Demandez une démo

3 façons dont l'IA peut résoudre les problèmes de risques liés aux vendeurs et aux fournisseurs tiers

Bien que l'intelligence artificielle (IA) existe depuis un certain temps, l'adoption et l'évolution des technologies liées à l'IA ont progressé de manière spectaculaire au cours de l'année écoulée.
17 novembre 2023
Logo du magazine sur la sécurité

Note de l'éditeur : Cet article, rédigé par Brad HibbertPrevalent , directeur des opérations et de la stratégie, a été publié à l'origine sur securitymagazine.com.

Bien que l'intelligence artificielle (IA) existe depuis un certain temps, l'adoption et l'évolution des technologies liées à l'IA ont progressé de manière spectaculaire au cours de l'année écoulée. L'un des domaines qui semble prêt à bénéficier de l'IA est la gestion des risques liés aux tiers - c'est-à-dire si l'IA peut offrir aux organisations un moyen plus facile de gérer les risques liés aux vendeurs et aux fournisseurs tiers et d'assurer la conformité avec un paysage réglementaire complexe.

Tiers : Opportunités et défis

Les organisations font de plus en plus appel à des tiers pour la fourniture d'un large éventail de biens et de services, car c'est beaucoup plus efficace et rentable que de tout produire en interne. Malheureusement, cette pratique accroît également les risques liés aux vendeurs et aux fournisseurs. En raison de la complexité des chaînes d'approvisionnement mondiales, il est extrêmement difficile d'avoir une visibilité claire sur les pratiques de sécurité et de gestion des risques d'un nombre croissant de tiers. Et comment les professionnels de la sécurité peuvent-ils atténuer les risques pour lesquels ils n'ont aucune visibilité ? C'est une tâche difficile mais importante, car cyber les criminels s'attaquent de plus en plus aux tiers de la chaîne d'approvisionnement pour voler des données sensibles et perturber les opérations.

Les menaces émanant de tiers devenant de plus en plus sophistiquées, les entreprises mettent plus de temps à détecter les risques liés aux tiers et à y remédier. Trois raisons principales expliquent cette évolution :

  • Le volume des données du site cyber ne cesse d'augmenter et provient d'un nombre croissant de sources. L'analyse et l'examen de ces vastes quantités de données nécessitent plus de temps et d'efforts.
  • Les processus d'analyse nécessitent divers types de documentation, en fonction du service qui gère le fournisseur et des risques qu'il souhaite gérer. Les risques peuvent être financiers, opérationnels, de conformité, de réputation ou liés aux technologies de l'information, ce qui élargit considérablement le type de documentation - et d'expertise - nécessaire à l'analyse.
  • Les exigences réglementaires peuvent se chevaucher ou manquer de clarté, mais elles sont aussi de plus en plus rigoureuses, ce qui complique l'assainissement et l'établissement de rapports.

La gestion des risques liés aux tiers se trouve aujourd'hui à un point critique. Alors que de nombreuses organisations continuent de faire face à des problèmes de budget et de ressources, comment les responsables de la sécurité peuvent-ils encore apporter les améliorations nécessaires à l'efficacité de leurs programmes de gestion des risques liés aux tiers (TPRM) ? Il est essentiel de le faire si l'on veut réduire le risque de violation, minimiser les impacts commerciaux potentiels et protéger la réputation de l'organisation.

L'IA peut-elle rationaliser les processus de gestion des risques des tiers ?

L'IA pourrait être la réponse. Voici trois façons spécifiques dont l'IA peut améliorer les défis des vendeurs et des fournisseurs en matière de risque de tierce partie.

1. Automatiser la collecte et l'analyse de données sur les risques provenant d'un large éventail de sources - L'IA peut automatiser la collecte et l'analyse de données provenant d'un large éventail de sources, telles que les états financiers, les journaux de sécurité et les certifications de sécurité. L'IA peut ensuite prédire les risques futurs sur la base des données historiques de ces artefacts et des tendances actuelles. Cela permet de réduire le temps et les efforts nécessaires à la gestion des risques liés aux tiers et d'améliorer la qualité de la prise de décision.

2. Fournir un contexte pour simplifier l'analyse des risques et les rapports de conformité - Le respect d'un ensemble complexe de réglementations peut constituer un défi de taille pour les équipes de conformité et d'audit, qui manquent souvent d'indications claires sur la manière de traiter les risques. Souvent, les processus identifiés pour valider les contrôles sont également incohérents, ce qui complique encore le processus. Alors que l'analyse et le traitement d'énormes quantités de données prennent du temps (et sont ennuyeux) pour les humains, des systèmes d'IA correctement formés peuvent analyser automatiquement de vastes quantités de données sur les risques pour fournir un contexte et identifier des modèles et des tendances. Une solution d'IA permet aux équipes de conformité et d'audit d'évaluer plus facilement les risques et les contrôles et de générer des conseils et des recommandations de remédiation.

3. Automatiser les tâches manuelles pour aider les gestionnaires de risques à être plus proactifs - Les gestionnaires de risques passent traditionnellement un temps considérable à parcourir des feuilles de calcul, à saisir manuellement des données et à produire des rapports. Il est donc difficile d'élaborer des stratégies, d'analyser les risques émergents et de s'engager dans une planification à long terme. L'IA recueille et analyse les données historiques et les tendances actuelles, ce qui lui permet de prédire les risques futurs. Les professionnels de la sécurité deviennent ainsi plus proactifs, car ils disposent du temps nécessaire pour prévoir, évaluer et atténuer les risques susceptibles de menacer les objectifs de l'organisation. Il en résulte des décisions plus rapides, plus précises et fondées sur des données concernant les risques liés aux vendeurs et fournisseurs tiers.

Ce qu'il faut rechercher dans un TPRM d'IA

Au cours de l'année écoulée, il est apparu clairement que l'IA, en particulier les grands modèles de langage (LLM) qui ont fait la une de l'actualité, n'apporte pas nécessairement une solution parfaite à tous les problèmes. Les organisations qui exploitent les outils d'IA doivent être conscientes de certains risques potentiels et s'assurer qu'ils sont pris en compte.

  • Qu'elle provienne d'anomalies statistiques, d'une mauvaise entrée ou de données de modèle d'apprentissage mal adaptées, l'IA peut fournir une interprétation invalide comme un fait (et le faire avec confiance). C'est ce qu'on appelle l'hallucination. Pour faire face à ce risque, les solutions d'IA TPRM doivent garantir que les données utilisées pour former le modèle sont basées sur de véritables données de risque de tiers - elles doivent être précises, diversifiées et représentatives des scénarios du monde réel. Ces solutions doivent continuellement affiner leurs modèles pour s'assurer qu'ils continuent à s'améliorer en apprenant le contexte et les nuances propres au risque de tiers.
  • Lorsque les systèmes d'IA sont construits à partir de données de modèles d'apprentissage biaisés, les réponses seront inévitablement également biaisées. Les biais peuvent être difficiles à détecter, c'est pourquoi il est essentiel d'utiliser des données d'apprentissage diversifiées et représentatives de la population réelle. Il est essentiel de mettre à jour et de réentraîner en permanence les modèles d'IA afin d'intégrer de nouvelles données et d'atténuer les biais potentiels. Les réviseurs humains sont un moyen important d'identifier les biais dans le contenu et les décisions générés par l'IA et d'évaluer la performance de la solution, ce qui signifie que les fournisseurs de solutions doivent effectuer des audits réguliers de ces modèles d'IA.
  • Il est important de se rappeler que l'introduction de données propriétaires dans des LLM tiers n'est pas une bonne idée, car les données peuvent alors être partagées en dehors de l'organisation. De même, les solutions LLM peuvent intégrer des entrées dans leurs modèles de données, ce qui permet des requêtes ultérieures sur ces données, qui peuvent être confidentielles. Pour empêcher tout accès non autorisé, les données sensibles doivent être cryptées à la fois au repos et en transit afin de les protéger contre de telles requêtes. Si l'on utilise l'IA pour traiter certaines tâches de TPRM, la solution doit intégrer des contrôles d'accès et des mécanismes d'autorisation solides afin d'empêcher les personnes ou les systèmes non autorisés d'accéder aux données et de les manipuler.

La gestion des vendeurs et fournisseurs tiers a toujours été un aspect difficile de la gestion des risques. De la diligence raisonnable aux contrôles de conformité en passant par la surveillance continue, les gestionnaires de risques sont submergés par les demandes de temps et d'attention. Une solution d'IA correctement formée et entretenue pour le TPRM peut automatiser les tâches de routine et fournir des outils analytiques avancés pour permettre aux gestionnaires de risques de se concentrer sur des activités stratégiques qui profitent à l'entreprise dans son ensemble.