Réflexions du 4ème sommet annuel TPRM & Oversight - Le partage et la collaboration doivent s'accélérer si nous voulons réduire les risques liés aux fournisseurs.

Le 4e sommet annuel de Compliance Week a été une excellente occasion de rencontrer des collègues de la gestion des risques liés aux tiers et de partager des idées sur les nouvelles tendances et les nouveaux défis. Il y a certainement une foule de nouvelles questions à prendre en compte, notamment la sous-traitance des fournisseurs (quatrième partie), l'IoT et les nouvelles réglementations sur la confidentialité des données. Cependant, ce que j'ai retenu de plus intéressant n'est pas ce qui est nouveau, mais ce qui n'a pas changé.

L'efficacité (et donc la normalisation) fait encore défaut.

En discutant avec d'autres personnes qui participent activement à TPRM depuis plus de dix ans, nous avons tous été frappés par la faiblesse de cette pratique. Jusqu'à récemment, nous recueillions encore les diligences des fournisseurs de la même manière qu'en 2004 - des questionnaires envoyés aux fournisseurs par e-mail, puis examinés et analysés manuellement, avec peu de rapports centraux. Étant donné qu'environ 50 % du temps nécessaire à l'évaluation des fournisseurs est consacré à l'envoi, à la collecte et à la vérification des questionnaires, pourquoi n'avons-nous pas travaillé, en tant que groupe, pour créer une plus grande efficacité ? L'utilisation de questionnaires standardisés (comme le SIG Évaluations partagées) aide certainement par la normalisation, mais nous devons vraiment faire plus.

La collaboration au sein des industries progresse...

Le bulletin de OCC(OCC 2020-10) fait spécifiquement référence aux actions que nous devrions entreprendre. La section 4 de leurs directives encourage spécifiquement les entreprises qui partagent des fournisseurs pour des services similaires, à collaborer sur le processus de diligence raisonnable d'évaluation. En fait, les orientations vont jusqu'à affirmer que la collaboration est un "outil utile" pour aider les banques à s'acquitter de leurs responsabilités en matière de gestion du risque lié aux fournisseurs en vertu de OCC 2013-29. Ces "outils utiles" comprennent l'utilisation d'un processus standard pour "effectuer une diligence raisonnable et une surveillance continue" des contrôles de sécurité des fournisseurs. Tant que chaque banque individuelle effectue sa propre analyse et tire ses propres conclusions sur le risque, le site OCC nous encourage à collaborer sur le processus de diligence raisonnable et de surveillance des menaces.

Prevalent est à l'avant-garde de ces efforts depuis plusieurs années. Des cabinets d'avocats de premier plan nous ont demandé de concevoir et de gérer un réseau qui recueille et partage les évaluations des fournisseurs et la surveillance des menaces pour les fournisseurs de common law et nous avons donc développé le premier réseau partagé d'évaluation de la diligence raisonnable. Ce réseau a permis de réduire considérablement les coûts et les délais d'évaluation des fournisseurs. Nous gérons désormais un réseau similaire pour le H-ISAC (fournisseurs de soins de santé).

... mais les organisations doivent comprendre que leurs exigences sont plus similaires que différentes.

Les opposants aux réseaux de partage des risques entre fournisseurs affirment que leurs contrôles de sécurité sont en quelque sorte différents de ceux de tous les autres et que le partage ne fonctionnera pas. Mais le sont-ils vraiment ? La plupart d'entre nous ne s'en remettent-ils pas au cadre de cybersécurité du NIST ? Nos normes de mot de passe et nos exigences en matière d'authentification multifactorielle sont-elles vraiment propres à notre entreprise ? Ne sommes-nous pas tous soumis aux mêmes exigences réglementaires ? En plus des exigences réglementaires sectorielles, nous sommes désormais soumis à une réglementation basée sur les données que nous collectons(GDPR, CCPA, etc.). Je dirais qu'en considérant les exigences réglementaires, 75 % des contrôles de sécurité que nous exigeons tous de nos fournisseurs fournissant des services similaires sont les mêmes.

Alors, qu'attendons-nous ? Récupérons tous une partie de ces 50 % du temps que nous consacrons à des activités non qualifiées et concentrons-nous sur le partage des risques liés aux fournisseurs. Si vous êtes d'accord, contactez-nous dès aujourd'hui et nous organiserons une brève démonstration ou une séance de stratégie.