La cybersécurité n'est que la pointe de l'iceberg pour la gestion des risques liés aux tiers

Selon le site Prevalent, la plupart des entreprises passent à côté de risques clés à plus d'une étape du cycle de vie des risques liés aux fournisseurs, mais peu d'entre elles étendent leurs programmes TPRM pour y remédier.
21 avril 2021
Logo du réseau d'aide à l'information

Note de l'éditeur : Cet article a été initialement publié sur HelpNetSecurity.com.

Accent accru sur le risque de tiers en raison de COVID-19

COVID-19 a été le plus grand événement de 2020, augmentant l'attention organisationnelle sur la gestion des risques liés aux tiers pour 83% des entreprises. Pourtant, seuls 40 % des répondants à l'étude déclarent avoir étendu leurs programmes TPRM en conséquence.

Plus inquiétant encore, 44 % des entreprises déclarent ne pas suivre activement les risques liés à la chaîne d'approvisionnement, qui constituent le principal impact de la gestion des risques liés à la pandémie sur les tiers.

Peu d'entreprises suivent activement les risques de réputation non liés à la cybersécurité.

Étant donné que les équipes chargées de l'informatique et de la sécurité sont responsables de la gestion des risques liés aux tiers dans 50 % des entreprises, et probablement en raison du nombre croissant de violations de données dommageables pour les tiers, l'étude montre que les risques de cybersécurité font l'objet de la plus grande attention.

Cependant, les répondants à l'étude admettent qu'ils devraient suivre les risques tels que les accords de niveau de service et les performances (47%), les risques géopolitiques (47%), les normes de travail (45%), les risques environnementaux (45%), les risques liés aux droits de l'homme, à la traite des êtres humains et à l'esclavage (40%), et les risques liés à l'ABAC (39%). Ne pas suivre ces types de risques peut exposer une organisation à des atteintes à sa réputation.

Pas assez de diligence raisonnable avant le contrat pour identifier les risques potentiels liés aux fournisseurs.

Plus de 50 % des personnes interrogées ont indiqué que le plus grand défi auquel elles sont confrontées dans la gestion des risques liés aux tiers est de ne pas avoir suffisamment de diligence raisonnable avant le contrat pour identifier les risques potentiels liés aux fournisseurs.

Plus alarmant encore, 59 % indiquent qu'ils n'évaluent pas activement les risques liés aux tiers au cours de l'étape d'intégration du cycle de vie du fournisseur. Les organisations passent à côté de risques critiques à plusieurs étapes du cycle de vie des tiers.

Équipes chargées des achats et programmes TPRM

55 % des organisations ont constaté une augmentation de la prise en charge de la gestion des risques liés aux tiers par la sécurité au cours de l'année écoulée, mais seulement 22 % des entreprises constatent une augmentation de la prise en charge par les équipes chargées des achats, ce qui signifie que les risques ESG, ABAC et financiers importants dont ces équipes ont généralement besoin pour évaluer correctement les fournisseurs ne reçoivent peut-être pas l'attention nécessaire.

Les entreprises ne sont pas satisfaites des feuilles de calcul

42% des répondants ont déclaré évaluer leurs tiers à l'aide de questionnaires basés sur des feuilles de calcul et 65% de ces répondants sont soit insatisfaits soit neutres par rapport à cette approche.

"L'année dernière, l'attention s'est portée encore davantage sur les risques associés aux fournisseurs et partenaires tiers, en particulier dans la chaîne d'approvisionnement, a déclaré Brenda Ferraro, vice-présidente de la gestion des risques liés aux tiers pour le compte de la Commission européenne. Prevalent.

"Et les menaces que ces fournisseurs et partenaires font peser sur une organisation vont bien au-delà de la cybersécurité et de la confidentialité des données. Les entreprises doivent commencer à réfléchir aux risques sous-jacents sous la surface, tels que les risques environnementaux, sociaux et de gouvernance (ESG), la lutte contre la corruption (ABAC) et la performance des accords de niveau de service. Un programme TPRM réussi doit aller au-delà des risques traditionnels de cybersécurité et impliquer plusieurs départements de l'entreprise. Ensemble, ces équipes assureront la sécurité des clients, des employés et des partenaires."

Les équipes chargées de la sécurité informatique et des affaires doivent collaborer

Les résultats de cette étude démontrent que les équipes de sécurité informatique et les équipes commerciales doivent collaborer plus étroitement pour identifier et atténuer davantage de types de risques à toutes les étapes du cycle de vie des tiers. Le rapport se termine par les recommandations suivantes visant à unifier la sécurité informatique et l'entreprise pour obtenir de meilleurs résultats de l'intégration à l'exclusion:

  • Étendre les évaluations au-delà de la cybersécurité pour inclure la réputation et les informations financières du fournisseur, ce qui permet de créer un profil de risque plus global pour le fournisseur.
  • Combler le fossé entre l'entreprise et l'informatique grâce à une stratégie unifiée de gestion des risques à l'échelle de l'organisation.
  • Gérer les risques à chaque étape du cycle de vie des tiers, en commençant par un contrôle préalable plus complet avant le contrat et en terminant par l'exclusion sécurisée du fournisseur.
  • Confiez les tâches fastidieuses à des experts, afin que votre équipe puisse se concentrer sur l'élimination et la gestion des risques.