évaluation et le suivi dans une plateforme unique pour améliorer la visibilité
• Incorporer plusieurs types de données (par exemple, cyber, données commerciales, opérationnelles, financières, de réputation, ESG, etc.) afin de traiter les risques pour de nombreux utilisateurs départementaux.
• Utiliser les conseils de remédiation intégrés pour réduire le risque à un niveau acceptable
• Inclure des capacités spécifiques pour traiter les risques tout au long du cycle de vie des tiers - depuis la recherche et la sélection de nouveaux fournisseurs jusqu'à l'exclusion et la résiliation.

Une approche plus globale axée sur le flux de travail contribuera à combler les lacunes dans la couverture des risques, dans le cycle de vie des risques et dans l'application des mesures correctives (voir la recommandation ci-dessus).

Combler le déficit de ressources et de compétences grâce à l'externalisation de services manages ou à des capacités d'intelligence artificielle

Les données de l'étude de cette année montrent que le manque de ressources est le principal obstacle à la réussite du programme de TPRM. Ce manque de ressources se traduit par le fait que 67 % des fournisseurs ne sont pas gérés de manière adéquate. Pour pallier le manque de ressources, envisagez d'externaliser tout ou partie de votre programme de TPRM auprès de fournisseurs experts ( services manages ). De concert avec services manages, étudiez l'utilisation de l'IA pour accélérer les rapports de TPRM, le remplissage des questionnaires et la collecte de données provenant de sources multiples. Lorsque vous envisagez d'utiliser l'IA, assurez-vous que

• Les modèles d'IA choisis sont formés sur des années d'expertise, de données et d'événements réels en matière de gestion des risques de tiers.
• La sécurité, l'exactitude et la gouvernance des processus et des données sont prises en compte.
• Les données sont rendues anonymes afin de réduire la probabilité d'une violation des données ou d'une exposition des données personnelles.

Prochaines étapes : Téléchargez les résultats complets de l'étude et comparez votre programme TPRM à celui de vos pairs

Téléchargez les résultats complets de l'étude et accédez à l'ensemble des données, des conclusions et des recommandations pour comparer votre programme de TPRM à celui d'organisations similaires. Vous pourrez également accéder à une infographie qui résume les principales conclusions et peut être partagée avec votre équipe. Vous pouvez également demander une démonstration à Prevalent pour savoir comment mettre en œuvre ces résultats.