L'évolution de la gestion des risques liés aux tiers en 2022

John Masserini : Bonjour. Je suis John Masserini, analyste principal de recherche pour TAG Cyber. La séance d'aujourd'hui fait partie de l'Executive Exchange de TAG Cyber. Je suis accompagné de Brad Hibbert, directeur de la stratégie et directeur des opérations de Prevalent. Brad, je suis ravi de vous revoir et je vous souhaite la bienvenue au TAG.

Brad Hibbert : Merci, John. Je suis heureux d'être ici.

John : Parlons un peu du risque lié aux tiers. Au cours des dernières années, nous avons constaté un changement dans la façon dont les tiers sont abordés et les risques qui se produisent au sein des entreprises. À l'origine, nous avions l'habitude de nous préoccuper du contrôle d'accès, d'essayer d'obtenir une analyse de vulnérabilité d'un tiers - ou, dans les bons jours, d'obtenir un rapport SOC 2. Le monde est très différent aujourd'hui, avec des problèmes de chaîne d'approvisionnement et des défis étendus pour les tiers. Pouvez-vous nous parler un peu de ce que vous observez dans le secteur et de son évolution ?

Brad : Au cours des dernières années, nous avons assisté à des changements dynamiques dans le secteur. La gestion du risque lié aux fournisseurs a commencé il y a des années en se concentrant sur les fournisseurs informatiques et le contrôle d'accès - les personnes qui accèdent aux données, les traitent ou les stockent. Nous avons constaté un certain changement depuis lors. Une partie de ce changement est due aux événements récents avec COVID, et la résilience des entreprises est certainement de plus en plus présente.

Nous constatons également une forte pression de la part des conseils d'administration, des consommateurs et des actionnaires en ce qui concerne les risques non liés à l'informatique et associés à l'ESG, à la diversité et à l'esclavage moderne. Cela amène les organisations à faire une pause et à réfléchir aux dimensions plus larges des risques associés aux tiers.

Mais ne vous méprenez pas, les contrôles de sécurité informatique sont toujours au cœur des préoccupations. Prevalent a récemment mené une étude sur la gestion des risques par des tiers, et 45 % des personnes interrogées ont indiqué que les contrôles informatiques étaient toujours leur principale préoccupation. Mais ce qui est intéressant, c'est que 40 % d'entre eux ont également indiqué que les risques non informatiques les préoccupaient également. Je pense donc que les gens essaient d'avoir une compréhension plus complète du risque tout au long de la relation avec le fournisseur et de mettre en œuvre des processus et des plans pour atténuer ce risque.

John : En tant qu'ancien CSO, j'étais fortement concentré sur les risques centrés sur l'informatique et les risques que les applications apportaient à l'organisation, qui par défaut s'étendaient au domaine des tiers. Aujourd'hui, avec l'ESG, l'esclavage moderne et d'autres risques non informatiques, beaucoup d'OSC se débattent avec la façon dont cela s'intègre dans leurs programmes. Comment les OSC s'adaptent-elles à cela ?

Brad : Les organisations deviennent plus sophistiquées et prennent en compte les risques non informatiques. Elles mettent en place des programmes de risques tiers qui peuvent commencer par examiner un certain type de contrôle ou de risque. Cela peut commencer par le risque de sécurité informatique, mais comment obtenir une visibilité sur un profil de risque plus complet ? Par exemple, du point de vue des achats, nous constatons une augmentation de la demande de présélection des risques liés aux fournisseurs, d'identification des problèmes de sanctions et de compréhension des risques de réputation. Même s'il n'y a pas d'impact ou d'exigence directe en matière de conformité, nous constatons que les consommateurs et les actionnaires activistes exercent une forte pression sur les entreprises pour qu'elles fassent mieux dans ces domaines.

À l'adresse Prevalent, nous avons examiné qui, au sein de l'organisation, interagissait avec les fournisseurs à différentes phases du cycle de vie et quels types de risques chacun devait prendre en compte. Ensuite, nous avons développé des capacités pour les aider à comprendre les risques, à minimiser les défis et à atténuer les préoccupations tout au long du cycle de vie du fournisseur.

John : Du point de vue de la technologie de sécurité, nous trouvons des moyens d'évaluer les risques - comme les vulnérabilités avec CVSS. Donc, vous faites le même genre de chose pour les risques non centrés sur la technologie, n'est-ce pas ? Vous pouvez vous asseoir devant un conseil et dire : " Voici le côté technologique, voici le côté réputationnel et voici le côté ESG ". C'est un peu la solution tout-en-un à laquelle vous faites référence ?

Brad : C'est exact. Nous rassemblons les informations et vous donnons une compréhension complète du risque à travers différentes dimensions du risque. Nous le faisons à partir d'un certain nombre d'angles différents.

Comme vous l'avez mentionné, il y a la vue de l'extérieur vers l'intérieur : Nous examinons les analyses de vulnérabilité, nous examinons le risque de réputation de l'entreprise, nous examinons le risque financier. Nous examinons les différentes sanctions. Nous surveillons en permanence les données relatives aux risques et les intégrons dans notre plateforme. Nous disposons également d'une capacité d'évaluation pour la vue interne et externe. Son objectif est de comprendre les politiques et procédures du tiers et de demander des artefacts ou des preuves.

Nous complétons cela en établissant des profils de fournisseurs avec des informations supplémentaires que nous obtenons à partir de capteurs mondiaux. Par exemple, des données démographiques sur les fournisseurs, des relations avec des tiers, des informations ESG, etc. Puis nous regroupons le tout dans un profil complet que l'entreprise peut comprendre.

John : Vous avez mentionné l'intégration de la sécurité et des achats - cela a toujours été un défi dans toutes les organisations pour lesquelles j'ai travaillé ; trouver cet équilibre entre ce que l'équipe de sécurité veut faire et l'avancement du cycle de vie des achats. Cela a toujours été une grande partie du défi. On dirait aussi que vous ouvrez cette possibilité à beaucoup d'autres personnes dans l'organisation, et pas seulement à l'équipe de sécurité.

Brad : C'est exact. De nombreux programmes commencent par l'équipe de sécurité ; 45 % des personnes interrogées dans le cadre de notre étude de 2022 ont indiqué qu'il s'agissait de la principale préoccupation. De nombreuses organisations sont préoccupées par la sécurité parce que les violations de données par des tiers se sont accélérées au cours des deux dernières années. Dans notre étude, nous avons également montré qu'environ 45 % des personnes interrogées ont indiqué qu'elles avaient récemment été touchées par une violation de données par un tiers. Il peut s'agir de l'impact d'un fournisseur informatique ou d'un autre type de fournisseur qui a subi une violation de sécurité. Et ce chiffre est en hausse par rapport à 21 % en 2020. Donc, nous voyons certainement un réel changement dans les attaquants qui s'en prennent à la chaîne d'approvisionnement. C'est vraiment le moteur de la sensibilisation.

C'est généralement la base du programme, la compréhension du risque de sécurité. Traditionnellement, les personnes qui utilisent nos solutions sont les CSO et les équipes de sécurité. Nous commençons maintenant à voir une certaine convergence. On demande aux équipes de sécurité d'avoir une compréhension plus complète des risques. Nous constatons que les équipes chargées des achats - qui s'occupaient généralement de la qualité, de la livraison et des risques financiers - doivent désormais comprendre les facteurs liés à la diversité, à l'esclavage moderne et à l'ESG. Encore une fois, ce sont les actionnaires, et pas seulement les consommateurs, qui sont à l'origine de ces évolutions.

Mais nous constatons également que les fournisseurs, les équipes chargées des achats, s'interrogent désormais sur les risques informatiques avec leurs fournisseurs non informatiques, car ils peuvent également être touchés par des violations de données susceptibles d'affecter la capacité à fournir un service ou un produit.

Du point de vue des acheteurs, il y a quelques années, 95 % des personnes avec lesquelles nous interagissions étaient des CSO. Aujourd'hui, ce chiffre est d'environ 75 %. Les autres 25 % de nos interactions se font avec les achats, la gestion des contrats et d'autres personnes qui viennent à la table au fur et à mesure que les programmes de risques des tiers commencent à mûrir et à se développer.

John : Je sais que la SEC a récemment mis l'accent sur le risque lié aux tiers, ainsi que sur le risque lié au quatrième tiers. Souvent, nous ne regardons pas au-delà des vendeurs tiers, mais plutôt les partenaires dont ils dépendent. Par exemple, dans le monde des télécommunications, les fournisseurs de quatrième partie sont très importants. Je peux acheter un appareil auprès d'une source de confiance, mais qui sait où cette source de confiance a obtenu ses puces ou ses cartes ?

Alors, comment le site Prevalent peut-il aider mon équipe - y compris les équipes chargées des achats, de la confidentialité et des affaires juridiques - à répondre aux exigences de la SEC et aux autres exigences réglementaires à venir ?

Brad : Notre plateforme SaaS se concentre sur la gestion des risques liés aux tiers - un lieu unifié pour obtenir cette compréhension globale des risques. Nous avons pris en compte toutes les équipes qui interagissent avec des tiers tout au long de la relation avec le fournisseur - de l'approvisionnement et de la sélection, à la contractualisation et à l'intégration, à la diligence raisonnable et à la remédiation, à la surveillance et à la validation continues, à l'exclusion et à la résiliation du contrat. Nous les aidons à comprendre les risques liés à chaque étape et à savoir qui interagit avec le tiers à chaque étape. Et nous leur fournissons un profil de risque complet à travers une lentille qui est pertinente pour eux et leur fonction.

Notre plateforme consolide ensuite ces informations, automatise le processus et favorise la collaboration entre les équipes. L'idée est de dépasser la case de la conformité. Chaque équipe peut réfléchir de manière réfléchie et ciblée à la façon dont elle interagit avec un tiers pour atténuer les risques. Si elle peut amplifier cette information à travers différentes équipes, elle peut alors réduire de manière significative le risque global associé à la tierce partie tout au long du contrat.

En outre, le marché étant encore quelque peu immature, nous fournissons des services aux clients qui en ont besoin. Nous avons une équipe de services expérimentée et des partenaires de services qui peuvent aider à la conception, à la mise en œuvre et à l'optimisation des programmes.

La plupart des membres de notre équipe ont fait ce travail pendant plus de 20 ans et ont appris les meilleures pratiques. Ainsi, pour les clients qui veulent que quelqu'un d'autre fasse le travail difficile, notre équipe peut les aider. services manages équipe peut les aider. Elle met à l'échelle le programme de chaque client avec un haut niveau de qualité, et fournit ensuite un programme de réussite du client pour soutenir l'ensemble.

Nous pouvons vous aider à comprendre les besoins de votre programme, à commencer modestement, à obtenir un certain succès, puis à le développer au fil du temps. Ensuite, au fur et à mesure que vous développez votre programme de gestion des risques des tiers, que vous commencez à comprendre d'autres dimensions du risque et que vous intégrez différents services dans le programme, nous nous assurons que vous disposez du soutien dont vous avez besoin pour un programme réussi.

John : On dirait qu 'on se débarrasse de beaucoup de feuilles de calcul.

Brad : Oui, de nombreuses personnes utilisent encore aujourd'hui des feuilles de calcul pour le TPRM, et elles se heurtent à un mur. Ils constatent qu'ils ne peuvent pas évoluer, en particulier lorsqu'ils essaient de s'adresser à un ensemble de fournisseurs plus large que leurs principaux fournisseurs informatiques - et à un ensemble de risques plus large que ce qui est couvert par un contrôle de sécurité annuel. Les entreprises doivent avoir une compréhension continue des profils de risque des fournisseurs, au-delà de ces évaluations ponctuelles. De nombreuses organisations sont donc en difficulté, et des entreprises comme la nôtre sont là pour les aider à y parvenir.

John : Nous ne pouvons pas avoir une conversation sur le risque et la sécurité sans parler des défis du secteur en matière de recrutement et de ressources. Toute solution qui peut nous aider à mieux gérer les ressources dont nous disposons semble être une victoire.

J'aimerais approfondir un peu la question de la conformité. Aller au-delà de la case à cocher. Historiquement, c'est un problème dans le domaine de la sécurité, où les personnes qui ne s'occupent pas de sécurité disent : "Nous sommes conformes, donc nous sommes sûrs". Dans le monde du risque tiers, comment gérer cela ? Passer de "Nous avons passé la case conformité" à la résolution des problèmes avec nos partenaires tiers ?

Brad : C'est un excellent point. Comme vous l'avez mentionné, beaucoup de gens obtiennent une évaluation annuelle des fournisseurs qui peut indiquer un certain niveau de risque. Ils classent ensuite cette évaluation et se disent : " J'ai fait mon évaluation ", et passent à autre chose. Notre plateforme tire parti de l'automatisation et de l'intelligence pour comprendre les risques au fur et à mesure que les réponses à l'évaluation reviennent et que des événements à risque se produisent. Nous convertissons ces réponses et ces événements en risques quantifiés avec un contexte commercial.

Nous fournissons également des conseils prescriptifs aux clients sur ce qu'ils doivent faire pour remédier aux risques et ce qu'ils doivent demander à leurs fournisseurs. Ainsi, vous avez la prescription pour savoir comment remédier au risque. Ensuite, il y a l'étape suivante, qui consiste à effectuer les mesures correctives. Et les entreprises qui n'ont pas le temps d'interagir avec leurs fournisseurs au sujet de la remédiation peuvent toujours renforcer leurs équipes avec services manages.

Beaucoup de gens passent beaucoup de temps à rassembler les données, à faire réagir les fournisseurs et à collecter les données. Si tout cela peut être automatisé pour vous, vous pourrez alors consacrer plus de temps aux tâches difficiles de l'arrière-plan, c'est-à-dire aux mesures correctives. Donc, essayez d'automatiser, d'externaliser, de faire tout ce que vous devez faire pour simplifier l'expérience du front-end, afin que vous puissiez consacrer plus de temps à la réalisation des remédiations.

Les réseaux partagés de renseignements sur les fournisseurs ou les échanges partagés sont également pratiques. Ils se chargent d'une grande partie de la collecte des données et rassemblent les informations sur les risques en amont, de sorte que votre équipe peut consacrer plus de temps à la remédiation. Nous avons constaté que les réseaux sont très efficaces dans certains secteurs verticaux, en particulier lorsque vous avez une concentration de tiers. Par exemple, Prevalent gère des réseaux partagés dans le domaine juridique et dans celui des soins de santé. Lorsque nous recevons un fournisseur de soins de santé ou un fournisseur de services juridiques comme client, il y a de fortes chances que nous ayons déjà beaucoup d'informations pertinentes dans notre base de données, de sorte qu'ils peuvent se concentrer sur la remédiation.

John : Par curiosité, y a-t-il d'autres échanges à venir ? Vous avez mentionné les services juridiques et les soins de santé. Je peux imaginer que les services financiers seraient une cible de choix.

Brad : Nous avons également un échange général, inter-industrie, et nous continuons à travailler avec différents groupes industriels. Cela dépend en grande partie de la maturité du marché. Les secteurs verticaux doivent décider du contenu de l'évaluation normalisée et des meilleures pratiques qui leur conviennent. Nous travaillons sur quelques nouveaux échanges - les services financiers, le secteur automobile, le secteur de la vente au détail, etc. Lorsque le marché sera prêt, nous serons là pour l'aider.

John : Une dernière pensée que vous aimeriez partager ?

Brad : Je pense qu'il s'agit simplement d'un peu de sagesse que nous avons apprise au fil des ans. Les organisations qui souhaitent se lancer dans la gestion des risques par des tiers doivent savoir qu'il existe des solutions et des personnes pour les aider. Elles doivent réfléchir à ce qu'elles veulent retirer de leurs programmes à long terme, mais elles peuvent commencer modestement et prévoir de se développer. Il est important d'avoir une bonne base en place.

Les gens doivent aller au-delà de la case conformité et penser à atténuer les risques. Vous et moi avons beaucoup d'expérience dans la gestion des vulnérabilités et des accès, et la gestion des risques liés aux tiers est similaire. Il s'agit de réduire la surface d'attaque. Les organisations doivent réfléchir à la manière de dépasser la conformité ponctuelle pour réduire les risques de manière continue. Elles doivent comprendre en permanence à quoi ressemble leur profil de risque tiers et comment il évolue dans le temps.

Des solutions telles que celles proposées par Prevalent et nos partenaires peuvent aider les organisations à traverser le cycle d'apprentissage, à être opérationnelles et à réaliser les gains d'efficacité et de qualité qu'elles recherchent.

John : Cela semble être une solution exceptionnelle. Merci beaucoup d'être venu aujourd'hui.

Brad : Merci, John. C'était génial !