Gestion des risques liés aux tiers : Vision 2020, partie 2

La semaine dernière, nous avons partagé la première série de six prédictions pour 2020 de notre équipe d'experts en gestion des risques liés aux tiers : Brad Hibbert, COO & CSO ; Alastair Parr, Sr. VP de Global Products & Delivery, et Brenda Ferraro, VP de Third-Party Risk. Ne manquez pas de consulter cet article pour en savoir plus sur les dangers du financement, le rôle en constante évolution du responsable des fournisseurs, l'évolution au-delà de la conformité et des évaluations ponctuelles, l'essor des analyses avancées et la banalisation des outils de services d'évaluation de la sécurité.

Que nous réserve l'avenir ? Lisez les prédictions 7 à 12 !

7. La vie privée, la vie privée, la vie privée !

L'année 2020 attirera encore plus l'attention sur la confidentialité des données, notamment aux États-Unis où il est possible qu'il y ait plus de 50 versions différentes d'une loi de type GDPR, créant ainsi un patchwork complexe d'exigences réglementaires auxquelles les organisations et leurs tiers devront faire face. Le GDPR aura une deuxième année complète pour s'imposer. CCPA Elle entrera en vigueur le 1er janvier. De plus, il y a le NY SHIELD et, plus tôt cette année, une extension des normes ISO 27001 et ISO 27002 a été publiée pour traiter spécifiquement les risques associés à la vie privée. La complexité croissante va pousser les régulateurs fédéraux et le Congrès à rédiger un cadre consensuel pour aborder la confidentialité et la protection des données à l'échelle nationale. Nous pensons que ce que le NIST a fait avec le cadre de cybersécurité (c'est-à-dire tirer parti des meilleures pratiques existantes pour créer une nouvelle norme de cybersécurité), il le refera pour la protection des données. Un changement d'administration pourrait aider à faire avancer les choses plus rapidement.

8. Le partage des preuves évolue vers un véritable modèle communautaire

Le concept de partage des preuves n'est pas nouveau. Il s'agit de permettre aux praticiens du risque de concentrer leurs ressources sur la résolution des problèmes de risque et de conformité en s'appuyant sur un référentiel de questionnaires fournisseurs remplis et sur une surveillance continue. Ce concept de "collecte unique, partage multiple" permet aux programmes de gestion des risques de rationaliser les processus et d'étendre la couverture du programme. Aujourd'hui, de nombreux réseaux se concentrent sur la collecte de preuves initiée par les clients qui cherchent à évaluer leurs fournisseurs, avec des réévaluations effectuées sur une base annuelle. Au cours des 24 prochains mois, nous nous attendons à observer l'activité suivante parmi les communautés de réseaux partagés :

• Les avantages concrets des réseaux de partage des preuves, combinés aux organisations et aux communautés qui vantent ces avantages, continueront à favoriser l'adoption des membres.
• L'adoption de réseaux verticalisés continuera à se développer, fournissant des informations spécifiques au secteur en termes d'évaluations ciblées basées sur les contrôles et de participation ciblée des membres/fournisseurs.
• Les réseaux de partage vont évoluer au-delà du partage des données d'évaluation complétées pour inclure le partage proactif des performances des fournisseurs, des événements, de la satisfaction et d'autres informations pertinentes qui peuvent bénéficier aux autres membres.
• Les réseaux de partage commenceront à fournir davantage d'informations agrégées, de référence et analytiques afin d'automatiser et de rationaliser les processus liés au risque fournisseur.
• Les réseaux de partage chercheront à passer d'évaluations ponctuelles à un modèle de partage plus proactif et progressif facilitant les interactions permanentes à la fois entre les membres et entre les membres et les vendeurs participants.

9. Les vendeurs passent à l'offensive

Les organisations vont progressivement commencer à travailler ensemble pour améliorer l'efficacité et réduire les coûts, soit en interne tout au long de la chaîne du cycle de vie des tiers, soit en externe avec des pairs dans des secteurs verticaux pour combattre la mentalité du "nous contre eux". Le risque et la gouvernance des tiers continueront d'être segmentés entre les organisations qui tentent de faire une entaille dans leurs chaînes d'approvisionnement difficiles à manier et celles qui poussent à une plus grande maturité et intégration.

Les outils et les capacités de saisie de données quantitatives provenant de tiers vont continuer à se multiplier, la facilité d'utilisation et l'automatisation étant au premier plan. Il en résultera une augmentation du nombre d'organisations demandant et capturant des informations sur les risques des tiers par le biais de la technologie. Cela représentera un défi logistique croissant pour les tiers, qui présentent les mêmes informations de différentes manières sur différentes plateformes tout au long de l'année.

Les fournisseurs répondent à ces dizaines, voire centaines, d'évaluations chaque année. Si de nombreuses organisations disposent d'un programme de gestion des risques pour leurs fournisseurs, la plupart d'entre elles effectuent leurs propres évaluations de manière ad hoc et manuelle. En fait, de nombreux fournisseurs répondent aux enquêtes mais ne disposent pas des outils ou de la visibilité nécessaires pour comprendre comment les évaluations peuvent les aider à prioriser de manière proactive leurs propres activités de remédiation interne afin de renforcer leur posture de sécurité et de conformité.

De plus en plus, nous voyons des fournisseurs qui demandent à télécharger leurs preuves de manière proactive. Ils veulent télécharger, publier et mettre à jour leurs preuves en un seul endroit qui peut ensuite être partagé avec tous leurs clients. Nous pensons que l'adoption et la maturité des portails de fournisseurs continueront à augmenter au cours des 12 à 24 prochains mois, permettant ainsi aux clients et aux fournisseurs de rationaliser les processus et, en fin de compte, de partager les coûts du programme.

10. Un peu de personnalisation, ça fait du bien

Au cours de l'année à venir, les organisations de gestion des risques de tiers continueront à réagir en offrant des services basés sur le réseau et destinés aux tiers, mais elles recevront des objections de la part des auditeurs et des responsables des risques qui comprennent qu'une évaluation/un profil fixe n'offre qu'une valeur limitée. Nous verrons donc les organisations et les fournisseurs s'orienter vers un modèle hybride, tirant parti d'un contenu prérempli et d'ajouts personnalisés pour offrir une certaine efficacité.

11. Utilisation accrue des données de profilage (plus de flux provenant de plus d'applications signifie une meilleure intelligence)

Pour les organisations qui ont mis en place des processus et une bonne visibilité de leur parc de tiers, que ce soit en raison d'obligations réglementaires ou d'une bonne planification et exécution, nous assisterons à un élargissement des données de profilage et des capacités de reporting. Les organisations matures exploiteront les flux de données provenant de plusieurs systèmes et capacités pour enrichir leurs profils de tiers, couvrant toute la gamme de la surveillance des menaces, des données d'évaluation, des données sur les risques commerciaux et de la conformité juridique. Elles soutiendront l'équipe chargée du cycle de vie des risques liés aux tiers et apporteront des réponses mieux informées. En outre, les organisations matures chercheront à mieux comprendre les vastes volumes de données qu'elles ont rassemblés grâce à des outils de reporting intelligents plus proches de l'analyse des données massives.

12. Du risque partiel connu au risque réel

Lerisque réel ne signifie pas que nous n'avons pas identifié les risques ou appliqué les pratiques appropriées d'atténuation des risques lorsque nous utilisons une approche de confiance et de vérification ! Cependant, de nombreux praticiens ont rédigé leurs politiques de gestion des tiers de manière à concentrer la compréhension des risques sur l'évaluation des normes de contrôle respectées ou non. Par conséquent, l'accent sur la remédiation des risques a historiquement été consacré à l'atténuation des normes de contrôle non satisfaites, ce qui a le potentiel d'attirer l'attention sur ce qu'on appelle le risque connu partiel.

Par exemple, lorsqu'un rapport de renseignement sur les menaces est utilisé pour identifier les facteurs de risque liés aux renseignements de source ouverte, il est essentiel de configurer les seuils contextuels et la portée de l'engagement pour mieux comprendre les risques qui comptent. Lorsque des questionnaires et des documents faisant autorité sont utilisés pour identifier les risques, l'évaluation exige que les réponses Oui et Non fassent l'objet d'une attention particulière.

On parle de risque véritable lorsque la technique d'évaluation porte son attention à la fois sur les réponses Oui et Non et que le niveau de maturité de la conscience du risque est identifié pour chaque réponse Oui. Après tout, toutes les réponses Oui ne sont pas égales. L'application d'une disposition en matière de risque sur la base d'une conscience partielle du risque peut rendre les entreprises vulnérables en faisant confiance à une posture de maturité standard de contrôle avec une simple réponse Oui. En 2020, vous verrez un changement radical de la concentration sur la correction des réponses négatives vers l'identification de la maturité des réponses positives pour le risque réel et une maturité accrue de la résilience.

Contactez-nous dès aujourd'hui pour plus d'informations sur la manière dont Prevalent peut vous aider à développer et à faire évoluer votre programme de gestion des risques liés aux tiers.