Note de la rédaction : Cet article, rédigé par Brenda Ferraro, Prevalent VP of Third-Party Risk, a été initialement publié sur CPOMagazine.com.
Le cabinet d'analystes Gartner a récemment publié son enquête 2020 sur les conseils d'administration, dans laquelle il prévoit que 40 % des conseils d'administration des entreprises disposeront d'un comité dédié à la cybersécurité d'ici 2025, contre 10 % aujourd'hui, ce qui est étonnamment faible. Cette croissance s'explique par l'augmentation des risques liés à l'expansion de l'empreinte numérique, les organisations accélérant leur transformation numérique à la suite de la pandémie.
Le rapport poursuit en indiquant que les risques liés à la cybersécurité se classent au deuxième rang, derrière les risques de conformité réglementaire, en termes d'importance pour les conseils d'administration. Toutefois, étant donné que 63 % des violations (comme celle de SolarWinds) sont attribuées à des tiers et que les défaillances de la chaîne d'approvisionnement ont des répercussions de plus en plus étendues, les conseils d'administration des entreprises seraient bien avisés de s'assurer que l'attention accrue qu'ils portent aux questions de cybersécurité inclut le risque de faire des affaires avec des tiers.
Voici trois considérations que les responsables de la sécurité devraient prendre en compte lorsqu'ils élargissent la portée de leurs programmes de cybersécurité pour y intégrer la gestion des risques par des tiers.
Améliorer la diligence raisonnable des tiers avant les contrats
L'évaluation des risques que les tiers apportent à votre entreprise ne doit pas commencer une fois que vous avez signé le contrat. Au contraire, les équipes chargées de la sécurité et des achats devraient examiner les risques connus chez les fournisseurs potentiels pendant la phase de recherche et de sélection des fournisseurs. Malheureusement, seules 31 % des entreprises effectuent un contrôle préalable approfondi avant la signature du contrat, ce qui indique qu'il reste beaucoup de chemin à parcourir pour surmonter cet obstacle. Alors que les équipes de sécurité (et d'ailleurs leurs partenaires d'approvisionnement) examinent comment améliorer la diligence raisonnable précontractuelle, prenez en compte les meilleures pratiques suivantes :
- Recherchez des bibliothèques de profils de risque complétés pour accélérer la comparaison des fournisseurs. Les profils de risque sont généralement remplis par les fournisseurs à l'aide d'un questionnaire standard et accepté par le secteur (ce qui facilite la comparaison des fournisseurs), puis partagés au sein d'un réseau que les entreprises peuvent consulter si elles envisagent de les évaluer. Comme les questionnaires ont tendance à être remplis chaque année, il est important de les compléter par des scores de risque de cybersécurité en temps réel afin de saisir les mises à jour importantes.
- Étendre l'analyse précontractuelle au-delà des domaines traditionnels de la cybersécurité. Cela peut sembler contre-intuitif pour les professionnels de la cybersécurité, mais il existe de nombreux indicateurs qui montrent qu'une entreprise peut présenter un risque de cybersécurité si elle affiche certaines tendances en matière de performances commerciales ou financières. Par exemple, un dépôt de dossier réglementaire contre une entreprise peut indiquer un relâchement des contrôles de cybersécurité. Ou encore, des objectifs de revenus non atteints peuvent indiquer des réductions de personnel (ce qui peut entraîner des risques d'initiés).
- Une fois qu'une décision a été prise concernant un fournisseur et qu'il a été intégré, mettez en place un système d'évaluation des risques inhérents afin d'avoir une idée des risques non traités et de pouvoir classer ces fournisseurs en conséquence et définir les niveaux de diligence appropriés pour l'avenir.
Évaluer et surveiller les tiers en permanence
La gestion des risques liés aux tiers ne peut être une tâche ponctuelle. Il doit s'agir d'un processus continu intégré à l'ADN du risque de l'entreprise. Cependant, la plupart des organisations peuvent facilement s'embrouiller dans l'évaluation des risques liés aux fournisseurs, puisque la moitié d'entre elles utilisent encore des feuilles de calcul manuelles pour gérer leurs fournisseurs, et que 34 % affirment qu'il faut plus d'un mois pour réaliser l'évaluation d'un fournisseur de premier plan. Cette approche traditionnelle d'évaluation annuelle statique doit céder la place à un processus plus dynamique qui intègre des mesures de risque en temps réel. L'agilité doit être à l'ordre du jour dans l'évaluation des tiers. Pour y parvenir, les responsables de la sécurité doivent envisager
- Des options complètes pour évaluer les fournisseurs. Un seul questionnaire rigide ne répondra probablement pas aux exigences de l'évaluation d'une base de fournisseurs diversifiée. C'est pourquoi il est important de s'appuyer sur plusieurs types de questionnaires qui répondent à une myriade d'exigences de conformité, ou sur un questionnaire central automatisé qui associe de manière flexible les résultats à un nombre quelconque de réglementations. Les équipes de sécurité pourront ainsi répondre à de multiples exigences en matière d'audit interne et de rapports externes beaucoup plus rapidement qu'avec leurs méthodes manuelles actuelles.
- Élargir la portée des évaluations pour inclure des domaines tels que la marque, les informations opérationnelles, la gouvernance environnementale et sociale (ESG), la réputation et les informations financières. Les risques de cybersécurité sont à juste titre prioritaires dans l'évaluation des tiers, mais le fait de travailler régulièrement dans d'autres domaines permet d'obtenir une image beaucoup plus complète des fournisseurs et démontre que votre entreprise prend les risques au sérieux.
- Corrélation entre les résultats des évaluations et le suivi en temps réel de cyber . Il peut se passer beaucoup de choses entre deux évaluations. Et s'il est assez facile d'utiliser plusieurs outils différents pour obtenir une vue d'ensemble des risques liés aux fournisseurs, la véritable valeur réside dans la combinaison et la normalisation des résultats pour valider les contrôles mentionnés par les fournisseurs dans leurs évaluations. Une fois cette validation effectuée, vous pouvez alors déclencher des actions supplémentaires - comme l'envoi d'une évaluation complémentaire - pour approfondir les conclusions avec votre tiers. Cette boucle continue permet un traitement des risques beaucoup plus complet.
Unifier les équipes cloisonnées grâce à des rapports tiers sur les indicateurs clés de performance (KPI) et les indicateurs clés de performance (KRI).
Pour réduire efficacement les risques liés aux fournisseurs, il faut comprendre comment ces derniers se comportent par rapport aux attentes, tant en matière de sécurité que de performances. Cependant, le suivi des mesures de cybersécurité et des performances des fournisseurs se fait généralement en vase clos entre les équipes de sécurité et d'approvisionnement, ce qui constitue une pierre d'achoppement commune. L'unification de ces équipes à l'aide d'une source unique de vérité offrira la visibilité nécessaire pour gérer et suivre les performances de sécurité tout au long du cycle de vie du fournisseur. Considérez les meilleures pratiques de reporting suivantes :
- Permettez aux fournisseurs de soumettre des mises à jour de manière proactive. Les notifications d'événements liés à des violations de données, par exemple, permettront à l'équipe d'ajuster dynamiquement les scores de risque des fournisseurs en fonction des résultats et pourront alimenter les discussions régulières sur les KRI et la réponse aux incidents.
- Fournir un tableau de bord centralisé qui comprend le statut du contrat du fournisseur, les informations de contact, le statut de risque et de conformité, et les mesures de performance pour permettre à l'équipe de suivre la résolution des problèmes tout au long du processus de remédiation afin de montrer les progrès de la réduction des risques au fil du temps et de faire des rapports par rapport aux KPI.
- Produire des rapports spécifiques aux parties prenantes. En quelques clics, vous devriez être en mesure de produire des rapports pour tout le monde, de l'analyste de sécurité informatique qui évalue un fournisseur au membre du conseil d'administration qui évalue le paysage global des risques. Pour les équipes de sécurité, cela signifie disposer de la flexibilité nécessaire pour signaler les valeurs aberrantes justifiant une enquête plus approfondie ou un changement de score. Pour le conseil d'administration, cela signifie visualiser le statut de conformité et de risque par rapport aux cadres réglementaires et industriels.
Alors que de plus en plus de conseils d'administration mettent en place des comités dédiés à la cybersécurité, il sera essentiel de veiller à ce que le risque lié aux tiers soit au centre des préoccupations de cette équipe. Pour améliorer la visibilité des risques liés aux tiers, il est recommandé aux équipes de sécurité d'effectuer des vérifications préalables plus approfondies afin de prévenir les risques avant qu'ils n'aient un impact sur l'entreprise, d'évaluer et de surveiller en temps réel les risques et d'unifier les équipes disparates par le biais de rapports.
Ferraro, Brenda. "3 façons d'améliorer la concentration du conseil d'administration sur la gestion des risques liés aux tiers". CPO Magazine, 9 mars, 2021 https://www.cpomagazine.com/cy...