Pourquoi TPRM est un problème et ce que vous pouvez faire pour y remédier

Le risque lié aux tiers : une menace sous tous les angles

Votre organisation accomplit probablement plus de choses aujourd'hui, avec moins d'employés internes, que jamais auparavant. Cela est dû en grande partie au soutien des vendeurs, fournisseurs, prestataires de services et autres tiers externes. Bien entendu, si l'externalisation présente des avantages évidents, elle peut aussi présenter des risques considérables pour votre entreprise.

Un chemin bien tracé pour les violations ... et les règlements

Ce n'est pas un secret que chaque tiers avec lequel vous travaillez augmente votre exposition aux violations des données et de la vie privée. Chaque jour, des entreprises de tous les secteurs le découvrent à leurs dépens, notamment GE, Marriott, Target, Sprint et LabCorp. pour n'en citer que quelques-unes. Le résultat ? Perte de clients, amendes, pénalités, frais de surveillance du crédit, etc. Et à mesure que les victimes annoncent de plus en plus de violations par des tiers, de plus en plus de réglementations sont introduites par les organismes de surveillance de l'industrie et du gouvernement. CCPAAinsi, le GDPR, la CMMC et plusieurs autres réglementations prévoient spécifiquement l'évaluation et/ou la surveillance des risques liés aux tiers.

La pandémie soulève de nouvelles questions

Comme si les défis liés aux données, à la confidentialité et à la conformité ne suffisaient pas à vous empêcher de dormir, la pandémie de coronavirus a mis à nu de manière inédite l'exposition de la chaîne d'approvisionnement aux catastrophes naturelles et autres perturbations (parfois imprévues). Elle oblige toutes les entreprises à s'adapter à la nouvelle réalité du travail à distance, des mandats d'urgence, des risques sanitaires, des ruptures d'approvisionnement et autres obstacles. Comment vos partenaires tiers gèrent-ils cette situation et quel est son impact sur votre entreprise ? Quelles sont les retombées potentielles à venir ? Quelles politiques et procédures ont-ils mis en place pour faire face au prochain défi ?

Alors que les entreprises deviennent de plus en plus externalisées et virtuelles, et que l'environnement mondial devient de plus en plus incertain, comment pouvez-vous prévoir et gérer les risques liés aux tiers avec un certain niveau de confiance ?

La gestion des risques par des tiers (TPRM) peut être douloureuse

Le faire de la manière forte

Dans le passé, la plupart des organisations ont adopté une approche manuelle de la gestion des risques liés aux tiers. C'était un combat chaotique, sanglant, au corps à corps. Armés uniquement de feuilles de calcul, les évaluateurs devaient bombarder les vendeurs et les fournisseurs de questionnaires, puis rechercher leurs réponses. Si la situation était mauvaise pour les évaluateurs, elle l'était encore plus pour les fournisseurs qui devaient répondre à ces demandes - et aux mêmes questions de la part de différents clients, encore et encore et encore. Il n'est pas étonnant que 34 % des entreprises déclarent qu'il leur faut plus d'un mois pour réaliser l'évaluation d'un fournisseur de premier plan.

Malheureusement, une étude récente a révélé que 50 % des entreprises sont restées dans le passé, s'appuyant encore uniquement sur des feuilles de calcul pour gérer leurs audits et leurs contrôles. La plupart des entreprises travaillant avec des centaines de fournisseurs, il faudrait une armée d'évaluateurs utilisant des méthodes manuelles pour rassembler des données sur les risques liés aux tiers qui soient complètes, actuelles ou utiles de quelque manière que ce soit.

La méthode dure, mais il y a plus à faire

Et ce n'est que le problème de la collecte. Disons que vous êtes en mesure d'obtenir des réponses de vos fournisseurs les plus critiques. Que faites-vous de ces données ? Comment évaluer, hiérarchiser et corriger les risques ? Comment savoir si les réponses sont exactes ? Sont-elles cohérentes avec les données historiques ? Sont-elles en corrélation les unes avec les autres ? Sont-elles en corrélation avec les risques liés aux fournisseurs qui existent déjà dans la nature (par exemple, les violations de données connues, les données des clients sur le dark web, les actions en justice, les amendes, etc.) Êtes-vous prêt à répondre à ces questions lorsque le conseil d'administration, les autorités de réglementation et toutes les autres personnes qui hantent vos rêves viendront frapper à votre porte ? Le simple fait d'écrire ces lignes nous stresse !

Vous avez peut-être réussi à collecter des données sur les risques auprès de vos fournisseurs, à les communiquer à toutes les personnes concernées et à prendre des mesures concrètes. Ce n'est pas fini. Tout change en permanence. Les fournisseurs vont et viennent. La façon dont ils traitent vos données change. De nouvelles cyberattaques et de nouveaux risques de sécurité apparaissent chaque jour. Vos informations sont déjà dépassées. Vous allez devoir faire cela régulièrement.

Et Bob ?

D'un autre côté, vous vous dites peut-être : "Je n'ai pas besoin de me préoccuper de ce genre de choses. C'est le problème de [Bob] de [l'informatique]". Envoyez ce message à Bob, mais le risque lié aux tiers est un défi pour plusieurs départements dans la plupart des organisations. Et la responsabilité peut varier, selon la personne à qui vous demandez. 37 % des entreprises disent que la sécurité de l'information en est responsable, 22 % disent l'informatique, 14 % la gestion des risques, 9 % la gestion des fournisseurs et 6 % le service juridique/la conformité. Avec autant de départements impliqués, qui est réellement responsable du problème ? Comment aligner tout le monde pour faire des progrès substantiels dans l'identification et la réduction des risques liés aux fournisseurs ?

On a compris : TPRM n'est pas amusant

Dans un monde parfait, nous n'aurions pas à nous soucier du "bagage" que représente le risque lié aux tiers. Les systèmes d'information seraient à l'épreuve des balles et sans faille. Le personnel des fournisseurs serait robotisé et loyal. Les criminels et les États ennemis n'existeraient pas. Tout le monde serait ami.

Le monde n'est pas parfait. Vous avez manifestement besoin de vos fournisseurs pour mener à bien vos activités, mais vous devez en même temps être intelligent et conscient des risques. La réalité est que les écosystèmes des fournisseurs sont organiques et imprévisibles, tout comme l'environnement mondial. Cela rend la gestion des risques liés aux tiers particulièrement pénible. C'est parfois chaotique, et à d'autres moments, c'est juste une corvée.

C'est pourquoi Prevalent existe. Nous sommes là pour rendre la gestion des risques liés aux tiers beaucoup moins pénible et beaucoup plus productive.

L'approche de TPRM sur Prevalent

Prevalent est là pour révolutionner votre façon de faire face aux risques d'un monde de plus en plus interconnecté, interdépendant et imprévisible. Chaque jour, nous transformons la façon dont nos clients voient, gèrent et gouvernent leurs relations avec les tiers. Pour ce faire, nous proposons des réseaux, des services et des produits communautaires qui permettent aux entreprises de mieux révéler, interpréter et réduire les risques liés aux tiers.

Réseaux : Fournir un accès instantané aux informations sur les risques liés aux fournisseurs

Nos clients ont accès à un vaste réservoir de renseignements sur les risques à la demande pour plus de 10 000 fournisseurs. Ces bibliothèques tirent parti de la puissance de la communauté Prevalent pour fournir des informations historiques et en temps réel sur cyber et les risques commerciaux provenant de plus de 567 000 sources. Avec Prevalent Vendor Risk Networks, nos clients peuvent rapidement faire évoluer leurs programmes TPRM grâce à un accès instantané aux scores de risque des fournisseurs et aux rapports correspondants. Pour les fournisseurs qui ne font pas encore partie des réseaux, Prevalent effectuera de nouvelles évaluations à la demande du client. Nous intégrons également de nouvelles fonctionnalités en libre-service dans nos plateformes, permettant aux fournisseurs de compléter et de soumettre des auto-évaluations qu'ils peuvent facilement partager avec leurs propres clients.

Services : Faire le travail difficile de TPRM pour vous

À Prevalent, nous aidons nos clients à identifier, comprendre et réduire les risques liés aux tiers depuis plus de 15 ans. Au départ, nous étions une équipe de consultants prêts à poser aux fournisseurs des questions difficiles au nom de leurs clients. Aujourd'hui, cette équipe s'est transformée en un service complet de chercheurs, d'auditeurs et de professionnels de la satisfaction des clients, dont la mission est de libérer nos clients des aspects fastidieux de la gestion des risques liés aux tiers. Nous pouvons nous occuper de tout, de l'intégration des fournisseurs et des évaluations à l'identification des risques et au suivi des mesures correctives. Vous vous épargnez le travail difficile et obtenez les informations et les rapports dont vous avez besoin pour vous concentrer sur la stratégie des fournisseurs et la réduction globale des risques.

Produits : Unifier la gestion, l'évaluation et la surveillance des fournisseurs

Nos clients sont équipés de la plateforme de gestion des risques liés aux tiers la plus automatisée et la plus intelligente disponible aujourd'hui. Laplateforme de gestion des risques liés aux tiers Prevalent unifie la gestion des fournisseurs, l'évaluation des risques et la surveillance des menaces pour offrir une vue à 360 degrés du risque. La plateforme permet d'intégrer facilement les fournisseurs, de les évaluer à l'aide de questionnaires standardisés et personnalisés, de corréler les évaluations avec des données externes sur les menaces, de révéler, de hiérarchiser et de signaler les risques, et de faciliter le processus de remédiation. Les clients peuvent utiliser la plateforme soit pour leurs propres initiatives TPRM autogérées, soit en collaboration avec notre équipe de services.

S'engager sur la voie de la maturité TPRM

Quelle que soit votre situation actuelle, Prevalent vous permet d'élaborer un programme de gestion des risques liés aux tiers avec une visibilité, une efficacité et une échelle inégalées. Nous travaillerons avec vous pour trouver une solution de services gérés, d'adhésion au réseau et/ou d'accès à la plateforme TPRM qui convienne le mieux à votre organisation. Vous bénéficierez d'un délai de rentabilisation rapide, vous serez équipé pour prendre des décisions fondées sur des données intelligentes et vous réduirez de manière mesurable les risques liés aux fournisseurs, le tout avec un minimum de difficultés pour vous et votre équipe.

Voici quelques exemples de ce que nos clients ont réalisé :

• L'une des plus grandes entreprises pharmaceutiques du monde a réduit de 550 heures le nombre de ses évaluations, économisé des dizaines de milliers de dollars sur l'externalisation et réorienté des personnes et des fonds vers des projets de gestion des risques plus stratégiques.
• L'une des dix premières compagnies d'assurance au monde a réduit de 50 % le temps consacré à l'intégration des fournisseurs et à la réalisation des évaluations.
• Une compagnie d'assurance américaine du top 20 a augmenté de 233 % les évaluations annuelles des fournisseurs, sans ajouter de personnel.

Dans l'ensemble, lesclients de Prevalent ont fait état d'une réduction moyenne de 80 % du temps d'accueil des fournisseurs, d'une extensibilité de 5 fois l'évaluation des fournisseurs à l'aide de notre plateforme et d'une extensibilité de 8 fois l'évaluation des fournisseurs via services manages.

La gestion des risques liés aux tiers n'est pas forcément un parcours sans fin et sans issue. Découvrez ce que Prevalent peut faire pour vous. Demandez une démo dès aujourd'hui.