La gestion des risques liés aux tiers à la croisée des chemins : Résultats de l'étude 2022 sur les meilleures pratiques de TPRM

Dans ce billet, nous passerons en revue les bonnes (et mauvaises) nouvelles et recommanderons trois mesures que les organisations peuvent prendre pour améliorer leurs processus TPRM afin de se mettre sur la voie du succès.

40 % des entreprises accordent plus d'attention aux risques de sécurité non informatiques... mais ce n'est pas encore suffisant.

Les programmes TPRM sont toujours principalement axés sur la gestion des risques liés à la collaboration avec les fournisseurs informatiques (45%), mais une proportion surprenante de 40% des répondants à l'étude de cette année affirment qu'ils se concentrent sur la gestion desrisques liés aux fournisseurs informatiques et non informatiques. les risques liés aux fournisseurs informatiques et non informatiques.

En outre, comme vous pouvez le voir dans le graphique ci-dessous, davantage d'équipes sont concernées par les risques TPRM au-delà de la sécurité informatique.

Cependant, les risques non informatiques les moins importants sont l'esclavage moderne, la lutte contre le blanchiment d'argent et les risques de corruption. Suivant un thème similaire à celui de l'enquêtePrevalent 2021 sur la gestion des risques liés aux tiers, les organisations continuent de négliger les risques moins quantifiables qui pourraient pourtant entraîner des violations de la conformité, des amendes ou des impacts négatifs sur la réputation. Par exemple, avec l'invasion de l'Ukraine par la Russie, les entreprises ayant des fournisseurs tiers en Russie doivent maintenant se demander si elles sont exposées à la corruption et au blanchiment d'argent en raison des sanctions.

La gestion des risques liés aux tiers peut (enfin !) devenir plus stratégique... mais ces feuilles de calcul doivent disparaître.

Deux tiers des répondants déclarent que leurs programmes TPRM ont plus de visibilité auprès des cadres et du conseil d'administration par rapport à l'année dernière. C'est une excellente nouvelle ! La TPRM commence à être considérée comme stratégique. Cependant, il a fallu une augmentation massive des problèmes de cybersécurité liés aux fournisseurs tiers et aux fournisseurs, comme Log4j, la rupture de la chaîne d'approvisionnement de Toyota et l'attaque par ransomware de Kaseya, pour en arriver là.

Malheureusement, les processus manuels freinent encore les organisations, avec encore plus d'entreprises (45%) qui déclarent utiliser des feuilles de calcul pour évaluer leurs tiers cette année par rapport à 2021.

Ces processus manuels ajoutent une complexité et un temps inutiles aux audits de risques de tiers, 32 % des personnes interrogées déclarant qu'il leur faut plus d'un mois (et dans certains cas plus de 90 jours) pour produire les rapports et les preuves nécessaires pour répondre aux audits réglementaires.

Quelque chose doit clocher dans les approches existantes, car un pourcentage élevé de personnes interrogées déclare que leurs méthodes actuelles d'évaluation des fournisseurs ne sont pas en mesure de fournir des rapports pour démontrer la conformité (57%), d'être plus proactives dans la réponse aux incidents de tiers (50%), ou d'évaluer les risques à chaque étape du cycle de vie du fournisseur (48%).

45 % des organisations ont été confrontées à un incident de sécurité impliquant un tiers au cours de l'année écoulée... mais elles utilisent des outils disparates qui allongent les délais de réponse aux incidents.

La principale préoccupation des organisations concernant leur recours à des tiers est une violation des données (69 %), et 45 % des personnes interrogées ont déclaré avoir subi un incident de sécurité au cours de l'année écoulée - contre 21 % en 2021 !

Les principaux outils de réponse aux incidents que les personnes interrogées ont déclaré avoir à leur disposition comprennent la surveillance des violations de données (51%), la surveillance de la cybersécurité/du web obscur (45%), les évaluations des fournisseurs (manuelles/à l'aide de feuilles de calcul) (43%) et l'autodéclaration proactive des fournisseurs (43%). Mais seulement 38% ont indiqué avoir accès à des évaluations automatisées des fournisseurs.

Les statistiques les plus décourageantes de toutes : 8 % des entreprises n'ont pas du tout mis en place de programme de réponse aux incidents impliquant des tiers, tandis que 23 % adoptent une approche passive de la réponse aux incidents impliquant des tiers. Bonne chance pour la prochaine édition de SolarWinds.

Le résultat : Il s'écoule environ 2,5 semaines entre la découverte d'un incident et la prise de mesures correctives, ce qui représente une éternité pour une organisation vulnérable à un exploit potentiel.

Moins de la moitié des entreprises suivent les risques dans les dernières étapes du cycle de vie des fournisseurs.

Les risques contractuels et les risques liés à la phase d'intégration et de résiliation de la relation ne figurent pas en tête des risques que les entreprises suivent actuellement - 45% et 43%, respectivement. En fait, le pourcentage de clients qui suivent les risques diminue au fur et à mesure que le cycle de vie de la relation évolue, ce qui indique que les entreprises se concentrent davantage sur les risques aux premiers stades, et moins à mesure que la relation se poursuit. Cette situation est surprenante, compte tenu de tous les risques liés au non-respect des attentes contractuelles.

3 recommandations de meilleures pratiques pour améliorer votre feuille de route TPRM

Les résultats de cette étude montrent que les équipes TPRM progressent vers une approche plus stratégique de TPRM, mais trois domaines nécessitent des améliorations supplémentaires.

1. Étendre les évaluations au-delà de la sécurité informatique pour unifier les équipes sous une seule solution et simplifier les audits

Si l'on considère les risques liés aux tiers uniquement sous l'angle informatique, on passe à côté de risques importants. Par conséquent, investissez dans une solution qui comprend des modèles de questionnaire intégrés et des renseignements complémentaires pour aborder des domaines allant des risques commerciaux/opérationnels, financiers et de réputation aux risques ESG et de conformité.

En unifiant les renseignements sur les risques non informatiques avec les résultats des évaluations traditionnelles de la cybersécurité et de la confidentialité des données, vous pourrez vous pouvez :

• Enrichir la visibilité des risques liés aux fournisseurs tout en répondant aux besoins de plusieurs départements.
• Augmentez la valeur stratégique de votre programme de gestion des risques liés aux tiers.
• Améliorer les rapports et éliminer l'utilisation persistante de feuilles de calcul pour collecter et analyser les données sur les risques des tiers.

En outre, étant donné que près d'un tiers des entreprises déclarent qu'il leur faut plus de 30 jours (et certaines plus de 90 jours) pour produire les preuves requises pour répondre aux audits réglementaires, la collecte de ces informations sur une plate-forme unique accélérera les examens d'audit et permettra aux équipes de retourner à leur travail quotidien.

2. Automatiser la réponse aux incidents pour réduire les coûts et les délais

Alors que 45 % des entreprises ont signalé un incident de sécurité au cours de l'année écoulée - et que 69 % d'entre elles déclarent que c'est leur priorité -, il faut redoubler d'efforts pour automatiser la réponse aux incidents afin de limiter les résultats. Investissez dans des outils et des processus matures qui :

• Gérer de manière centralisée tous les fournisseurs sur une seule et même plateforme - obtenir une visibilité sur votre écosystème de tiers est la première et la plus importante des étapes.
• Savoir quels tiers (et quelles nièmes parties) sont exposés à un risque de violation en cartographiant les relations avec les fournisseurs sur la base de l'utilisation des technologies.
• Posez les bonnes questions aux bons vendeurs grâce aux questionnaires d'évaluation contextuelle des événements
• Bénéficier d'une alerte précoce en cas d'incident en permettant aux fournisseurs de soumettre de manière proactive des évaluations d'événements.
• Révéler les impacts potentiels en suivant, évaluant et gérant en permanence les risquescyber, commerciaux, financiers et de réputation sur une seule et même plateforme.
• Atténuez rapidement les risques pour votre entreprise grâce à l'accès à des conseils de remédiation normatifs.
• Satisfaire les besoins des régulateurs, des membres du conseil d'administration et des autres parties prenantes grâce à des rapports proactifs sur l'avancement de la réponse aux incidents et les mesures d'atténuation.
  

3. Boucler la boucle du cycle de vie des tiers

Les données de l'étude de cette année montrent que la discipline en matière d'évaluation des risques diminue au fur et à mesure que le cycle de vie du fournisseur progresse. Voici quelques conseils pour aborder les risques plus tard dans la relation.

• Contractuel et la performance des SLA: Lorsque vous identifiez et traitez les risques liés aux tiers, il est important de garder une trace de toutes les activités de chaque vendeur et fournisseur. Par conséquent, recherchez une plateforme TPRM dotée de solides capacités de gestion du cycle de vie des contrats. Ces fonctionnalités sont non seulement essentielles pour le reporting interne, mais elles peuvent également constituer un outil précieux pour mesurer le respect des conditions convenues, des accords de niveau de service, des objectifs d'indicateurs de performance clés et des exigences de conformité. Les résultats peuvent éclairer les négociations en cours avec vos partenaires commerciaux et garantir des relations commerciales plus solides et à long terme.
• Désintégration et résiliation: L'exclusion est souvent négligée lorsqu'il s'agit de la gestion des risques liés aux tiers, mais beaucoup de choses peuvent se produire dans les derniers jours d'une relation avec un fournisseur. La réalisation d'une évaluation finale des risques permet de s'assurer que vos systèmes et vos données sont déclassés en toute sécurité, tout en fournissant des enregistrements permettant de démontrer la conformité aux mandats de confidentialité des données.

Faites les prochains pas vers le bon cours TPRM

Téléchargez l'e-book complet et l'infographie pour obtenir des statistiques, un contexte et des recommandations supplémentaires pour évaluer vos pratiques TPRM existantes. Ensuite, demandez une démo pour une session stratégique avec un expert TPRM.