5 façons d'obtenir plus de valeur à partir de notations sur les risques de tiers

Si les scores de cybersécurité constituent un élément important de l'évaluation des risques liés aux tiers, ils ne donnent qu'une partie de l'information. Voici ce qu'il faut rechercher d'autre lorsqu'il s'agit de surveiller les risques liés aux fournisseurs.
Par :
Scott Lang
,
VP, Marketing produit
18 novembre 2020
Partager :
Blog plus qu'un score 1120

Une gestion efficace des risques liés aux tiers (TPRM) exige non seulement de mesurer les pratiques et les contrôles internes d'un fournisseur, mais aussi de comprendre comment les facteurs externes peuvent avoir un impact sur son profil de risque. L'intégration de l'évaluation interne et externe avec la surveillance externe permet une gestion des risques plus holistique et coordonnée, et ces deux pratiques apparaissent fréquemment comme des exigences réglementaires.

Malheureusement, la plupart des outils de surveillance se concentrent uniquement sur les risques de cybersécurité et ne donnent qu'une partie de l'information. Vous trouverez ci-dessous cinq autres catégories de risques liés aux fournisseurs à surveiller, ainsi que cinq façons d'utiliser ces renseignements supplémentaires pour prendre de meilleures décisions fondées sur les risques.

5 catégories de risques liés aux fournisseurs à surveiller au-delà de la cybersécurité

L'élargissement de la portée de la surveillance "outside-in" commence par la reconnaissance du fait que les renseignements sur les fournisseurs peuvent profiter à des équipes autres que celles chargées de la sécurité informatique. Par exemple, un incendie dans une usine de fabrication, une visite de l'OSHA, de mauvais résultats financiers ou une enquête de la SEC sont des signaux d'alarme qui peuvent influencer les décisions d'achat. d'achat. Ces types de renseignements ne sont généralement pas disponibles dans les outils de surveillance de cyber . Dans ces conditions, voici cinq catégories de risques liés aux fournisseurs à prendre en compte, en plus des risques liés à la cybersécurité :

1. Risques opérationnels

Les risques opérationnels peuvent découler de changements de direction ou de fusions et acquisitions qui modifient l'orientation stratégique d'une entreprise. Les partenariats et les relations avec les équipementiers peuvent fournir des alertes précoces sur les changements de prix ou sur une modification de la stratégie marketing, et les catastrophes naturelles ou les crises sanitaires peuvent affecter de manière significative les opérations.

2. Risques liés à la marque

Cela se produit lorsqu'un fournisseur doit rappeler des produits, est victime d'une violation de données ou subit un autre incident entraînant des relations publiques négatives ou une couverture médiatique défavorable. Ces événements peuvent également entraîner des pénalités financières et des mesures correctives qui peuvent affecter la capacité du fournisseur à fournir ses produits et services.

3. Risques réglementaires, sanctions et juridiques

Les recours collectifs, les sanctions internationales (par exemple, OFAC, UE, ONU, BOE, FBI, BIS, etc.) et les procédures judiciaires de la FDA, de la FSA, de la SEC et d'autres organismes de réglementation peuvent retarder considérablement la livraison de produits et services de tiers. Ils peuvent également signaler la nécessité de prendre des mesures pour protéger votre entreprise contre la criminalité en col blanc, le blanchiment d'argent et les atteintes à la réputation.

4. Risques financiers

Les événements financiers tels que les procédures de faillite, les pertes de clients, les manques à gagner, et tous les domaines évoqués précédemment peuvent entraîner la restructuration des fournisseurs et des interruptions de service.

5. Personnes politiquement exposées (PPE)

Les risques de corruption et de pots-de-vin sont souvent négligés dans les évaluations de tiers. Il peut être préjudiciable pour votre entreprise d'être en relation avec des PPE, leurs familles et leurs associations, il est donc important d'avoir une visibilité sur cette vulnérabilité.

En raison de ces risques, il est essentiel de surveiller les événements commerciaux et financiers qui peuvent avoir un impact sur la chaîne d'approvisionnement. Cependant, il peut être complexe et long d'obtenir des données utiles, surtout lorsque vous vous fiez aux flux RSS, aux rapports de crédit périmés et aux sites Web d'information disparates. Prevalent Le Vendor Threat Monitor (VTM) peut vous aider.

Prevalent VTM suit et analyse en permanence les menaces externes pesant sur vos tiers. La solution ne se contente pas de surveiller l'Internet et le dark web à la recherche des menaces et des vulnérabilités cyber , elle passe également en revue plus de 530 000 sources de renseignements commerciaux et financiers sur vos fournisseurs. Ces informations vous permettent de compléter et de valider les réponses aux évaluations internes pour obtenir une vue à 360 degrés de la sécurité et de la conformité des tiers.

Dossier exécutif : comment obtenir davantage des scores relatifs aux risques des tiers

Découvrez comment élaborer un programme de surveillance des risques liés aux fournisseurs plus complet, plus exploitable et plus rentable.

Lire la suite
Livre blanc : obtenez plus de scores de risque pour les tiers 1120

5 façons de tirer profit d'une meilleure information sur les risques liés aux fournisseurs

Voici cinq façons dont les gestionnaires de risques, les praticiens de la sécurité et les spécialistes des achats peuvent tirer profit d'une approche plus complète de la surveillance des risques liés aux fournisseurs.

1. Valider les évaluations basées sur les contrôles

Un cas d'utilisation courant pour la surveillance des fournisseurs est de valider les résultats des évaluations des contrôles internes avec des informations provenant d'événements observables de l'extérieur. Par exemple, si un fournisseur apparaît sur une liste de surveillance réglementaire, vous pouvez corréler cet événement avec sa réponse à l'évaluation concernant cette réglementation spécifique. Cela vous permet de mieux anticiper les risques et de maintenir une défense plus proactive.

2. Compléter les évaluations ponctuelles

Les organisations de vendeurs ne sont pas statiques. Elles connaissent des changements de personnel et mettent en œuvre de nouvelles politiques et procédures. Une surveillance continue cyber, commerciale et financière peut fournir une visibilité sur les changements de risques importants entre les évaluations internes, qui sont souvent effectuées sur une base annuelle. L'intelligence de surveillance peut également déclencher des évaluations supplémentaires pour traiter les risques immédiats provisoires.

3. Analyse précontractuelle de la passation des marchés et de l'appel d'offres

Le suivi fournit des informations sur les violations de données historiques, l'hygiène externe actuelle en matière de cybersécurité, la stabilité de l'entreprise, les notations financières et de crédit, les changements de dirigeants, les acquisitions et les procès importants pour les équipes d'achat qui cherchent à trouver des alternatives à faible risque pour leurs organisations.

4. Diligence raisonnable en matière de fusions et d'acquisitions

Comme pour l'analyse précontractuelle, une surveillance continue peut signaler la santé commerciale d'une cible d'acquisition ou de partenariat. Ces renseignements peuvent inclure des événements et des rapports financiers, des actions réglementaires, des violations de conformité, des brèches, des changements de direction et des événements ayant un impact sur la réputation de la marque.

5. Évaluations internes

La surveillance peut être utilisée pour les opérations internes en plus des organisations externes. La surveillance des unités commerciales internes ou d'autres divisions commerciales peut donner lieu à des alertes précoces basées sur le bavardage sur cyber , les PEP ou d'autres risques dans le domaine public.

Lesévaluations des risques des fournisseurs fournissent des informations précieuses sur les contrôles internes de sécurité et de conformité. La surveillance continue réduit davantage le risque en rassemblant des informations provenant de milliers de sources externes et en appliquant l'apprentissage automatique pour révéler les tendances et les anomalies en matière de risque. En unissant les informations de surveillance commerciale et financière de cyber aux résultats des évaluations, vous pouvez gérer de manière proactive votre surface de risque tiers et obtenir "plus qu'un score" de votre solution de gestion du risque fournisseur.

Faisant partie de la plateforme de gestion des risques des tiersPrevalent , Vendor Threat Monitor est intégré à Vendor Risk Assessment. Toutes les données de surveillance et d'évaluation sont centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui vous permet de corréler rapidement les résultats et de rationaliser vos initiatives d'examen, de rapport et de réponse aux risques.

Passez à l'étape suivante

Pour en savoir plus sur la manière de maximiser la valeur de vos informations de surveillance continue, téléchargez la note de synthèse intitulée " How to Get More from Third-Party Risk Scores" ou demandez une démonstration dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo