Note de l'éditeur : Cet article a été initialement publié sur HelpNetSecurity.com.
COVID-19 a été le plus grand événement de 2020, augmentant l'attention organisationnelle sur la gestion des risques liés aux tiers pour 83% des entreprises. Pourtant, seuls 40 % des répondants à l'étude déclarent avoir étendu leurs programmes TPRM en conséquence.
Plus inquiétant encore, 44 % des entreprises déclarent ne pas suivre activement les risques liés à la chaîne d'approvisionnement, qui constituent le principal impact de la gestion des risques liés à la pandémie sur les tiers.
Étant donné que les équipes chargées de l'informatique et de la sécurité sont responsables de la gestion des risques liés aux tiers dans 50 % des entreprises, et probablement en raison du nombre croissant de violations de données dommageables pour les tiers, l'étude montre que les risques de cybersécurité font l'objet de la plus grande attention.
Cependant, les répondants à l'étude admettent qu'ils devraient suivre les risques tels que les accords de niveau de service et les performances (47%), les risques géopolitiques (47%), les normes de travail (45%), les risques environnementaux (45%), les risques liés aux droits de l'homme, à la traite des êtres humains et à l'esclavage (40%), et les risques liés à l'ABAC (39%). Ne pas suivre ces types de risques peut exposer une organisation à des atteintes à sa réputation.
Plus de 50 % des personnes interrogées ont indiqué que le plus grand défi auquel elles sont confrontées dans la gestion des risques liés aux tiers est de ne pas avoir suffisamment de diligence raisonnable avant le contrat pour identifier les risques potentiels liés aux fournisseurs.
Plus alarmant encore, 59 % indiquent qu'ils n'évaluent pas activement les risques liés aux tiers au cours de l'étape d'intégration du cycle de vie du fournisseur. Les organisations passent à côté de risques critiques à plusieurs étapes du cycle de vie des tiers.
55 % des organisations ont constaté une augmentation de la prise en charge de la gestion des risques liés aux tiers par la sécurité au cours de l'année écoulée, mais seulement 22 % des entreprises constatent une augmentation de la prise en charge par les équipes chargées des achats, ce qui signifie que les risques ESG, ABAC et financiers importants dont ces équipes ont généralement besoin pour évaluer correctement les fournisseurs ne reçoivent peut-être pas l'attention nécessaire.
42% des répondants ont déclaré évaluer leurs tiers à l'aide de questionnaires basés sur des feuilles de calcul et 65% de ces répondants sont soit insatisfaits soit neutres par rapport à cette approche.
"L'année dernière, l'attention s'est portée encore davantage sur les risques associés aux fournisseurs et partenaires tiers, en particulier dans la chaîne d'approvisionnement, a déclaré Brenda Ferraro, vice-présidente de la gestion des risques liés aux tiers pour le compte de la Commission européenne. Prevalent.
"Et les menaces que ces fournisseurs et partenaires font peser sur une organisation vont bien au-delà de la cybersécurité et de la confidentialité des données. Les entreprises doivent commencer à réfléchir aux risques sous-jacents sous la surface, tels que les risques environnementaux, sociaux et de gouvernance (ESG), la lutte contre la corruption (ABAC) et la performance des accords de niveau de service. Un programme TPRM réussi doit aller au-delà des risques traditionnels de cybersécurité et impliquer plusieurs départements de l'entreprise. Ensemble, ces équipes assureront la sécurité des clients, des employés et des partenaires."
Les résultats de cette étude démontrent que les équipes de sécurité informatique et les équipes commerciales doivent collaborer plus étroitement pour identifier et atténuer davantage de types de risques à toutes les étapes du cycle de vie des tiers. Le rapport se termine par les recommandations suivantes visant à unifier la sécurité informatique et l'entreprise pour obtenir de meilleurs résultats de l'intégration à l'exclusion: