Demandez une démo

Comment préparer votre programme de gestion des risques liés aux tiers à une récession ?

Utilisez ces trois recommandations pour maintenir l'attention de votre organisation sur la résilience des fournisseurs tiers et des fournisseurs face aux pénuries de main-d'œuvre, aux budgets stagnants ou en baisse, et à l'évolution des professionnels.
Par :
Scott Lang
,
VP, Marketing produit
04 octobre 2022
Partager :
Blog récession 1022b

Bien qu'il n'y ait pas actuellement de consensus unique sur la question de savoir si l'économie est en train de glisser vers une récession, de nombreuses banques centrales et décideurs recommandent aux gouvernements et organisations du monde entier de prendre des mesures proactives pour s'y préparer, par exemple en anticipant les contraintes salariales et en élargissant leurs bases de fournisseurs.

L'instabilité économique n'est cependant pas un phénomène nouveau. Au cours des deux dernières années, l'économie mondiale est passée d'un boom à un choc COVID à court terme, et elle reste déstabilisée par les perturbations constantes des fournisseurs et le marché du travail le plus tendu depuis des décennies. Cette agitation souligne la nécessité pour les organisations de se concentrer sur la résilience de l'entreprise - et, pour le professionnel de la gestion des risques de tiers, cela signifie assurer la résilience des fournisseurs.

Face à une telle incertitude économique, comment les équipes chargées de la sécurité, de la gestion des risques et des achats peuvent-elles s'assurer que leurs organisations continuent de se concentrer sur les risques et la résilience des tiers ? Voici trois recommandations :

1. Externaliser les tâches de gestion des risques par des tiers pour faire face aux problèmes de main-d'œuvre et à la hausse des coûts

Si votre organisation est confrontée à des difficultés liées à la pression salariale, à la pénurie de main-d'œuvre ou à la rotation et à l'épuisement des employés, envisagez de confier certaines activités de TPRM de niveau inférieur à un expert du domaine. La gestion des risques par des tiers services manages peut effectuer des tâches pour le compte de vos équipes, notamment :

  • Gestion des contrats : Téléchargement des contrats, extraction des attributs clés et configuration de rappels automatiques pour le suivi.
  • Gestion des fournisseurs : Création de profils de fournisseurs, intégration et retrait des fournisseurs, maintien des contacts et assistance de première ligne.
  • Gestion des évaluations : Création et gestion des calendriers d'évaluation
  • Gestion des réponses : Recherche et suivi des réponses ; examen des réponses et des notes pour détecter les signaux d'alarme, les contradictions, l'applicabilité et la fraîcheur des preuves.
  • Gestion des quatrième et neuvième parties : Identifier les quatrièmes parties et créer des cartes de relations basées sur des dépendances et des attributs commerciaux.
  • Surveillance continue des risques émergents : Identification et examen du site cyber, des événements liés aux affaires, à la réputation, aux finances et à la violation des données - et remontée des événements critiques pour triage.
  • Gestion des incidents : Engagement proactif avec les fournisseurs tiers touchés par des événements physiques spécifiques cyber ou perturbateurs.

En externalisant les tâches quotidiennes de gestion d'une relation avec un tiers, votre équipe pourra se concentrer sur des tâches à forte valeur ajoutée, comme la gestion des risques au lieu de mettre à jour les listes de contacts des fournisseurs. En retour, cela rendra votre organisation plus résistante aux perturbations liées aux fournisseurs.

Des études montrent que le transfert du travail quotidien de gestion des fournisseurs à un fournisseur services manages permet de gagner du temps, d'améliorer l'efficacité et d'accélérer la découverte et l'atténuation des risques. Grâce à l'externalisation de services manages, les équipes TPRM peuvent se concentrer sur :

  • Gérer les performances et les risques des fournisseurs par rapport aux niveaux de service, aux indicateurs clés de performance et aux indicateurs clés de performance convenus.
  • Remédier aux risques et aux problèmes de conformité à un niveau acceptable
  • Prévoir les problèmes des fournisseurs en acquérant une visibilité sur l'ensemble des risques liés aux tiers (par exemple, cyber, commerciaux, financiers, etc.) et en comprenant comment ils contribuent au risque de l'entreprise.

Questionnaire sur la résilience opérationnelle et financière

Déterminez si vos vendeurs et fournisseurs sont prêts à relever les défis commerciaux grâce à cette évaluation gratuite et personnalisable.

Accéder maintenant
Questionnaire complet sur la résilience financière opérationnelle

2. Consolider les ensembles d'outils qui se chevauchent pour réduire les coûts, améliorer l'efficacité et combler les lacunes en matière de risque

Les professionnels de la gestion des risques liés aux fournisseurs savent que les approches d'évaluation ponctuelle des tiers ne permettent pas de saisir tous les risques liés aux fournisseurs en temps voulu. Bien que les évaluations ponctuelles soient essentielles pour capturer les données des contrôles internes, une approche continue de surveillance des changements dans la position du fournisseur cyber , des événements commerciaux, de la position financière et de la réputation est nécessaire pour un contexte supplémentaire et pour combler les lacunes entre ces évaluations ponctuelles.

Pourtant, les organisations s'attaquent souvent à ce problème avec un ensemble d'outils coûteux et disparates qui ne peuvent pas être intégrés ou fournir un contexte pour les résultats de l'évaluation. Si votre organisation aborde l'année 2023 avec des budgets stables ou en baisse, envisagez une stratégie de surveillance continue des risques liés aux tiers qui :

  • Consolide les données externes sur la cybersécurité, les violations de données, la mise à jour des activités, la réputation et les risques financiers en une seule image de la position de risque d'un fournisseur.
  • Permet une action coordonnée en fonction de la validation des résultats de l'évaluation.
  • Comprend les meilleures sources de données pour chaque dimension du risque.
  • Offre la possibilité d'intégrer les sources de données existantes dans une plateforme centrale pour une vue unique du risque.

Une approche consolidée du suivi permet de réaliser de bien meilleures économies d'échelle, d'améliorer l'efficacité et de réduire les lacunes en matière de couverture.

3. Communiquer l'impact financier d'une évaluation des risques par un tiers pour maintenir la priorité organisationnelle.

L'évaluation des risques par des tiers peut être pénible et coûteuse si vous utilisez des méthodes manuelles telles que les feuilles de calcul. L'automatisation peut aider, mais comment quantifier la réduction des risques en automatisant le processus d'évaluation ? Pensez à calculer la valeur du risque qui peut être éliminé de l'entreprise en automatisant les évaluations des risques. Voici un exemple :

  1. Commencez par le nombre de vendeurs et fournisseurs tiers à haut risque avec lesquels votre organisation travaille. À titre d'illustration, disons que ce nombre est de 500.
  2. Il faut tenir compte du coût moyen d'une violation de données par un tiers, qui est d'environ 4,59 millions de dollars selon une étude récente du Ponemon Institute et d'IBM. L'automatisation des technologies, par exemple l'automatisation des évaluations des risques, est un moyen essentiel de réduire le coût des violations de données. Avec l'automatisation, le coût moyen d'une violation de données diminue d'un tiers pour atteindre environ 3 millions de dollars. Dans les deux cas, les coûts réels de la violation varieront en fonction de la taille de l'entreprise.
  3. Considérez la probabilité inhérente qu'une violation se produise au cours des deux prochaines années. Selon Ponemon, la probabilité qu'une organisation subisse une violation de données au cours des deux prochaines années est de près de 30 %. Avec l'automatisation, ce chiffre est réduit de moitié, à 15 %.
  4. Calculez l'exposition totale au risque en multipliant le coût moyen d'une violation par un tiers par la probabilité d'une violation. Sans automatisation, cela revient à environ 1,4 million de dollars. Avec l'automatisation, il tombe à 450 000 $.
  5. Calculez l'exposition au risque par fournisseur en divisant l'exposition au risque par le nombre de fournisseurs à haut risque. Dans cet exemple, cela représente 2 754 $ par fournisseur sans automatisation et 900 $ par fournisseur avec automatisation.
  6. Pour calculer la valeur de chaque évaluation automatisée des risques réalisée, il suffit de comparer les chiffres calculés à l'étape 5. Ici, la valeur est de 1 854 $ de réduction des risques par évaluation.

Dans cet exemple, nous avons éliminé 1 854 $ de coûts potentiels de violation de données pour chaque tiers évalué. Si vous multipliez ce chiffre par 500 fournisseurs importants, vous pouvez réduire votre risque potentiel de près d'un million de dollars !

Sans automatisation Avec l'automatisation

Étape 1 : Nombre de fournisseurs à haut risque ou critiques

500

500

Étape 2 : Coût moyen d'une violation de données par un tiers

$4,590,000

$3,000,000

Étape 3 : Probabilité inhérente d'une violation dans les deux prochaines années

30%

15%

Étape 4 : Exposition au risque (coût moyen x probabilité)

$1,377,000

$450,000

Étape 5 : Exposition au risque par fournisseur (exposition / nombre de fournisseurs à haut risque ou critiques)

$2,754

$900

Étape 6 : Valeur de l'évaluation (réduction du risque par fournisseur)

$1,854

L'essentiel est qu'un processus d'évaluation des risques solide et automatisé par un tiers peut réduire le coût, l'impact et la probabilité d'une violation.

Remarque : ce modèle ne s'applique qu'aux violations du site cyber . L'automatisation des évaluations par des tiers peut également réduire les coûts liés aux perturbations opérationnelles, mais ces chiffres peuvent varier considérablement selon les scénarios.

Prochaines étapes

Compte tenu du nombre sans cesse croissant de violations de données de tiers et de perturbations de fournisseurs, votre organisation ne peut pas se permettre de laisser la conjoncture économique la distraire de la nécessité d'assurer la résilience des fournisseurs. Téléchargez le calculateur de la valeur d'une évaluation des risques liés aux tiers, évaluez vos fournisseurs par rapport aux exigences de résilience de l'entreprise, ou contactez-nous dès aujourd'hui pour une démonstration afin de découvrir comment nous pouvons vous aider à réduire les coûts d'évaluation des risques grâce à la consolidation et à l'expertise de services manages .

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo