Note de l'éditeur : L'entretien suivant avec Brad Hibbert de Prevalent a été initialement publié dans le TAG Cyber 2022 Security Annual - 3rd Quarter et est reproduit ici avec l'autorisation de l'auteur.
Les équipes des entreprises sont confrontées à d'importants défis en matière de cybersécurité, notamment des préoccupations opérationnelles et des problèmes de conformité. Un problème fondamental est que les entreprises ne peuvent pas s'attendre à une visibilité parfaite de l'écosystème de sécurité des fournisseurs et des partenaires, ce qui entraîne des risques pour les données, les systèmes et les ressources partagées. ressources partagées.
Prevalent est un leader dans la fourniture de solutions commerciales pour la gestion des risques de tiers en matière de sécurité et de conformité. TAG Cyber voulait en savoir plus sur la façon dont cette capacité de sécurité de tiers pouvait être déployée pour réduire le risque cyber .
Nos clients voient les risques dans six grandes catégories. Tout d'abord, il y a la cybersécurité, qui comprend les risques pour les données et les systèmes via des intrusions extérieures par un tiers. Viennent ensuite les risques commerciaux, tels que le manque de résilience d'un tiers face à des défis opérationnels ou à des perturbations dues à des pandémies ou à des catastrophes naturelles. Les risques financiers surviennent lorsque des vendeurs et des fournisseurs tiers connaissent des difficultés financières, font faillite ou ont une mauvaise cote de crédit. Parmi les risques environnementaux, sociaux et de gouvernance (ESG), citons le fait qu'un fournisseur ait un mauvais bilan environnemental, soit accusé d'avoir recours au travail illégal ou ne pratique pas une gouvernance d'entreprise globalement efficace. Les risques de réputation, tels que lesnouvelles négatives, les rappels de produits, les fautes des dirigeants et les sanctions, peuvent également être une source de préoccupation. Enfin, les risques de conformité comprennent des éléments tels que les résultats du GDPR, les audits ratés, les pots-de-vin, la corruption ou les problèmes éthiques. Si les risques liés à la cybersécurité et à la protection des données retiennent le plus l'attention, bon nombre des autres types de risques ont également un poids réglementaire.
Nous commençons par automatiser le processus d'appel d'offres en ajoutant des informations démographiques, de quatrième partie, ESG, commerciales, financières et relatives à la réputation, afin d'aider les équipes d'achat à intégrer des informations sur les risques dans les décisions de sélection des fournisseurs et dans les contrôles préalables aux contrats. Ensuite, nous automatisons la migration d'un fournisseur sélectionné vers un contrat en centralisant le suivi de tous les contrats et attributs avec un flux de travail et un contrôle de version. Une fois qu'un fournisseur est sélectionné et sous contrat, nous émettons des évaluations de profilage et de hiérarchisation pour calculer les scores de risque inhérent. Grâce à ces données, les entreprises peuvent classer les fournisseurs par catégorie et décider de l'étendue des contrôles préalables à effectuer.
Nous proposons également une bibliothèque de plus de 100 modèles de questionnaires et d'enquêtes personnalisées pour évaluer les tiers sur un large éventail de critères - de l'InfoSec et la confidentialité des données à l'ESG et la solvabilité financière. Nous prenons les réponses de ces enquêtes et alimentons un registre central des risques qui peut être utilisé pour visualiser et agir sur les risques. Nous fournissons également des rapports par réglementation et par cadre afin de simplifier la présentation des données et de gérer les mesures correctives jusqu'à un niveau acceptable de risque résiduel.
Parce que beaucoup de choses peuvent se passer entre les évaluations régulières, nous suivons et analysons en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Nous aidons les organisations grâce à des tableaux de bord centralisés qui gèrent et suivent les performances des tiers par rapport aux exigences contractuelles. Enfin, nous automatisons les évaluations des contrats et les procédures de désengagement afin de réduire le risque d'exposition post-contractuelle d'une organisation.
TAG Cyber Sécurité annuelle - Q3 2022
Le TAG Cyber Quarterly comprend des travaux originaux des analystes du TAG, notamment des entretiens avec des icônes du secteur de la cybersécurité. Obtenez un accès gratuit au rapport de 112 pages.
La vieille maxime est vraie : on ne peut pas gérer ce que l'on ne peut pas mesurer. Et j'ajouterais : Vous ne pouvez pas mesurer ce que vous ne pouvez pas voir. La visibilité des risques de l'entreprise est au cœur de notre plateforme. Elle commence par l'approvisionnement - en obtenant unevisibilité précontractuelle des risques tels que les finances des fournisseurs, les violations de données ou les problèmes de conformité - et s'étend à l'offre d'une plate-forme unique basée sur les rôles que plusieurs équipes d'entreprise peuvent utiliser pour visualiser les risques qui leur importent. Nous y parvenons grâce à des tableaux de bord et des rapports personnalisés et adaptés aux rôles.
Nos réseaux sont des bibliothèques à la demande contenant des milliers de rapports sur les risques liés aux fournisseurs qui sont continuellement mis à jour et étayés par des preuves. Les clients utilisent les réseaux - Exchange, Legal Vendor Network et Healthcare Vendor Network - pour prendre un bon départ dans leur processus de diligence raisonnable des fournisseurs en obtenant un accès immédiat à des évaluations complètes, ce qui les aide à étendre leurs programmes afin qu'ils puissent consacrer leur temps et leur énergie à identifier et à corriger les risques plutôt qu'à harceler les fournisseurs.
Nous voyons TPRM évoluer vers des niveaux d'externalisation plus importants, impliquant davantage d'équipes d'entreprise et de types de risques, ainsi que vers un modèle plus continu et plus profond dans certains secteurs verticaux. Tout d'abord, les entreprises s'appuient sur un réseau de plus en plus étendu de tiers, tout en faisant face à un réseau croissant de risques géopolitiques, d'exigences réglementaires et de menaces de cybersécurité. Malheureusement, la plupart des entreprises gèrent ces risques en utilisant des processus manuels qui mettent davantage l'accent sur l'identification des risques que sur leur remédiation. Au cours des prochaines années, les entreprises qui tenteront de mettre en place des programmes de gestion des risques TPRM efficaces se heurteront à un mur, ce qui les amènera à adopter des approches plus automatisées et proactives, telles que le recours à des sociétés externes d'externalisation des processus commerciaux et/ou à des logiciels TPRM externes spécialisés.
Ensuite, les entreprises subissent la pression de toute une série de parties prenantes - dont les régulateurs, les investisseurs et les consommateurs - pour améliorer la visibilité et la surveillance de leur exposition aux risques liés aux tiers. Alors que les organisations peuvent commencer par se concentrer principalement sur les menaces cyber , elles verront la nécessité de permettre des décisions basées sur le risque en évaluant et en surveillant de manière proactive un profil de risque plus complet tout au long de la relation avec les tiers. Cela nécessitera la rationalisation et l'harmonisation de la technologie, des processus (workflow) et des personnes.
Les départements et les équipes devront prendre en compte le risque dans toutes les activités et prises de décision, y compris les activités qui sont actuellement plus axées sur l'efficacité opérationnelle. Les équipes responsables de tous les aspects, de la recherche et de l'intégration de nouveaux fournisseurs à la gestion de leur performance au fil du temps, continueront à consommer des renseignements sur les risques provenant de sources de données similaires (p. ex. un profil de risque complet) et commenceront à tirer parti des connaissances de leurs pairs pour soutenir les négociations et les discussions contractuelles liées à leurs domaines de travail respectifs.
Les entreprises continueront également à améliorer les programmes de tiers en utilisant l'intégration, l'automatisation, les réseaux d'intelligence et l'analyse pour évaluer et surveiller de plus près leurs chaînes d'approvisionnement étendues. Enfin, les entreprises de certains secteurs verticaux continueront d'adopter des réseaux de partage pour accélérer l'identification des risques et mettre davantage l'accent sur la remédiation des risques. Ces réseaux de partage évolueront au-delà du partage d'évaluation pour devenir un partage d'intelligence, les entreprises et les tiers concevant, adoptant et appliquant une communication ouverte pour partager de manière proactive les informations relatives à cyber, à la conformité, aux incidents, aux performances, etc.
Lire une analyse des tendances du marché de la gestion des risques fournisseurs et des principaux critères d'évaluation des solutions.
11/18/2024
Lisez les conclusions de notre étude annuelle sur le TPRM et mettez en œuvre ces bonnes pratiques pour...
05/08/2024
Prevalent estime qu'il se différencie en offrant une couverture complète de plusieurs types de risques et en fournissant...
12/12/2023