La gestion des risques liés aux tiers à la croisée des chemins : Résultats de l'étude 2022 sur les meilleures pratiques de TPRM

Suivez ces trois recommandations pour mettre votre programme TPRM sur la voie du succès.
Par :
Scott Lang
,
VP, Marketing produit
05 mai 2022
Partager :
Blog tprm étude 2022 0522

Les résultats de l'étude définitive 2022 sur la gestion des risques liés aux tiers sont arrivés - et il y a beaucoup de choses à décortiquer, car nous examinons comment les organisations réagissent au nombre record de violations de données par des tiers, aux perturbations de la chaîne d'approvisionnement dues à l'arrêt continu des pandémies, et même à la guerre en Ukraine.

L'étude de cette année montre que la gestion des risques liés aux tiers (TPRM) se trouve à la croisée des chemins, démontrant que les entreprises ont le choix entre deux voies : la voie existante et la meilleure voie. Pour illustrer cela, prenons les conclusions de l'étude :

La voie actuelle La meilleure voie

Les organisations accordent plus d'attention aux risques de sécurité non informatiques ...

... mais devrait en faire plus dans les zones à risque.

La gestion des risques liés aux tiers pourrait (enfin !) devenir plus stratégique ...

... mais les organisations devraient s'efforcer d'éliminer les méthodes manuelles obstinées d'évaluation des tiers qui rendent les audits plus complexes et plus longs.

Les organisations s'inquiètent à juste titre des incidents de sécurité de plus en plus préjudiciables causés par des tiers ...

... mais devraient unifier leur ensemble d'outils disparates pour réduire le temps de détection et de réponse aux incidents impliquant des tiers.

Les organisations parviennent assez bien à évaluer les risques liés aux fournisseurs lors des étapes les plus évidentes du cycle de vie des tiers ...

... mais devrait envisager d'autres étapes pour éviter que la discipline TPRM ne s'affaiblisse à mesure que les relations avec les fournisseurs progressent.

Dans ce billet, nous passerons en revue les bonnes (et mauvaises) nouvelles et recommanderons trois mesures que les organisations peuvent prendre pour améliorer leurs processus TPRM afin de se mettre sur la voie du succès.

L'étude 2022 sur la gestion des risques liés aux tiers

Mettez-vous sur la voie du succès en matière de gestion des risques de tiers grâce à des données, des analyses et des recommandations perspicaces issues de notre enquête auprès des praticiens de la gestion des risques de tiers dans le monde.

Lire la suite
Étude sur le tprm 2022

40 % des entreprises accordent plus d'attention aux risques de sécurité non informatiques... mais ce n'est pas encore suffisant.

Les programmes TPRM sont toujours principalement axés sur la gestion des risques liés à la collaboration avec les fournisseurs informatiques (45%), mais une proportion surprenante de 40% des répondants à l'étude de cette année affirment qu'ils se concentrent sur la gestion desrisques liés aux fournisseurs informatiques et non informatiques. les risques liés aux fournisseurs informatiques et non informatiques.

Focus sur les risques du programme TPRM

En outre, comme vous pouvez le voir dans le graphique ci-dessous, davantage d'équipes sont concernées par les risques TPRM au-delà de la sécurité informatique.

Équipes non sécuritaires intéressées par TPRM

Cependant, les risques non informatiques les moins importants sont l'esclavage moderne, la lutte contre le blanchiment d'argent et les risques de corruption. Suivant un thème similaire à celui de l'enquêtePrevalent 2021 sur la gestion des risques liés aux tiers, les organisations continuent de négliger les risques moins quantifiables qui pourraient pourtant entraîner des violations de la conformité, des amendes ou des impacts négatifs sur la réputation. Par exemple, avec l'invasion de l'Ukraine par la Russie, les entreprises ayant des fournisseurs tiers en Russie doivent maintenant se demander si elles sont exposées à la corruption et au blanchiment d'argent en raison des sanctions.

La gestion des risques liés aux tiers peut (enfin !) devenir plus stratégique... mais ces feuilles de calcul doivent disparaître.

Deux tiers des répondants déclarent que leurs programmes TPRM ont plus de visibilité auprès des cadres et du conseil d'administration par rapport à l'année dernière. C'est une excellente nouvelle ! La TPRM commence à être considérée comme stratégique. Cependant, il a fallu une augmentation massive des problèmes de cybersécurité liés aux fournisseurs tiers et aux fournisseurs, comme Log4j, la rupture de la chaîne d'approvisionnement de Toyota et l'attaque par ransomware de Kaseya, pour en arriver là.

