Une nouvelle étude de TPRM montre que les organisations ne sont pas équipées pour faire face à l'augmentation des incidents de sécurité impliquant des tiers.
Note de l'éditeur : Cet article a été initialement publié sur www.continuitycentral.com.
Un nouveau rapport d'enquête de Prevalent, Inc. montre que, bien que les organisations commencent à adapter leurs programmes de gestion des risques de tiers (TPRM) pour faire face aux risques non informatiques nouveaux et émergents, il reste beaucoup à faire pour développer et faire mûrir ces programmes. Les principaux domaines à améliorer sont la réponse aux incidents, la conformité et le cycle de vie des fournisseurs.
Les principales conclusions de l'étude 2022 sur la gestion des risques liés aux tiers sont les suivantes :
45 % des entreprises ont été confrontées à un incident de sécurité impliquant un tiers au cours de l'année écoulée, mais elles utilisent des outils disparates qui allongent les délais de réponse aux incidents.
69 % des personnes interrogées déclarent que la principale préoccupation à laquelle leur organisation est confrontée en ce qui concerne leur recours à des tiers est une violation des données, 45 % des personnes interrogées déclarant avoir subi un incident de sécurité au cours de l'année écoulée - contre 21 % en 2021. Cependant, 8 % des entreprises n'ont pas mis en place de programme de réponse aux incidents impliquant des tiers, tandis que 23 % adoptent une approche passive de la réponse aux incidents impliquant des tiers.
40 % des entreprises accordent plus d'attention aux risques de sécurité non informatiques, mais pas suffisamment.
Les programmes TPRM continuent de se concentrer sur la gestion des risques liés à la collaboration avec les fournisseurs informatiques, mais un pourcentage surprenant de 40 % des personnes interrogées dans le cadre de l'étude déclarent se concentrer sur la gestion des risques liés aux fournisseurs informatiques et non informatiques. Cependant, les organisations continuent de négliger les risques non informatiques moins quantifiables, tels que l' esclavage moderne, la lutte contre le blanchiment d'argent et les risques de corruption, qui pourraient pourtant entraîner des violations de la conformité, des amendes ou des impacts négatifs sur la réputation.
Le TPRM devient plus stratégique, mais 45 % des organisations utilisent encore des feuilles de calcul manuelles pour évaluer les tiers.
Deux tiers des répondants déclarent que leurs programmes TPRM ont plus de visibilité auprès des cadres et du conseil d'administration par rapport à l'année dernière. Cependant, pour en arriver là, il a fallu une augmentation massive des problèmes de cybersécurité liés aux fournisseurs tiers et aux fournisseurs. Malheureusement, les processus manuels freinent encore les organisations, 45 % d'entre elles déclarant utiliser des feuilles de calcul pour évaluer leurs tiers. Ces processus manuels ajoutent une complexité et un temps inutiles aux audits des risques liés aux tiers, 32 % des personnes interrogées déclarant qu'il leur faut plus d'un mois - plus de 90 jours dans certains cas - pour produire les rapports et les preuves nécessaires pour répondre aux audits réglementaires.