Note de l'éditeur : Cet article a été initialement publié sur www.helpnetsecurity.com.
Selon une étude récente,COVID-19 a permis à 83 % des entreprises de se concentrer davantage sur la gestion des risques liés aux tiers (TPRM). Pourtant, seulement 40% des organisations déclarent avoir étendu leurs programmes TPRM en conséquence.
Plus inquiétant encore, 44 % des entreprises déclarent ne pas suivre activement les risques liés à la chaîne d'approvisionnement, qui constituent le principal impact de la gestion des risques liés à la pandémie sur les tiers.
Pour choisir une solution de gestion des risques par des tiers adaptée à votre entreprise, vous devez tenir compte d'un certain nombre de facteurs. Nous nous sommes entretenus avec des professionnels du secteur pour connaître leur point de vue sur le sujet.
Les organisations s'appuient sur un nombre toujours plus important de tiers externes pour la fourniture de services et de supports clés. Dans le même temps, les risques de la chaîne d'approvisionnement n'ont jamais été aussi périlleux, avec des risques croissants dans les domaines de la cybersécurité, des pots-de-vin et de la corruption, de la finance, de la géopolitique, etc.
Les entreprises doivent rechercher une solution capable de gérer le volume de données et la complexité associés en automatisant les tâches nécessaires pour fournir une vision holistique du risque pour l'entreprise - une solution qui soutiendra le programme TPRM actuel de l'organisation mais qui lui permettra également d'évoluer dans le temps en fonction des besoins futurs.
Les solutions de nouvelle génération qui intègrent l'IA et le traitement du langage naturel (NLP) peuvent réduire les coûts de main-d'œuvre liés à l'audit préalable et diminuer considérablement le temps consacré aux tâches manuelles. L'IA est capable de traiter et d'évaluer des données non structurées, ce qui permet à ces solutions d'extraire des données de questionnaires, de documents de preuve et de sources de données externes (financières, cyber, listes) et de les transformer en informations exploitables sur l'exposition de l'organisation potentielle aux risques liés aux services, aux quatrièmes parties, aux personnes, aux lieux et à d'autres risques. Ces solutions évolutives permettent une véritable surveillance automatisée et continue à partir de n'importe quelle source de données et offrent une visibilité maximale du risque en temps réel.
Pour relever les défis actuels en matière de cybersécurité, qui se développent rapidement, il faut aller au-delà des évaluations annuelles ponctuelles de la sécurité, qui n'incluent pas une diligence adéquate avant ou après le contrat, et qui ne tiennent pas compte de l'évolution des politiques d'entreprise, notamment en matière de gouvernance environnementale et sociale, d'éthique et de diversité. Les organisations doivent développer des programmes TPRM complets pour se conformer aux réglementations et renforcer les contrôles de sécurité informatique.
Les organisations doivent rechercher des solutions dotées d'une intelligence intégrée qui automatise et harmonise les évaluations afin de répondre aux besoins de diverses équipes, notamment celles chargées de la sécurité, des achats, des affaires juridiques et de la conformité. Les problèmes de sécurité, de conformité et d'exploitation peuvent se développer à tout moment au cours d'une relation avec un vendeur ou un fournisseur, il est donc important de traiter le risque à chaque étape du cycle de vie du tiers. Les fournisseurs doivent être capables d'unifier et de normaliser les données de surveillance pour les mettre en corrélation avec les résultats de l'évaluation des risques.
Pour les organisations qui ne disposent pas des ressources ou des compétences nécessaires pour faire évoluer leurs programmes TPRM, elles doivent examiner les fournisseurs avec des experts TPRM qui peuvent gérer le cycle de vie des fournisseurs en leur nom - depuis l'intégration des fournisseurs et la collecte des preuves, jusqu'à l'examen des évaluations pour vérifier leur exhaustivité, l'identification des risques et la fourniture de conseils de remédiation. Il est essentiel pour les organisations de disposer d'une solution flexible qui leur permette de faire évoluer et de faire mûrir leurs programmes tiers au fil du temps.
La première question à se poser lorsqu'on envisage une solution TPRM est de savoir ce que l'on cherche à accomplir. Si vous cherchez simplement à obtenir une vue rapide et de haut niveau du paysage, certains outils d'évaluation des risques peuvent être utiles et nécessitent relativement peu de travail pour être mis en place.
À l'autre bout du spectre, si vous avez un petit groupe de fournisseurs avec des contrôles très spécifiques que vous souhaitez examiner, il existe des outils pour vous aider à personnaliser un questionnaire et à collecter ces données. Cela demande beaucoup plus de travail, mais permet d'obtenir une solution entièrement personnalisée.
La majorité des entreprises recherchent quelque chose entre les deux. Une solution évolutive pour couvrir leur écosystème, mais suffisamment détaillée pour gérer efficacement les risques. Pour ce faire, elles utilisent généralement l'un des nouveaux utilitaires de gestion des risques qui partagent les évaluations déjà réalisées.
La situation idéale est celle où le service public a normalisé les informations pour permettre une analyse de portefeuille plus large ou une modélisation des risques. C'est là que vous pouvez être sûr de comprendre le paysage et de vous concentrer sur les risques les plus importants.
Les gestionnaires de risques liés aux tiers doivent examiner les biens ou services fournis par leur entreprise, la manière dont les tiers soutiennent les différentes fonctions de l'entreprise, les processus dans lesquels ils sont impliqués et les données qu'ils touchent. Comprendre et organiser ces différentes utilisations des tiers aidera à déterminer les capacités clés à rechercher dans une solution.
Ensuite, le gestionnaire peut faire correspondre une solution à ses besoins. Une capacité à rechercher est la flexibilité - une solution doit évoluer en fonction des besoins de l'entreprise. Pour évaluer la longévité, les responsables peuvent poser des questions telles que : "Quel est mon plan de déploiement pour la mise en œuvre ?" ou "Comment vais-je soutenir la solution après sa mise en œuvre ?".
Les gestionnaires doivent également rechercher une solution qui s'intègre pleinement aux processus de risque distincts (par exemple, l'informatique), et une fonctionnalité approfondie et adaptée qui permet la diligence raisonnable et la surveillance continue - les parties les plus risquées du cycle de vie. En outre, les solutions TPRM doivent intégrer la gestion ESG, notamment les questions liées aux différents types d'émissions, ainsi que la diversité, l'équité et l'inclusion.
Mais l'étape la plus importante est sans doute celle qui consiste à obtenir le soutien de l'ensemble de l'organisation pour une solution. Lors de l'élaboration de leur argumentaire, les responsables doivent montrer comment une solution résoudra les problèmes - en termes qualitatifs et quantitatifs, et dans la terminologie appropriée aux différents secteurs de l'entreprise.
Les réseaux de tiers se développant rapidement, les entreprises ont besoin de solutions flexibles et évolutives pour les aider à les gérer. En outre, jusqu'à 50 % de la main-d'œuvre totale d'une grande entreprise est externalisée et sous-traitée, ce qui crée des problèmes de risque et de sécurité lors de la gestion d'une toile d'araignée croissante de risques liés aux tiers.
Les solutions TPRM permettent de centraliser les processus nécessaires pour tirer parti des avantages potentiels des relations avec les fournisseurs. Car, lorsqu'elles sont fructueuses, ces relations augmentent considérablement l'efficacité de l'entreprise et génèrent des revenus.
Lors du choix d'une solution, les entreprises doivent donner la priorité à l'automatisation, aux intégrations de qualité et aux capacités de quantification des risques. Sans ces fonctionnalités, des systèmes disparates, des données obsolètes et des politiques incohérentes peuvent entraver la capacité d'une entreprise à moderniser son programme TPRM. Les " solutions " obsolètes font perdre des occasions de générer des revenus et conduisent à des blocages futurs évitables.
Les entreprises qui évaluent des solutions tierces de gestion des risques doivent vérifier que la solution offre la souplesse nécessaire pour normaliser le flux de travail requis pour l'intégration des fournisseurs, en particulier les services d'approvisionnement et juridiques. Même une seule étape mal alignée peut entraîner des vulnérabilités, telles que des risques de sécurité, de conformité et de réputation.
Le flux de travail normalisé mis en œuvre par la solution permet de meilleures pratiques opérationnelles. Grâce à elle, les entreprises sont en mesure d'identifier plus rapidement les vulnérabilités potentielles et de mieux aligner le processus décisionnel global.
Le TPRM peut être complexe et coûteux, mais il s'agit d'un aspect essentiel de tout cadre de gestion des risques complet. N'oubliez pas que votre organisation peut être tenue responsable en cas de violation des données d'un fournisseur tiers. Au minimum, votre solution devrait inclure :
1. Un inventaire des fournisseurs qui permet d'identifier facilement le risque associé à la tierce partie en fonction de l'exposition de vos données et systèmes sensibles à cette tierce partie. Des considérations telles que l'accès supervisé ou non supervisé, l'accès occasionnel ou continu aux systèmes internes, peuvent aider à déterminer le risque inhérent associé au tiers et le type de surveillance nécessaire pour atténuer ce risque.
2. La possibilité de définir des flux de travail en fonction du risque. Les tiers devraient être classés dans des catégories distinctes et nécessiter la réalisation d'un certain nombre de contrôles/évaluations en fonction de la catégorie spécifique à laquelle appartient le fournisseur.
3. Des mécanismes automatisés pour traiter les questionnaires de sécurité et les réponses ; idéalement, un mécanisme pour analyser automatiquement les réponses et les noter en fonction de la tolérance au risque.
4. Surveillance automatisée hebdomadaire/mensuelle des actifs numériques et des renseignements sur les menaces pour les tiers de votre inventaire, générant des alertes en cas de changements significatifs et pertinents de leurs profils de sécurité.
5. Examens manuels - évaluer si les examens peuvent être effectués pour le cadre de risque spécifique que votre organisation choisit.
Face à l'augmentation du nombre de cyberattaques liées à un risque tiers, les RSSI ont besoin de moyens plus intelligents, plus rapides et plus faciles pour comprendre, surveiller et agir sur la posture de risque de leur site cyber . L'utilisation d'une solution TPRM est le meilleur moyen d'obtenir une vision complète de votre situation en matière de risque, tout en fournissant les ressources nécessaires pour comprendre et agir rapidement sur les risques qui menacent votre organisation.
Si vous cherchez à vous engager dans une solution TPRM pour la première fois ou si vous réévaluez votre fournisseur actuel, l'aspect le plus important est de s'assurer qu'il protège de manière proactive votre entreprise contre les risques liés aux tiers cyber , en fournissant une image précise et opportune de l'ensemble de votre écosystème numérique, qui se développe de manière exponentielle et devient de plus en plus connecté.
Les évaluations traditionnelles telles que les questionnaires ne sont pas adaptées au climat commercial actuel. Un outil qui surveille en permanence votre écosystème tiers peut apporter à votre organisation un nouveau niveau de visibilité des risques grâce à des données précises et en temps réel. Sans surveillance continue, une violation peut se produire sans être détectée pendant des mois, créant un problème commercial qui aurait pu être atténué par une visibilité et une réponse appropriées.
Pour trouver la meilleure solution pour votre organisation, faites vos recherches et posez des questions pour vous assurer que ce qu'ils proposent apporte de la valeur et de l'efficacité, et répond aux besoins globaux de votre entreprise.