Ce billet a été rédigé en collaboration avec Alastair Parr, SVP of Products & Services.
La gestion des risques liés aux tiers (TPRM) a parcouru un long chemin ces dernières années, passant d'un processus de questionnaire ad hoc basé sur une feuille de calcul et axé sur le simple contrôle des fournisseurs informatiques, à une évaluation et un suivi automatisés et continus de divers vendeurs et fournisseurs gérés par de multiples équipes.
À l'approche de 2024, plusieurs tendances clés façonnent la manière dont les organisations abordent cet aspect de plus en plus crucial de leurs programmes de gestion des risques. Dans ce billet, nous nous pencherons sur les dix principales prédictions concernant la gestion des risques de tiers en 2024 et sur la façon dont elles feront évoluer la pratique de la gestion des risques de tiers à l'avenir.
2023 a été une année record pour les incidents de sécurité des tiers, avec des brèches telles que MOVEit qui ont fait la une des journaux. La pression réglementaire qui en résulte pour améliorer la gouvernance des accords d'externalisation des tiers, comme celle de la Securities and Exchange Commission (SEC) et de plusieurs entités européennes, fait évoluer le TPRM d'un projet visant à gérer les risques vers un programme qui traite les risques tout au long du cycle de vie d'un tiers.
En d'autres termes, le TPRM n'est plus une expérience, c'est une attente. Cette maturation a consolidé la position de la TPRM en tant qu'élément essentiel de la prise de décision en matière de gestion des risques organisationnels. Par conséquent, malgré l'incertitude économique, l'inflation et les pénuries de main-d'œuvre, l'investissement dans la TPRM restera constant jusqu'en 2024. L'engagement du conseil d'administration et de la direction dans la TPRM persistera en raison de la persistance des incidents de sécurité impliquant des tiers et de la pression réglementaire.
Bien que les difficultés à trouver des praticiens qualifiés en TPRM puissent perdurer, l'efficience et l'efficacité des programmes de TPRM s'amélioreront grâce à l'IA générative, à l' apprentissage automatique, à l'analyse des données, à l'automatisation renforcée et à l'externalisation des programmes.
Il ne suffit pas de gérer les risques, il faut aussi gérer le cycle de vie d'une relation avec un fournisseur pour comprendre le contexte des risques auxquels votre organisation est exposée. Dans le cas contraire, le TPRM se transforme en un exercice "check-the-box". Les responsables des programmes de TPRM devront donc élargir la portée de leurs efforts afin d'inclure toutes les parties qui interagissent avec les vendeurs et les fournisseurs tiers.
Pourquoi une approche basée sur le cycle de vie ? Le cycle de vie des tiers englobe toutes les activités liées à un fournisseur, du berceau à la tombe - y compris l' intégration du fournisseur, la surveillance continue, la conformité, la gestion des risques et l' abandon du fournisseur- et chaque étape de ce cycle de vie présente ses propres risques. Chaque étape de ce cycle de vie présente ses propres risques. Différents personas et départements sont à l'origine de cette évolution, chacun ayant des besoins et des intérêts spécifiques.
En 2024, les achats devraient jouer un rôle plus important dans la gestion du cycle de vie des tiers. Les services juridiques automatiseront la détection des clauses et l'analyse comparative des conditions contractuelles avec les niveaux de service. La gestion des risques restera un acteur central, tandis que les opérations utiliseront des ensembles de données provenant de diverses sources pour améliorer la résilience opérationnelle et garantir la qualité.
Les audits vont persister, car les mandats de conformité et de réglementation deviennent de plus en plus complexes. La tendance à la gestion du cycle de vie des tiers impliquant divers secteurs d'activité se poursuivra.
Comme de plus en plus d'équipes sont impliquées dans la gestion du cycle de vie des tiers, les organisations chercheront à unifier un ensemble de risques informatiques et non informatiques dans des profils de fournisseurs centralisés. Cela permettra d'éliminer les îlots de données sur les risques liés aux tiers qui sont éparpillés dans l'entreprise et de transformer ces données en un modèle de risque complet qui est constamment mis à jour avec des informations internes et externes. Diverses équipes pourront alors puiser dans cette source faisant autorité pour améliorer la prise de décision opérationnelle tout au long de la relation vendeur/fournisseur.
En 2024, nous prévoyons un contenu d'évaluation diversifié - couvrant des domaines tels que la posture cyber , l'intelligence économique, les dossiers financiers, les événements géopolitiques, les certifications et les informations de tiers - afin d'améliorer la prise de décision. Ce champ d'application élargi reflète les divers intérêts des différents départements, en particulier les achats et le service juridique. On attend des fournisseurs qu'ils fournissent en permanence des informations plus complètes sur les certifications.
L'émergence d'informations géopolitiques et environnementales, basées sur la géographie, sera un élément important de la résilience opérationnelle. Bien qu'il puisse être difficile de suivre tous les sites localisés, les solutions de surveillance joueront un rôle crucial en aidant les organisations à comprendre les risques potentiels associés aux sites des fournisseurs.
100 tâches essentielles d'intégration et de désintoxication
Téléchargez la liste de contrôle ultime pour l'intégration et l'exclusion des tiers afin de comprendre les éléments essentiels et les tâches requises pour intégrer et exclure les vendeurs et les fournisseurs en toute sécurité.
Dans le prolongement de la prédiction précédente, l'exploitation d'un modèle de risque unifié, mis à jour en permanence, permettra aux organisations d'effectuer des analyses plus avancées et plus prédictives afin de mieux allouer les ressources et d'étendre efficacement les programmes.
En outre, l'analyse prédictive avancée dans le TPRM sera de plus en plus axée sur les personas. Les rapports répondront aux besoins des personas clés, tels que le RSSI, les chefs d'entreprise et le conseil d'administration. Ces rapports se concentreront sur les risques, les menaces externes, la conformité et la couverture. La maturation des programmes de TPRM conduira à une augmentation des scores de maturité, les outils et les capacités disponibles permettant aux organisations de s'engager plus efficacement avec les fournisseurs.
Une évolution notable sera l'inclusion d'informations comportementales dans les rapports. Ces données fourniront des informations précieuses sur les interactions avec les fournisseurs et les temps de réponse. Des modèles analytiques avancés aideront à prédire et à interpréter le comportement des utilisateurs, améliorant ainsi la qualité globale des programmes de TPRM.
Comme de plus en plus d'organisations acceptent des formes de diligence raisonnable autres que l'évaluation, telles que les rapports SOC 2, le besoin d'analyse automatisée de cette documentation entraînera une augmentation de la formation et de l'utilisation de modèles de traitement du langage naturel (NLP) ciblés.
Par conséquent, le NLP, une technologie en développement depuis plusieurs années, est sur le point de transformer le TPRM en 2024. Jusqu'à présent, il a été utilisé pour des recherches de base par mot-clé et pour l'analyse des sentiments. Cependant, le domaine est en train de mûrir et la PNL devient un outil puissant pour extraire, traduire et structurer les données des documents des fournisseurs. Les praticiens pourront utiliser ces données pour alimenter les évaluations et automatiser les actions, ce qui rendra la gestion de la relation client plus efficace et efficiente.
Le NLP jouera un rôle crucial dans l'extraction de données précieuses à partir de plusieurs types de documents, notamment les contrats, les rapports et les politiques. Il permettra d'identifier les défaillances de contrôle, de traduire les documents dans différentes langues et même d'évaluer le sentiment des politiques d'infosécurité, ce qui conduira à une prise de décision plus éclairée.
L'un des principaux avantages du NLP dans le TPRM est sa capacité à structurer les documents non structurés. Les données extraites de ces documents peuvent être normalisées et transformées en informations exploitables et en automatismes, ce qui les rend plus utiles et plus pratiques.
L'IA générative est appelée à devenir une partie intégrante du TPRM, mais il est important d'aborder cette technologie de manière réfléchie. Au fur et à mesure que les organisations se familiariseront avec l'IA générative, elles l'intégreront dans leurs programmes de TPRM.
Au fur et à mesure que la qualité et la cohérence de la gouvernance des données s'améliorent dans les modèles d'IA générative, les organisations surmonteront leur hésitation à utiliser la technologie pour des cas d'utilisation contrôlés spécifiques. Par exemple, l'IA générative aidera à automatiser les processus, à fournir des avis sur les tendances et à soutenir la cartographie des documents et la population d'évaluation. Ces capacités aideront les organisations à surmonter les pénuries continues de main-d'œuvre qualifiée et l'escalade des coûts.
Quel sera l'impact de l'IA sur votre programme de TPRM ?
Lisez notre rapport de 16 pages pour découvrir comment l'IA peut réduire les coûts de gestion des risques de tiers, ajouter de l'échelle et permettre une prise de décision plus rapide.
Les réglementations sont en constante évolution et, en 2024, nous pouvons nous attendre à des approches plus intelligentes et plus proactives pour les gérer. Les professionnels du TPRM exigeront une simplification dans l'application des nouvelles réglementations et des vérifications rétroactives automatisées par rapport aux données existantes pour garantir la conformité.
Pour simplifier la conformité de la gestion des risques tiers en 2024, les organisations chercheront à automatiser la collecte de données en utilisant une évaluation ciblée unique avec des correspondances de conformité intégrées aux exigences réglementaires communes.
Avec la complexité croissante des programmes de TPRM, l'intégration et la synchronisation entre les différents systèmes seront primordiales. Cela permettra de rationaliser les flux de travail et de s'assurer que les données sont efficacement partagées entre les différents domaines de l'entreprise. Attendez-vous à une demande croissante d'intégrations entre systèmes adjacents en 2024, tels que les plateformes GRC, les systèmes d'approvisionnement et les outils de reporting. Il s'agira en particulier d'identifier des enregistrements centralisés de la " vérité " des fournisseurs, qui se répercuteront tout au long du cycle de vie et enrichiront la prise de décision entre les équipes (voir la prédiction n° 3).
La surveillance continue des risques liés aux tiers occupera le devant de la scène en 2024, en raison de la nécessité de disposer d'informations en temps réel sur les violations et les problèmes liés aux fournisseurs. La collecte quotidienne de données provenant de diverses sources fournira une mine d'informations, conduisant à une analyse plus avancée des données TPRM, et à une prise de décision plus efficace et de meilleure qualité. La demande du conseil d'administration et des dirigeants pour des réponses plus proactives aux événements localisés et aux vulnérabilités de type "zero-day" sera en grande partie à l'origine de ces efforts.
L'époque où l'on évaluait chaque fournisseur d'un écosystème massif est révolue. Le TPRM deviendra plus pragmatique, se concentrant sur les fournisseurs critiques et les principaux risques de concentration. Les évaluations de tierces parties seront ciblées et efficaces, et se concentreront sur les politiques de protection de la vie privée et la gestion des risques. Cette tendance résulte de la reconnaissance du fait que tous les tiers - et tous les risques liés aux tiers - ne sont pas égaux. Et les équipes sont trop sollicitées pour tout gérer de la même manière. Il faut s'attendre à une augmentation du profilage et de la hiérarchisation des fournisseurs afin d'assurer une gestion plus pragmatique de ces derniers.
Il est essentiel de comprendre le contexte des relations avec les fournisseurs. La collecte de données au cours du cycle d'approvisionnement sera déterminante pour fournir un contexte au TPRM. Cela permettra de prendre des décisions plus éclairées, de dimensionner correctement les populations de fournisseurs et d'établir des tableaux de bord et des rapports basés sur des personas. Les équipes devront également collaborer à l'examen et à l'analyse des risques. En 2024, l'automatisation du cycle de vie des tiers soutiendra la collecte et la structuration du profilage des fournisseurs, car des flux de travail définitifs seront établis sur la base du contexte ainsi fourni.
À l'horizon 2024, la gestion des risques de tiers devrait connaître une évolution significative. L'intégration du NLP et de l'IA générative, ainsi qu'une gestion plus intelligente de la réglementation, des capacités continues et un accent mis sur le contexte, amélioreront l'efficacité et l'efficience des programmes de TPRM. En adoptant ces innovations et ces tendances, les organisations peuvent garder une longueur d'avance dans la gestion efficace des risques de tiers et s'adapter à l'évolution du paysage des partenariats commerciaux et des exigences réglementaires.
Pour en savoir plus sur la façon dont Prevalent peut vous aider à faire évoluer votre programme TPRM, demandez une démonstration dès aujourd'hui.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024