Visibilité de TPRM auprès des cadres

Malheureusement, les processus manuels freinent encore les organisations, avec encore plus d'entreprises (45%) qui déclarent utiliser des feuilles de calcul pour évaluer leurs tiers cette année par rapport à 2021.

Les entreprises utilisent encore des feuilles de calcul pour évaluer les tiers

Ces processus manuels ajoutent une complexité et un temps inutiles aux audits de risques de tiers, 32 % des personnes interrogées déclarant qu'il leur faut plus d'un mois (et dans certains cas plus de 90 jours) pour produire les rapports et les preuves nécessaires pour répondre aux audits réglementaires.

Temps nécessaire pour répondre aux audits réglementaires

Quelque chose doit clocher dans les approches existantes, car un pourcentage élevé de personnes interrogées déclare que leurs méthodes actuelles d'évaluation des fournisseurs ne sont pas en mesure de fournir des rapports pour démontrer la conformité (57%), d'être plus proactives dans la réponse aux incidents de tiers (50%), ou d'évaluer les risques à chaque étape du cycle de vie du fournisseur (48%).

Satisfaction à l'égard des solutions actuelles de TPRM

45 % des organisations ont été confrontées à un incident de sécurité impliquant un tiers au cours de l'année écoulée... mais elles utilisent des outils disparates qui allongent les délais de réponse aux incidents.

La principale préoccupation des organisations concernant leur recours à des tiers est une violation des données (69 %), et 45 % des personnes interrogées ont déclaré avoir subi un incident de sécurité au cours de l'année écoulée - contre 21 % en 2021 !

Incidents impliquant des tiers en 2021 et 2022


Les principaux outils de réponse aux incidents que les personnes interrogées ont déclaré avoir à leur disposition comprennent la surveillance des violations de données (51%), la surveillance de la cybersécurité/du web obscur (45%), les évaluations des fournisseurs (manuelles/à l'aide de feuilles de calcul) (43%) et l'autodéclaration proactive des fournisseurs (43%). Mais seulement 38% ont indiqué avoir accès à des évaluations automatisées des fournisseurs.

Outils de réponse aux incidents

Les statistiques les plus décourageantes de toutes : 8 % des entreprises n'ont pas du tout mis en place de programme de réponse aux incidents impliquant des tiers, tandis que 23 % adoptent une approche passive de la réponse aux incidents impliquant des tiers. Bonne chance pour la prochaine édition de SolarWinds.

Approches de la réponse aux incidents impliquant des tiers

Le résultat : Il s'écoule environ 2,5 semaines entre la découverte d'un incident et la prise de mesures correctives, ce qui représente une éternité pour une organisation vulnérable à un exploit potentiel.

Moins de la moitié des entreprises suivent les risques dans les dernières étapes du cycle de vie des fournisseurs.

Les risques contractuels et les risques liés à la phase d'intégration et de résiliation de la relation ne figurent pas en tête des risques que les entreprises suivent actuellement - 45% et 43%, respectivement. En fait, le pourcentage de clients qui suivent les risques diminue au fur et à mesure que le cycle de vie de la relation évolue, ce qui indique que les entreprises se concentrent davantage sur les risques aux premiers stades, et moins à mesure que la relation se poursuit. Cette situation est surprenante, compte tenu de tous les risques liés au non-respect des attentes contractuelles.

Types de risques liés à des tiers suivis par les organisations aujourd'hui

3 recommandations de meilleures pratiques pour améliorer votre feuille de route TPRM

Les résultats de cette étude montrent que les équipes TPRM progressent vers une approche plus stratégique de TPRM, mais trois domaines nécessitent des améliorations supplémentaires.

1. Étendre les évaluations au-delà de la sécurité informatique pour unifier les équipes sous une seule solution et simplifier les audits

Si l'on considère les risques liés aux tiers uniquement sous l'angle informatique, on passe à côté de risques importants. Par conséquent, investissez dans une solution qui comprend des modèles de questionnaire intégrés et des renseignements complémentaires pour aborder des domaines allant des risques commerciaux/opérationnels, financiers et de réputation aux risques ESG et de conformité.

En unifiant les renseignements sur les risques non informatiques avec les résultats des évaluations traditionnelles de la cybersécurité et de la confidentialité des données, vous pourrez vous pouvez :

  • Enrichir la visibilité des risques liés aux fournisseurs tout en répondant aux besoins de plusieurs départements.
  • Augmentez la valeur stratégique de votre programme de gestion des risques liés aux tiers.
  • Améliorer les rapports et éliminer l'utilisation persistante de feuilles de calcul pour collecter et analyser les données sur les risques des tiers.

En outre, étant donné que près d'un tiers des entreprises déclarent qu'il leur faut plus de 30 jours (et certaines plus de 90 jours) pour produire les preuves requises pour répondre aux audits réglementaires, la collecte de ces informations sur une plate-forme unique accélérera les examens d'audit et permettra aux équipes de retourner à leur travail quotidien.

2. Automatiser la réponse aux incidents pour réduire les coûts et les délais

Alors que 45 % des entreprises ont signalé un incident de sécurité au cours de l'année écoulée - et que 69 % d'entre elles déclarent que c'est leur priorité -, il faut redoubler d'efforts pour automatiser la réponse aux incidents afin de limiter les résultats. Investissez dans des outils et des processus matures qui :

  • Gérer de manière centralisée tous les fournisseurs sur une seule et même plateforme - obtenir une visibilité sur votre écosystème de tiers est la première et la plus importante des étapes.
  • Savoir quels tiers (et quelles nièmes parties) sont exposés à un risque de violation en cartographiant les relations avec les fournisseurs sur la base de l'utilisation des technologies.
  • Posez les bonnes questions aux bons vendeurs grâce aux questionnaires d'évaluation contextuelle des événements
  • Bénéficier d'une alerte précoce en cas d'incident en permettant aux fournisseurs de soumettre de manière proactive des évaluations d'événements.
  • Révéler les impacts potentiels en suivant, évaluant et gérant en permanence les risquescyber, commerciaux, financiers et de réputation sur une seule et même plateforme.
  • Atténuez rapidement les risques pour votre entreprise grâce à l'accès à des conseils de remédiation normatifs.
  • Satisfaire les besoins des régulateurs, des membres du conseil d'administration et des autres parties prenantes grâce à des rapports proactifs sur l'avancement de la réponse aux incidents et les mesures d'atténuation.

3. Boucler la boucle du cycle de vie des tiers

Les données de l'étude de cette année montrent que la discipline en matière d'évaluation des risques diminue au fur et à mesure que le cycle de vie du fournisseur progresse. Voici quelques conseils pour aborder les risques plus tard dans la relation.

  • Contractuel et la performance des SLA: Lorsque vous identifiez et traitez les risques liés aux tiers, il est important de garder une trace de toutes les activités de chaque vendeur et fournisseur. Par conséquent, recherchez une plateforme TPRM dotée de solides capacités de gestion du cycle de vie des contrats. Ces fonctionnalités sont non seulement essentielles pour le reporting interne, mais elles peuvent également constituer un outil précieux pour mesurer le respect des conditions convenues, des accords de niveau de service, des objectifs d'indicateurs de performance clés et des exigences de conformité. Les résultats peuvent éclairer les négociations en cours avec vos partenaires commerciaux et garantir des relations commerciales plus solides et à long terme.
  • Désintégration et résiliation: L'exclusion est souvent négligée lorsqu'il s'agit de la gestion des risques liés aux tiers, mais beaucoup de choses peuvent se produire dans les derniers jours d'une relation avec un fournisseur. La réalisation d'une évaluation finale des risques permet de s'assurer que vos systèmes et vos données sont déclassés en toute sécurité, tout en fournissant des enregistrements permettant de démontrer la conformité aux mandats de confidentialité des données.

Infographie sur l'étude TPRM 2023

Examinez les statistiques clés de notre étude sur les organisations qui tentent de tracer une voie vers la réussite du TPRM.

Voir les points forts
Ressources vedettes Infographie de l'étude 2023 sur la tprm

Faites les prochains pas vers le bon cours TPRM

Téléchargez l'e-book complet et l'infographie pour obtenir des statistiques, un contexte et des recommandations supplémentaires pour évaluer vos pratiques TPRM existantes. Ensuite, demandez une démo pour une session stratégique avec un expert TPRM.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo