Les résultats de l'étude définitive 2022 sur la gestion des risques liés aux tiers sont arrivés - et il y a beaucoup de choses à décortiquer, car nous examinons comment les organisations réagissent au nombre record de violations de données par des tiers, aux perturbations de la chaîne d'approvisionnement dues à l'arrêt continu des pandémies, et même à la guerre en Ukraine.
L'étude de cette année montre que la gestion des risques liés aux tiers (TPRM) se trouve à la croisée des chemins, démontrant que les entreprises ont le choix entre deux voies : la voie existante et la meilleure voie. Pour illustrer cela, prenons les conclusions de l'étude :
La voie actuelle | La meilleure voie |
---|---|
Les organisations accordent plus d'attention aux risques de sécurité non informatiques ... |
... mais devrait en faire plus dans les zones à risque. |
La gestion des risques liés aux tiers pourrait (enfin !) devenir plus stratégique ... |
... mais les organisations devraient s'efforcer d'éliminer les méthodes manuelles obstinées d'évaluation des tiers qui rendent les audits plus complexes et plus longs. |
Les organisations s'inquiètent à juste titre des incidents de sécurité de plus en plus préjudiciables causés par des tiers ... |
... mais devraient unifier leur ensemble d'outils disparates pour réduire le temps de détection et de réponse aux incidents impliquant des tiers. |
Les organisations parviennent assez bien à évaluer les risques liés aux fournisseurs lors des étapes les plus évidentes du cycle de vie des tiers ... |
... mais devrait envisager d'autres étapes pour éviter que la discipline TPRM ne s'affaiblisse à mesure que les relations avec les fournisseurs progressent. |
Dans ce billet, nous passerons en revue les bonnes (et mauvaises) nouvelles et recommanderons trois mesures que les organisations peuvent prendre pour améliorer leurs processus TPRM afin de se mettre sur la voie du succès.
L'étude 2022 sur la gestion des risques liés aux tiers
Mettez-vous sur la voie du succès en matière de gestion des risques de tiers grâce à des données, des analyses et des recommandations perspicaces issues de notre enquête auprès des praticiens de la gestion des risques de tiers dans le monde.
Les programmes TPRM sont toujours principalement axés sur la gestion des risques liés à la collaboration avec les fournisseurs informatiques (45%), mais une proportion surprenante de 40% des répondants à l'étude de cette année affirment qu'ils se concentrent sur la gestion desrisques liés aux fournisseurs informatiques et non informatiques. les risques liés aux fournisseurs informatiques et non informatiques.
En outre, comme vous pouvez le voir dans le graphique ci-dessous, davantage d'équipes sont concernées par les risques TPRM au-delà de la sécurité informatique.
Cependant, les risques non informatiques les moins importants sont l'esclavage moderne, la lutte contre le blanchiment d'argent et les risques de corruption. Suivant un thème similaire à celui de l'enquêtePrevalent 2021 sur la gestion des risques liés aux tiers, les organisations continuent de négliger les risques moins quantifiables qui pourraient pourtant entraîner des violations de la conformité, des amendes ou des impacts négatifs sur la réputation. Par exemple, avec l'invasion de l'Ukraine par la Russie, les entreprises ayant des fournisseurs tiers en Russie doivent maintenant se demander si elles sont exposées à la corruption et au blanchiment d'argent en raison des sanctions.
Deux tiers des répondants déclarent que leurs programmes TPRM ont plus de visibilité auprès des cadres et du conseil d'administration par rapport à l'année dernière. C'est une excellente nouvelle ! La TPRM commence à être considérée comme stratégique. Cependant, il a fallu une augmentation massive des problèmes de cybersécurité liés aux fournisseurs tiers et aux fournisseurs, comme Log4j, la rupture de la chaîne d'approvisionnement de Toyota et l'attaque par ransomware de Kaseya, pour en arriver là.
Malheureusement, les processus manuels freinent encore les organisations, avec encore plus d'entreprises (45%) qui déclarent utiliser des feuilles de calcul pour évaluer leurs tiers cette année par rapport à 2021.
Ces processus manuels ajoutent une complexité et un temps inutiles aux audits de risques de tiers, 32 % des personnes interrogées déclarant qu'il leur faut plus d'un mois (et dans certains cas plus de 90 jours) pour produire les rapports et les preuves nécessaires pour répondre aux audits réglementaires.
Quelque chose doit clocher dans les approches existantes, car un pourcentage élevé de personnes interrogées déclare que leurs méthodes actuelles d'évaluation des fournisseurs ne sont pas en mesure de fournir des rapports pour démontrer la conformité (57%), d'être plus proactives dans la réponse aux incidents de tiers (50%), ou d'évaluer les risques à chaque étape du cycle de vie du fournisseur (48%).
La principale préoccupation des organisations concernant leur recours à des tiers est une violation des données (69 %), et 45 % des personnes interrogées ont déclaré avoir subi un incident de sécurité au cours de l'année écoulée - contre 21 % en 2021 !
Les principaux outils de réponse aux incidents que les personnes interrogées ont déclaré avoir à leur disposition comprennent la surveillance des violations de données (51%), la surveillance de la cybersécurité/du web obscur (45%), les évaluations des fournisseurs (manuelles/à l'aide de feuilles de calcul) (43%) et l'autodéclaration proactive des fournisseurs (43%). Mais seulement 38% ont indiqué avoir accès à des évaluations automatisées des fournisseurs.
Les statistiques les plus décourageantes de toutes : 8 % des entreprises n'ont pas du tout mis en place de programme de réponse aux incidents impliquant des tiers, tandis que 23 % adoptent une approche passive de la réponse aux incidents impliquant des tiers. Bonne chance pour la prochaine édition de SolarWinds.
Le résultat : Il s'écoule environ 2,5 semaines entre la découverte d'un incident et la prise de mesures correctives, ce qui représente une éternité pour une organisation vulnérable à un exploit potentiel.
Les risques contractuels et les risques liés à la phase d'intégration et de résiliation de la relation ne figurent pas en tête des risques que les entreprises suivent actuellement - 45% et 43%, respectivement. En fait, le pourcentage de clients qui suivent les risques diminue au fur et à mesure que le cycle de vie de la relation évolue, ce qui indique que les entreprises se concentrent davantage sur les risques aux premiers stades, et moins à mesure que la relation se poursuit. Cette situation est surprenante, compte tenu de tous les risques liés au non-respect des attentes contractuelles.
Les résultats de cette étude montrent que les équipes TPRM progressent vers une approche plus stratégique de TPRM, mais trois domaines nécessitent des améliorations supplémentaires.
Si l'on considère les risques liés aux tiers uniquement sous l'angle informatique, on passe à côté de risques importants. Par conséquent, investissez dans une solution qui comprend des modèles de questionnaire intégrés et des renseignements complémentaires pour aborder des domaines allant des risques commerciaux/opérationnels, financiers et de réputation aux risques ESG et de conformité.
En unifiant les renseignements sur les risques non informatiques avec les résultats des évaluations traditionnelles de la cybersécurité et de la confidentialité des données, vous pourrez vous pouvez :
En outre, étant donné que près d'un tiers des entreprises déclarent qu'il leur faut plus de 30 jours (et certaines plus de 90 jours) pour produire les preuves requises pour répondre aux audits réglementaires, la collecte de ces informations sur une plate-forme unique accélérera les examens d'audit et permettra aux équipes de retourner à leur travail quotidien.
Alors que 45 % des entreprises ont signalé un incident de sécurité au cours de l'année écoulée - et que 69 % d'entre elles déclarent que c'est leur priorité -, il faut redoubler d'efforts pour automatiser la réponse aux incidents afin de limiter les résultats. Investissez dans des outils et des processus matures qui :
Les données de l'étude de cette année montrent que la discipline en matière d'évaluation des risques diminue au fur et à mesure que le cycle de vie du fournisseur progresse. Voici quelques conseils pour aborder les risques plus tard dans la relation.
Infographie sur l'étude TPRM 2023
Examinez les statistiques clés de notre étude sur les organisations qui tentent de tracer une voie vers la réussite du TPRM.
Téléchargez l'e-book complet et l'infographie pour obtenir des statistiques, un contexte et des recommandations supplémentaires pour évaluer vos pratiques TPRM existantes. Ensuite, demandez une démo pour une session stratégique avec un expert TPRM.
Lisez les conclusions de notre étude annuelle sur le TPRM et mettez en œuvre ces bonnes pratiques pour...
05/08/2024
Prevalent estime qu'il se différencie en offrant une couverture complète de plusieurs types de risques et en fournissant...
12/12/2023
Le principal cabinet d'analyse du secteur reconnaît Prevalent pour ses offres sophistiquées de gestion des risques liés aux fournisseurs.
11/06/2023