Le programme d'évaluations partagées et Protiviti ont publié leur cinquième étude comparative sur la gestion des risques liés aux fournisseurs, et le rapport de cette année est plein d'informations sur les meilleures pratiques et de données destinées à aider les organisations à développer leurs programmes de gestion des risques liés aux fournisseurs. Le thème du rapport de cette année (Running Hard to Stay in Place) est approprié, car il indique que malgré des avancées significatives dans le domaine du risque tiers, les progrès sont insuffisants.
Je vous recommande de lire le rapport dans son intégralité et, dans ce blog, je vous présenterai les cinq (5) principales conclusions et vous poserai des questions pour vous aider à évaluer où vous en êtes dans le processus de maturation de votre programme TPRM.
Les cinq principales conclusions du rapport sont les suivantes :
Si les cinq principales conclusions du rapport de cette année concernent l'état de votre propre programme TPRM, vous n'êtes pas seul. Je dirais qu'il y a quatre (4) actions que vous pouvez prendre aujourd'hui pour faire évoluer votre programme dans la bonne direction.
1. Améliorer les rapports au niveau du conseil d'administration - mais se méfier des "scores" ou des "notes de sécurité".
Pour améliorer l'engagement du conseil d'administration, commencez par un excellent rapport. L'un des plus grands défis auxquels les organisations peuvent être confrontées en matière de reporting est le manque de clarté ou d'exhaustivité des scores, ou une mauvaise compréhension de ce que signifie réellement un score. Ce problème est d'autant plus important que le niveau hiérarchique est élevé. D'après notre expérience, un bon rapport au niveau de la direction ou du conseil d'administration est.. :
Ce numéro est consacré à la visibilité... dans son contexte, en fournissant aux décideurs le contexte dont ils ont besoin. Je tiens cependant à vous mettre en garde. Ne vous faites pas avoir en croyant qu'un "score" ou un "classement de sécurité" résoudra vos problèmes. Ils ont tendance à être trop superficiels, ne fournissant qu'une analyse du réseau externe montrant les risques de base cyber - mais il y a beaucoup plus dans le scoring qui pourrait vous mettre dans l'eau chaude devant le conseil d'administration. Si vous utilisez actuellement des services de notation ou d'évaluation, assurez-vous d'avoir les réponses à ces questions :
En l'absence d'assurance des fournisseurs, l'évaluation et le classement des fournisseurs fournissent une vue limitée du risque lié aux fournisseurs, ce qui signifie qu'il n'y a pas de véritable évaluation. Les meilleures pratiques en matière de TPRM, telles que publiées par Shared Assessments, Gartner, Forrester et d'autres, comprennent des évaluations par questionnaire des fournisseurs ainsi qu'une surveillance continue.
Recherchez l'automatisation des processus d'évaluation et une connaissance approfondie des contrôles internes utilisés par les fournisseurs pour traiter les données. Compte tenu du grand nombre de violations de données liées à des lacunes dans les contrôles, vous pourriez vouloir vous plonger plus profondément dans ce score de sécurité et voir s'il vous indique comment un fournisseur traiterait vos données.
2. Augmenter la visibilité de l'activité du fournisseur cyber
La réalisation de votre évaluation standardisée périodique basée sur les contrôles est l'activité la plus importante que votre équipe de gestion des risques liés aux fournisseurs peut mener pour obtenir une vue approfondie des pratiques de sécurité des données de votre fournisseur en matière de conformité. Cependant, ces évaluations sont ponctuelles et beaucoup de choses peuvent se produire entre ou pendant les évaluations.
Envisagez d'effectuer une surveillance continue des réseaux de vos fournisseurs afin d'obtenir des informations immédiates sur les risques liés aux fournisseurs, qui pourront servir de base aux évaluations. Des informations continues sur les risques potentiels liés aux fournisseurs permettent une meilleure hiérarchisation et une meilleure prise de conscience des risques à tous les niveaux. Ces informations peuvent ensuite servir de base à l'évaluation globale des risques découlant de l'évaluation approfondie basée sur les contrôles.
Une chose qui peut être particulièrement utile ici est d'examiner non seulement les risques liés à cyber/données des fournisseurs, mais aussi leurs risques commerciaux et opérationnels. Par exemple, la prise en compte de facteurs tels que les annonces de revenus, les licenciements, les notifications de violation de données, etc. peut ajouter une mesure qualitative importante à votre analyse cyber et servir de mesure prédictive des risques futurs possibles.
3. Améliorer la remédiation par une meilleure communication
L'étude de cette année montre que les relations avec les fournisseurs à risque sont mieux identifiées, mais que, faute de ressources pour y remédier, les organisations s'éloignent des relations à risque. S'éloigner des relations à risque est une bonne chose, mais s'ils fournissent des services essentiels à votre organisation, quel est le coût de l'intégration d'un nouveau fournisseur pour assurer le même service ?
À mon avis, une autre voie à suivre - uniquement pour les fournisseurs essentiels et difficiles à remplacer - consiste à simplifier le flux de travail et les communications. Ce que nous avons vu avec succès ici est :
En prenant quelques mesures simples en faveur des vendeurs et en simplifiant les rapports qu'ils vous adressent, votre équipe gagnera également du temps.
4. Envisager une plateforme unifiée pour les évaluations et la surveillance continues automatisées
Les coûts - et le temps - pour réaliser des évaluations approfondies des fournisseurs augmentent, alors que les ressources pour réaliser ces évaluations restent plutôt stagnantes. Envisagez d'automatiser le processus fastidieux de collecte, d'analyse et de correction de la résilience des fournisseurs, tout en surveillant en permanence les données relatives aux fournisseurs et les risques commerciaux - et regroupez le tout dans une plateforme unique et intégrée basée sur le contenu standard du secteur. Ce modèle complet offre une visibilité maximale, simplifie la gestion et réduit le coût total de possession. Les avantages sont clairs : moins de fournisseurs à gérer, moins de temps pour compléter, analyser et remédier aux problèmes de contrôle des fournisseurs, et moins de coûts à supporter.
Comment Prevalent peut-il vous aider ?
En tant que pionnier et leader sur le marché de la gestion des risques liés aux tiers, et partenaire de Shared Assessments et de Protiviti, Prevalent propose la seule plateforme unifiée spécialement conçue pour la gestion des risques liés aux tiers. Proposée dans la simplicité d'un cloud sécurisé, la plateforme Prevalent combine des évaluations automatisées des fournisseurs, une surveillance continue des menaces et un partage des preuves avec des services de conseil et d'expertise pour optimiser votre programme de gestion des risques. Avec Prevalent, les entreprises simplifient la conformité, réduisent les risques liés aux fournisseurs et améliorent l'efficacité pour mieux adapter la gestion des risques liés aux tiers.
Alors que vous êtes en train de mûrir votre programme de gestion des risques liés aux fournisseurs tiers, considérez les avantages d'une plateforme unique et intégrée - une meilleure visibilité des risques liés aux fournisseurs, une efficacité maximale et l'échelle.
Pour en savoir plus sur Prevalent, ou pour voir une démonstration personnalisée, contactez-nous dès aujourd'hui.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024