La gestion des risques liés aux tiers en 2022 : ce à quoi il faut s'attendre et comment y répondre.

Ces dix principales tendances exigeront que votre programme de gestion des risques des tiers s'adapte en 2022. Votre programme TPRM est-il résilient et prêt ?
Par :
Brad Hibbert
,
Directeur général des opérations et directeur de la stratégie
07 décembre 2021
Partager :
Blog 2022 tprm predictions 1221

La poursuite des perturbations de la chaîne d'approvisionnement liées aux pandémies. Un nombre croissant de violations de données visant des tiers. Un examen réglementaire plus approfondi de la gouvernance d'entreprise. S'il y a quelque chose que les 18 derniers mois nous ont appris, c'est que la résilience et l'agilité font partie des qualités professionnelles - et personnelles - les plus appréciées. Ainsi, puisque de nombreuses organisations sont en train de planifier pour 2022, c'est l'occasion de revenir sur ce que nous avons appris en 2021 pour améliorer encore l'agilité et la résilience de votre programme de gestion des risques liés aux tiers.

Sur la base des centaines de conversations que nous avons eues l'année dernière avec des clients et des acteurs du secteur, voici ce à quoi vous devez vous attendre au cours des 12 prochains mois et comment adapter vos programmes en conséquence.

Note de la rédaction : Cinq des prédictions ci-dessous ont été publiées à l'origine dans un article sur VMBlog.com, dont l'auteur est également Brad Hibbert de Prevalent.

1. Les rançongiciels deviendront la principale tactique utilisée dans les attaques de la chaîne d'approvisionnement en logiciels et les violations de données par des tiers en 2022.

Après une année record d'attaques par ransomware très médiatisées provenant de fournisseurs tiers (par exemple Kaseya et d'autres), l'année 2022 ne fera qu'en voir d'autres, les cybercriminels continuant à perfectionner leurs méthodes d'attaque, à accroître leur sophistication et à suivre l'argent. Les principales cibles seront les tiers qui fournissent des biens et des services aux secteurs de l'automobile, des banques de taille moyenne et de la vente au détail. en raison du volume et de la criticité des données et des systèmes auxquels ils ont accès.

Les organisations feraient bien de mettre en place des cadences proactives d'évaluation des risques liés aux événements et de déployer une surveillance continue des violations et du site cyber en 2022 afin d'obtenir une image d'alerte précoce des attaques potentielles contre leurs écosystèmes tiers.

Prédiction bonus: Malgré l'augmentation des attaques par ransomware contre les organismes de santé, les cybercriminels se donneront bonne conscience en 2022 et cesseront de cibler les hôpitaux en raison du risque de perte de vies innocentes. Après tout, il y a de l'honneur parmi les voleurs.

2. La gestion des risques liés aux tiers n'est plus une simple case à cocher, même si la conformité est le principal moteur de l'organisation.

Bien que de nombreuses organisations cherchent à mettre en œuvre des programmes plus robustes de gestion des risques liés aux tiers en raison des exigences de conformité en matière de sécurité de l'information et de confidentialité des données, nous savons tous que la conformité n'est qu'un seuil minimal. Les organisations peuvent être conformes à une myriade de normes de cybersécurité tout en restant exposées à la résilience commerciale et aux risques environnementaux, sociaux et de gouvernance (ESG), par exemple.

Toutefois, les organisations qui ont une aversion pour le risque iront au-delà de la conformité à une case à cocher et investiront dans une réduction tangible des risques. Les principaux moteurs de cette tendance seront la différenciation parmi les pairs dans la concurrence pour les nouveaux contrats et la protection des contrats existants.

Étant donné que de nombreuses normes et cadres de conformité laissent place à l'interprétation et à l'alignement, les clients seront de plus en plus conscients qu'un certificat ne signifie pas l'absence de risque, et exigeront à leur tour une meilleure compréhension et une plus grande clarté des activités d'atténuation des risques. Cherchez à étendre vos efforts de conformité pour inclure de nouveaux domaines, en vous concentrant non seulement sur le respect des exigences, mais aussi sur la démonstration d'une réduction réelle des risques au fil du temps.

3. La sensibilisation accrue des conseils d'administration et des dirigeants à la gestion des risques liés aux tiers signifie que de meilleures mesures seront nécessaires.

Peut-être en raison de l'augmentation du nombre de violations de données par des tiers, des perturbations continues de la chaîne d'approvisionnement liées aux pandémies et de la nouvelle visibilité réglementaire en matière d'ESG, la gestion des risques liés aux tiers est un sujet commun aux dirigeants et aux conseils d'administration.

À l'horizon 2022, les dirigeants chercheront des améliorations démontrables axées sur la réduction des risques afin de justifier continuellement les dépenses liées à la gestion des risques liés aux tiers. Cela signifiera un regain d'intérêt pour les mesures qui donnent une image significative des risques liés aux tiers. Les programmes de tiers seront mesurés sur leur capacité à démontrer la remédiation des risques et les progrès éthiques sans entraver les opérations commerciales standard, tout en démontrant le contrôle des coûts et l'efficacité. Cela vous obligera à faire évoluer vos rapports au-delà du nombre d'évaluations que vous avez réalisées pour déterminer le niveau de risque que vous avez éliminé de l'entreprise.

4. Certaines activités liées aux tiers et réalisées par les services d'achat, juridiques, de gestion des risques et de sécurité informatique convergeront vers la gestion du cycle de vie des fournisseurs.

Tout au long de l'année 2021, nous avons assisté à une convergence graduelle mais constante des équipes liées aux tiers dans un flux de travail consolidé. Ces équipes - responsables de tout, de la recherche de fournisseurs et de l'intégration Ces équipes - chargées de tout, du sourcing et de l'accueil de nouveaux fournisseurs à la gestion de leurs performances dans le temps - continueront à consommer des renseignements sur les risques provenant de sources de données similaires et commenceront à exploiter les informations de leurs pairs pour soutenir les négociations contractuelles et les discussions liées à leurs flux de travail respectifs. Chaque équipe continuera à jouer un rôle clé dans le cycle de vie des tiers, et la connectivité entre les systèmes rationalisera le processus pour favoriser l'efficacité de l'intégration et de l'exclusion.

Cela portera ses fruits en 2022, car les tiers et les entreprises bénéficieront d'un processus simplifié, unifié et moins répétitif. Pour tenir compte de cette tendance, examinez vos flux de travailet vos données existants afin de déterminer s'ils peuvent être utilisés par plusieurs parties prenantes. et les données existantes pour déterminer s'ils peuvent être utilisés par plusieurs parties prenantes.

La boîte à outils de préparation au TPRM 2022

Pour vous aider à préparer la suite des événements, nous avons rassemblé quatre de nos ressources les plus populaires pour mettre en place un programme TPRM plus solide. Obtenez un accès instantané à un modèle d'analyse de rentabilité, à un kit d'appel d'offres et à deux documents sur les meilleures pratiques.

Commencez
2022 boîte à outils tprm 1021

5. Une attention accrue à la sélection des fournisseurs et à la diligence précontractuelle.

Les programmes de gestion des risques liés aux tiers continuent de rattraper leur retard sur les contrats existants qui ne comportent pas suffisamment de clauses fondées sur les risques et qui ne font pas l'objet d'une diligence raisonnable quant à leur position de risque avant la signature. Plutôt que de se précipiter de manière réactive pour combler les lacunes, 2022 verra une approche plus pragmatique pour établir le risque posé par un tiers dès le départ, et surtout pour positionner la remédiation et la résolution comme des obligations nécessaires afin d'obtenir un contrat.

Des informations facilement accessibles sur les performances des tiers grâce au balayage passif de cyber , à la corrélation des événements commerciaux, aux événements de violation, aux comparaisons ESG et aux notations financières permettront de dresser un tableau significatif avant même d'envoyer une évaluation du tiers et continueront à justifier les dépenses dans le processus de négociation. Examinez la manière dont vous effectuez la diligence raisonnable précontractuelle, inventoriez vos sources de données et réfléchissez à la manière dont vous allez combler ces lacunes en matière de renseignements.

6. Se concentrer davantage sur les dimensions du risque non liées à la sécurité informatique, notamment l'ESG, la santé et la sécurité, la diversité et l'éthique.

Alors que l'ESG et l'éthique ont souvent été des cases à cocher dans les contrats (en fait, moins de la moitié des entreprises suivent activement ces risques), une meilleure disponibilité des ensembles de données et des rapports permet aux organisations de tenir les tiers davantage responsables dans ces domaines. Alors que le regain d'intérêt des consommateurs et des pairs pousse à l'approvisionnement éthique, les dirigeants s'attendent de plus en plus à un processus plus robuste avec des mesures significatives pour démontrer les progrès.

À l'horizon 2022, l'approvisionnement éthique sera de plus en plus intégré dans le processus d'évaluation et d'examen, au lieu d'être pris pour argent comptant. Les tiers jouent un rôle important dans la démonstration de changements concrets dans l'éthique de l'entreprise, ce qui constituera un outil de plus en plus commercialisable. Pour faire face à cette tendance en 2022, examinez la manière dont vous évaluez vos tiers. La valeur de la marque de votre entreprise peut-elle résister à une atteinte à sa réputation si un fournisseur manque à ses obligations éthiques ?

7. Importance accrue du suivi et de l'application des obligations post-contractuelles (par exemple, KRI et SLA).

En complément de notre prédiction précédente sur l'augmentation de la diligence raisonnable pré-contractuelle, 2022 verra un accent plus important sur la performance post-contractuelle. La gestion des relations avec les fournisseurs tout au long du cycle de vie d'un fournisseur a souvent été associée aux équipes de projet et aux sponsors commerciaux qui sont souvent trop occupés pour consolider les résultats et les préoccupations dans un endroit centralisé. Il en résulte une "connaissance tribale" de la performance des tiers souvent dispersée dans l'entreprise et perdue lorsque les équipes migrent.

En 2022, l'accent sera mis sur la cohérence et la centralisation de la gestion itérative des performances des fournisseurs. Cela sera motivé par les avantages qu'elle procure, tels que des outils et des leviers de négociation efficaces, ainsi que la visibilité des risques de résilience/sécurité associés aux résultats. En général, les organisations devraient adapter leurs programmes de gestion des risques liés aux tiers afin de traiter les risques à chaque étape du cycle de vie du fournisseur, et pas seulement lors de l'intégration ou une fois par an lors du renouvellement.

8. Ouverture accrue à l'utilisation de services gérés pour renforcer les équipes internes et permettre une évolution au-delà des fournisseurs informatiques de premier plan.

À mesure que les attentes des programmes de gestion des risques des tiers évoluent avec la convergence de multiples publics et de critères de risques organisationnels à gérer, l'effort associé augmente et l'expertise en la matière se raréfie. Les nouveaux risques signifient que la sécurité de l'information n'est plus le seul jeu en ville. Cependant, cette expertise n'est pas toujours disponible en interne, pas plus que les mécanismes ou les ressources disponibles pour saisir et documenter les risques de manière adéquate. Par conséquent, de plus en plus d'équipes de gestion des risques de tiers identifient judicieusement leurs lacunes en matière de connaissances et de ressources, et envisageront davantage de services externalisés pour enrichir leurs programmes.

En 2022, procédez à une évaluation des compétences et des ressources internes pour déterminer si l'externalisation d'une partie de votre programme de gestion des risques de tiers permettra à votre équipe d'accélérer ses efforts de réduction des risques. Lesclients de Prevalent , par exemple, déclarent avoir réduit leur travail manuel de 50 %, accéléré leur identification des risques de 44 % et amélioré la productivité de leur équipe d'un facteur de 3 à 4 en tirant parti de services manages.

9. Une analyse plus approfondie sera nécessaire pour répondre aux besoins de l'organisation en matière d'évaluation des risques.

Alors que les fournisseurs continuent de faire face à l'exigence irritante d'articuler la même information de différentes manières, ceux qui ont le luxe de refuser le feront de plus en plus. Au lieu de cela, les tiers proposeront des documents pré-complétés tels que les rapports ISO ou SOC II, ce qui mettra la pression sur les organisations pour qu'elles effectuent une analyse plus approfondie et une mise en correspondance avec leurs besoins internes.

Bien que cela puisse sembler préjudiciable si cela ne s'aligne pas sur votre programme de gestion des risques du tiers, il y a un avantage caché dans le fait que le tiers a probablement investi proportionnellement plus d'efforts dans la création de réponses et d'artefacts de qualité. Le défi en 2022 sera donc de traduire ces matériaux plus robustes dans la structure préférée pour permettre une véritable analyse des contrôles. Recherchez des solutions qui permettent une mise en correspondance automatisée des contrôles des risques pour répondre à des exigences multiples.

10. Certaines organisations étendront leurs programmes TPRM pour inclure les risques de quatrième et de neuvième partie.

Alors que les programmes de gestion des risques liés aux tiers continuent de lutter pour le contrôle de leur patrimoine de tiers, certaines organisations commencent à aller au-delà des tiers en considérant les risques posés par leurs tiers. Cette évolution nécessitera de passer d'une vision axée sur la conformité à une vision davantage axée sur les risques.

En 2022, les améliorations technologiques et une plus grande dépendance et sensibilisation à la chaîne d'approvisionnement au sens large signifient qu'il deviendra normal d'évaluer les 4èmes parties en amont et, au minimum, d'envisager leur impact potentiel en cas de perturbation. Les organisations doivent être prêtes à établir une carte des relations qui montre visuellement les interconnexions et les flux de données dans leurs écosystèmes de fournisseurs.

Préparez votre programme TPRM pour 2022

L'étude de ces 10 principales tendances permettra à votre programme TPRM de disposer d'une base solide pour 2022 et au-delà, et vous permettra de rester agile et prêt pour l'avenir. Pour commencer, inscrivez-vous à une évaluation gratuite de la maturité du programme TPRM. Les résultats de cette évaluation vous indiqueront de manière prescriptive les mesures à prendre pour améliorer votre programme. Ou contactez-nous dès aujourd'hui pour une séance de stratégie.

Tags :
Partager :
2014 04 10 Headshot Brad Suit
Brad Hibbert
Directeur général des opérations et directeur de la stratégie

Brad Hibbert apporte plus de 25 ans d'expérience de direction dans l'industrie du logiciel, en alignant les équipes commerciales et techniques sur la réussite. Il a rejoint Prevalent après avoir travaillé pour BeyondTrust, où il a assumé la direction de la stratégie des solutions, de la gestion des produits, du développement, des services et du support en tant que COO et CSO. Il a rejoint BeyondTrust via l'acquisition d'eEye Digital Security par la société, où il a contribué au lancement de plusieurs premières sur le marché, notamment des solutions de gestion de la vulnérabilité pour les technologies de cloud computing, de mobilité et de virtualisation.

Avant eEye, Brad a occupé le poste de vice-président de la stratégie et des produits chez NetPro avant son acquisition en 2008 par Quest Software. Au fil des ans, Brad a obtenu de nombreuses certifications industrielles pour soutenir ses activités de gestion, de conseil et de développement. Brad a obtenu un baccalauréat en commerce, une spécialisation en systèmes d'information de gestion et un MBA de l'Université d'Ottawa.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo