Votre programme de gestion des risques liés aux tiers est-il prêt pour l'avenir ?

Notre nouveau rapport, intitulé "Third-Party Risk : The Third Rail of Security & Compliance", révèle que la plupart des entreprises n'ont pas suffisamment confiance dans leurs programmes ou outils existants. Et vous ? Téléchargez le rapport et comparez vos propres pratiques TPRM dès aujourd'hui.
Par :
Scott Lang
,
VP, Marketing produit
08 avril 2020
Partager :
Blog étude troisième rail avril 2020 4

Si les personnes qui vous maintiennent en activité disparaissent, que vous arrive-t-il ?

C'est la question la plus importante à laquelle les responsables de la gestion des risques doivent répondre en ce qui concerne leurs tiers et leurs partenaires de la chaîne d'approvisionnement, compte tenu de la crise pandémique actuelle du COVID-19. Et pourtant, seuls 10 % des dirigeants et des décideurs sont extrêmement confiants dans leurs programmes de gestion des risques liés aux tiers et seuls 50 % sont satisfaits de leurs solutions actuelles. Qu'est-ce que cela signifie ? Des programmes insuffisants et un manque de préparation pour faire face à l'inconnu.

En partenariat avec Shared Assessments, Prevalent a mené une enquête auprès de décideurs seniors en matière de risques en février 2020 afin d'étudier les tendances, les défis et les initiatives en matière de risques de tiers qui ont un impact sur les organisations aujourd'hui. L'objectif de l'étude était de fournir un état du marché sur le risque tiers avec des recommandations exploitables que les organisations peuvent prendre pour développer et faire mûrir leurs programmes. Ce post résume ce que nous avons appris de l'étude et ce que vous pouvez faire pour mieux équiper votre programme de gestion des risques de tiers pour la résilience.

Principales conclusions de l'étude 2020 sur la gestion des risques liés aux tiers

Les résultats de l'étude suggèrent que :

L'absence de processus nuit à l'efficacité des programmes pour les tiers.

Laconformité (notamment le respect des exigences en matière de protection des données telles que le GDPR) domine les moteurs de projet, mais les organisations manquent de ressources (budget) et de processus pour évaluer même leurs fournisseurs de premier plan, la plupart des évaluations prenant plus d'un mois. Compte tenu de l'état de votre chaîne d'approvisionnement, pouvez-vous vous permettre ce genre de retard ?

La gestion des risques liés aux tiers est un sport d'équipe

Les équipes de conformité et de cybersécurité ne sont pas les seules à devoir contribuer à un programme mature ; vous avez également besoin de collaborateurs capables d'évaluer et d'interpréter les risques commerciaux et financiers - surtout dans le climat actuel. Compte tenu du défi que représentent les ressources et du manque de confiance persistant dans les programmes, il sera difficile de fonctionner en silo.

Des conséquences importantes existent pour les organisations qui n'obtiennent pas le droit des tiers.

76 % des personnes interrogées ont déclaré avoir été confrontées à un ou plusieurs problèmes ayant eu un impact sur les performances du fournisseur, 74 % ont indiqué des problèmes opérationnels et 55 % une violation de la conformité au cours des deux dernières années. Si l'on considère à quel point le programme TPRM moyen manque de ressources, comment pourriez-vous récupérer ?

Peu d'organisations sont satisfaites de leurs outils existants.

Lorsqu'on leur a demandé s'ils prévoyaient de mettre en œuvre une nouvelle solution de gestion des risques de tiers, ou de compléter/remplacer une solution existante, au cours des 12 prochains mois, près de la moitié des répondants ont répondu "oui". Lorsque la moitié du marché cherche à changer de solution, cela doit signifier que les besoins ne sont pas satisfaits. Et ce n'est pas étonnant, si l'on considère que les niveaux de satisfaction des outils existants oscillent autour de 50 %, et que la moyenne pondérée de satisfaction des outils de GRC plafonne à 3,4/5,0. Les fournisseurs de contenu d'évaluation normalisé s'opposent à cette tendance - il est clair que les organisations comptent sur le contenu d'évaluation normalisé pour les aider à ouvrir la voie.

IRM - une porte de sortie ?

42 % des personnes interrogées indiquent qu'elles investiront dans l'IRM au cours de l'année prochaine, mais elles s'inquiètent des ressources/du personnel/de l'expertise limités, de l'absence de connaissance en temps réel des changements et de l'absence d'intégration avec d'autres outils utilisés pour la gestion des fournisseurs ou des risques. La transformation numérique étant également un facteur déterminant, il est important pour les organisations de déterminer si un IRM à usage général a la flexibilité nécessaire pour répondre aux besoins, par rapport à une plateforme d'évaluation TPRM spécialement conçue.

Le marché de la gestion des risques des tiers est à un point d'inflexion. Les utilisateurs n'évaluent pas suffisamment leurs meilleurs fournisseurs. Ils manquent de ressources et de budget pour le financer correctement. Le risque lié aux tiers est en panne, et les chaînes d'approvisionnement sont en danger.

Quelle est la voie à suivre ? Lisez les recommandations ci-dessous.

Recommandations pour la gestion des risques liés aux tiers

Le développement et la maturation d'un programme de gestion des risques liés aux tiers, adaptable et agile, ne doit pas nécessairement être un processus complexe et chronophage. Voici cinq (5) recommandations pour lancer vos activités de gestion des risques liés aux fournisseurs :

#1 - Développer un processus programmatique

Un processus programmatique devrait aider votre équipe de manière progressive :

  • Définissez qui sont vos fournisseurs et quels risques inhérents ils présentent pour votre entreprise.
  • Évaluer la bonne stratégie pour collecter les bonnes informations auprès des bons tiers.
  • Analyser les résultats des évaluations et noter les niveaux de risque sur la base d'un large écosystème de données.
  • Remédier aux risques soulevés par l'analyse des évaluations réalisées
  • Rapport sur les exigences de l'industrie et de la réglementation, et pour le conseil d'administration.
  • Optimiser le programme pour l'adapter à l'évolution constante des besoins et des niveaux de ressources.

Les résultats d'une telle méthodologie normalisée et reproductible ? Téléchargez le rapport complet pour le découvrir.

#2 - Constituer une équipe interfonctionnelle

Compte tenu de la complexité de la situation, il est peu probable qu'une seule personne puisse tout comprendre. La collaboration interne et externe est donc essentielle pour non seulement identifier les risques, mais aussi les atténuer.

#3 - Être complet sans être complexe

Il existe des solutions sur le marché qui proposent une bibliothèque de questions prédéfinies qui renvoient à un certain nombre de cadres réglementaires ou sectoriels. Cela vous permet d'éviter la duplication des efforts et le patchwork d'exigences que vous obtiendriez si vous essayiez d'évaluer chaque cadre individuellement. Il est également beaucoup plus facile de prouver la conformité lorsqu'une seule question couvre plusieurs exigences à la fois.

#4 - Restez agile grâce aux options d'évaluation et d'analyse

Ne vous enfermez pas dans une seule option rigide pour la collecte et l'analyse des enquêtes auprès de vos tiers. Il existe de multiples façons d'évaluer tous vos fournisseurs de premier plan (et de surmonter ainsi un défi majeur cité dans cette enquête).

  • Libre-service : Ne recueillez que les données de base pour alimenter votre logique de profilage et de hiérarchisation. Au minimum, centralisez la gestion de tous vos fournisseurs en un seul endroit afin de conserver une visibilité.
  • Service géré : Confiez l'évaluation de vos tiers de premier ordre à un spécialiste de l'identification et de l'analyse des risques, et libérez votre équipe pour qu'elle se concentre sur la gestion des risques résiduels à long terme.
  • Service partagé : Tirez parti d'un réseau de questionnaires remplis par les fournisseurs et de preuves à l'appui pour vos fournisseurs de rang inférieur afin de pouvoir concentrer les efforts de votre équipe (et la bonne quantité de ressources) sur les fournisseurs de rang supérieur.

#5 - Complétez votre prise de décision avec l'intelligence basée sur le risque

Prendre des décisions en silos avec un ensemble de données limité ne permettra pas à votre équipe d'être des gestionnaires de risques efficaces. Recherchez plutôt des solutions construites sur une plateforme ouverte avec des intégrations à de multiples solutions d'entreprise et de risque. Une solution solide offrira :

  • Un profil de risque complet qui renseigne sur l'échelonnement des évaluations, la fréquence des évaluations et la mesure des SLA.
  • Un modèle de risque quantifié et contextualisé comprenant les risques cyber et les risques commerciaux, ainsi que les calculs ISO et FAIR.
  • Gestion des réponses avec flux de travail activé et automatisation pour garantir que les renseignements sur les fournisseurs sont acheminés vers les bonnes personnes de votre équipe.
  • Rapport et hiérarchisation des risques, y compris le contexte et les orientations pour la hiérarchisation.
  • Diffusion automatisée des rapports pour assurer la transparence avec les tiers et au sein de votre organisation

Comment vous situez-vous ?

Les outils et solutions IRM existants ne suffisent pas à surmonter les défis de la gestion des risques liés aux tiers. Seul un modèle complet offrant un processus programmatique vers la maturité avec des options de gestion des coûts et de reporting pour la conformité fournira une base solide aux équipes de gestion des risques pour s'adapter au fil du temps.

Comment se positionne votre programme de gestion des risques liés aux tiers par rapport aux répondants à notre enquête ? Téléchargez les résultats complets et consultez l'infographie pour évaluer vos propres pratiques de gestion des risques de tiers.

Pour en savoir plus sur la façon dont Prevalent peut aider à relever les défis de la gestion des risques liés aux tiers, demandez une démonstration de notre plateforme dès aujourd'hui.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo