Quatre étapes pour faire évoluer immédiatement votre programme de gestion des risques liés aux tiers

Le programme d'évaluations partagées et Protiviti ont publié leur cinquième étude comparative sur la gestion des risques liés aux fournisseurs, et le rapport de cette année est plein d'informations sur les meilleures pratiques et de données destinées à aider les organisations à développer leurs programmes de gestion des risques liés aux fournisseurs. Le thème du rapport de cette année (Running Hard to Stay in Place) est approprié, car il indique que malgré des avancées significatives dans le domaine du risque tiers, les progrès sont insuffisants.

Je vous recommande de lire le rapport dans son intégralité et, dans ce blog, je vous présenterai les cinq (5) principales conclusions et vous poserai des questions pour vous aider à évaluer où vous en êtes dans le processus de maturation de votre programme TPRM.

Les cinq principales conclusions du rapport sont les suivantes :

• La maturité des programmes est relativement inchangée par rapport aux rapports précédents, avec un score de 3 sur une échelle de 5. Shared Assessments et Protiviti pensent que les organisations sont en mode de soutien de leurs programmes.
• Un conseil d'administration très engagé est synonyme de programme de GRV mature (mais tous les programmes de GRV matures ne se caractérisent pas par un fort engagement du conseil d'administration) - et le pourcentage de conseils d'administration très engagés continue d'augmenter, sans doute en raison du nombre croissant de violations très médiatisées provenant de tiers.
• Cyber Les attaques se multiplient, et il faut plus de temps pour les trouver et les réparer.
• Les organisations s'éloignent des relations avec les fournisseurs à haut risque - probablement en raison de meilleures mesures d'identification et de contraintes constantes en matière de ressources.
• Les coûts continuent d'augmenter, alors que les ressources stagnent.

Si les cinq principales conclusions du rapport de cette année concernent l'état de votre propre programme TPRM, vous n'êtes pas seul. Je dirais qu'il y a quatre (4) actions que vous pouvez prendre aujourd'hui pour faire évoluer votre programme dans la bonne direction.

1. Améliorer les rapports au niveau du conseil d'administration - mais se méfier des "scores" ou des "notes de sécurité".

Pour améliorer l'engagement du conseil d'administration, commencez par un excellent rapport. L'un des plus grands défis auxquels les organisations peuvent être confrontées en matière de reporting est le manque de clarté ou d'exhaustivité des scores, ou une mauvaise compréhension de ce que signifie réellement un score. Ce problème est d'autant plus important que le niveau hiérarchique est élevé. D'après notre expérience, un bon rapport au niveau de la direction ou du conseil d'administration est.. :

• Flexible - il vous permet de pondérer les fournisseurs en fonction de leur importance pour l'entreprise.
• Clair - il associe les réponses aux cadres de contrôle ou aux mandats réglementaires pour une interprétation facile.
• Axé sur l'avenir - il projette les risques futurs sur la base des mesures correctives en cours, ce qui vous permet de mesurer l'impact des efforts d'atténuation des risques.

Ce numéro est consacré à la visibilité... dans son contexte, en fournissant aux décideurs le contexte dont ils ont besoin. Je tiens cependant à vous mettre en garde. Ne vous faites pas avoir en croyant qu'un "score" ou un "classement de sécurité" résoudra vos problèmes. Ils ont tendance à être trop superficiels, ne fournissant qu'une analyse du réseau externe montrant les risques de base cyber - mais il y a beaucoup plus dans le scoring qui pourrait vous mettre dans l'eau chaude devant le conseil d'administration. Si vous utilisez actuellement des services de notation ou d'évaluation, assurez-vous d'avoir les réponses à ces questions :

• Qu'en est-il de la mesure de l'adhésion interne d'un fournisseur aux mandats de conformité ? Une analyse externe peut-elle le révéler ?
• Un score permet-il de définir le risque qu'un fournisseur représente pour votre entreprise dans la région ? Vous donne-t-il un aperçu des relations étendues avec des tiers ?
• Un score de sécurité peut-il vous indiquer comment un fournisseur traite vos données ?
• Comment les évaluations de sécurité peuvent-elles automatiser la collecte de preuves et la diligence raisonnable des fournisseurs ?

En l'absence d'assurance des fournisseurs, l'évaluation et le classement des fournisseurs fournissent une vue limitée du risque lié aux fournisseurs, ce qui signifie qu'il n'y a pas de véritable évaluation. Les meilleures pratiques en matière de TPRM, telles que publiées par Shared Assessments, Gartner, Forrester et d'autres, comprennent des évaluations par questionnaire des fournisseurs ainsi qu'une surveillance continue.

Recherchez l'automatisation des processus d'évaluation et une connaissance approfondie des contrôles internes utilisés par les fournisseurs pour traiter les données. Compte tenu du grand nombre de violations de données liées à des lacunes dans les contrôles, vous pourriez vouloir vous plonger plus profondément dans ce score de sécurité et voir s'il vous indique comment un fournisseur traiterait vos données.

2. Augmenter la visibilité de l'activité du fournisseur cyber

La réalisation de votre évaluation standardisée périodique basée sur les contrôles est l'activité la plus importante que votre équipe de gestion des risques liés aux fournisseurs peut mener pour obtenir une vue approfondie des pratiques de sécurité des données de votre fournisseur en matière de conformité. Cependant, ces évaluations sont ponctuelles et beaucoup de choses peuvent se produire entre ou pendant les évaluations.

Envisagez d'effectuer une surveillance continue des réseaux de vos fournisseurs afin d'obtenir des informations immédiates sur les risques liés aux fournisseurs, qui pourront servir de base aux évaluations. Des informations continues sur les risques potentiels liés aux fournisseurs permettent une meilleure hiérarchisation et une meilleure prise de conscience des risques à tous les niveaux. Ces informations peuvent ensuite servir de base à l'évaluation globale des risques découlant de l'évaluation approfondie basée sur les contrôles.

Une chose qui peut être particulièrement utile ici est d'examiner non seulement les risques liés à cyber/données des fournisseurs, mais aussi leurs risques commerciaux et opérationnels. Par exemple, la prise en compte de facteurs tels que les annonces de revenus, les licenciements, les notifications de violation de données, etc. peut ajouter une mesure qualitative importante à votre analyse cyber et servir de mesure prédictive des risques futurs possibles.

3. Améliorer la remédiation par une meilleure communication

L'étude de cette année montre que les relations avec les fournisseurs à risque sont mieux identifiées, mais que, faute de ressources pour y remédier, les organisations s'éloignent des relations à risque. S'éloigner des relations à risque est une bonne chose, mais s'ils fournissent des services essentiels à votre organisation, quel est le coût de l'intégration d'un nouveau fournisseur pour assurer le même service ?

À mon avis, une autre voie à suivre - uniquement pour les fournisseurs essentiels et difficiles à remplacer - consiste à simplifier le flux de travail et les communications. Ce que nous avons vu avec succès ici est :

• Définissez des calendriers d'évaluation - avec des rappels de poursuite inclus.
• Une vue en temps réel de l'état d'avancement de la demande de collecte de contenu, visible à la fois par les évaluateurs et les utilisateurs du fournisseur.
• Génération automatique d'un registre des risques une fois qu'une demande a été complétée, afin que toutes les parties soient au courant des défaillances de contrôle spécifiques.
• Flux de travail bidirectionnel avec outils de discussion intégrés entre évaluateurs et vendeurs.
• Tableau de bord facile à utiliser pour capturer et vérifier les conversations, enregistrer les dates d'achèvement, attribuer les tâches et faire correspondre les documents ou les preuves.

En prenant quelques mesures simples en faveur des vendeurs et en simplifiant les rapports qu'ils vous adressent, votre équipe gagnera également du temps.

4. Envisager une plateforme unifiée pour les évaluations et la surveillance continues automatisées

Les coûts - et le temps - pour réaliser des évaluations approfondies des fournisseurs augmentent, alors que les ressources pour réaliser ces évaluations restent plutôt stagnantes. Envisagez d'automatiser le processus fastidieux de collecte, d'analyse et de correction de la résilience des fournisseurs, tout en surveillant en permanence les données relatives aux fournisseurs et les risques commerciaux - et regroupez le tout dans une plateforme unique et intégrée basée sur le contenu standard du secteur. Ce modèle complet offre une visibilité maximale, simplifie la gestion et réduit le coût total de possession. Les avantages sont clairs : moins de fournisseurs à gérer, moins de temps pour compléter, analyser et remédier aux problèmes de contrôle des fournisseurs, et moins de coûts à supporter.

Comment Prevalent peut-il vous aider ?

En tant que pionnier et leader sur le marché de la gestion des risques liés aux tiers, et partenaire de Shared Assessments et de Protiviti, Prevalent propose la seule plateforme unifiée spécialement conçue pour la gestion des risques liés aux tiers. Proposée dans la simplicité d'un cloud sécurisé, la plateforme Prevalent combine des évaluations automatisées des fournisseurs, une surveillance continue des menaces et un partage des preuves avec des services de conseil et d'expertise pour optimiser votre programme de gestion des risques. Avec Prevalent, les entreprises simplifient la conformité, réduisent les risques liés aux fournisseurs et améliorent l'efficacité pour mieux adapter la gestion des risques liés aux tiers.

Alors que vous êtes en train de mûrir votre programme de gestion des risques liés aux fournisseurs tiers, considérez les avantages d'une plateforme unique et intégrée - une meilleure visibilité des risques liés aux fournisseurs, une efficacité maximale et l'échelle.

Pour en savoir plus sur Prevalent, ou pour voir une démonstration personnalisée, contactez-nous dès aujourd'hui.