PrevalentÉtude sur la gestion des risques liés aux tiers réalisée par la Commission européenne en 2023
Note de l'éditeur : cet article a été publié à l'origine sur thecyberwire.com.
Hier, Prevalent a publié son étude 2023 sur la gestion des risques liés aux tiers, qui détaille les effets des violations de données des tiers et les préoccupations en matière de sécurité. Elle met également en évidence les méthodes manuelles utilisées par près de la moitié des entreprises interrogées pour détecter les risques liés aux tiers. Les personnes interrogées dans le cadre de l'étude étaient directement impliquées dans la gestion des risques liés aux tiers au sein de leur organisation et travaillaient dans différents secteurs d'activité.
Le risque lié aux fournisseurs tiers a affecté 41 % des entreprises interrogées.
41 % des personnes interrogées ont indiqué que leur organisation avait été touchée par des violations de données de tiers au cours des 12 derniers mois. Prevalent écrit : "Lorsqu'il y a eu un impact tangible sur l'organisation, il s'est principalement traduit par des coûts pour remédier ou se remettre de la violation ou de l'incident, plus que par la perte de clients, de revenus ou de réputation." Prevalent rapporte que "malheureusement" 54 % des personnes interrogées ont déclaré que leur organisation utilisait encore des feuilles de calcul manuelles et des flux de nouvelles comme méthodes de détection des violations. Prevalent ajoute que le nombre d'entreprises qui ne surveillent pas les violations de tiers a diminué, passant de 12 % à 4 %. À la question de savoir si les entreprises abandonneraient leurs méthodes manuelles de détection des violations, les répondants ont indiqué que près de la moitié des entreprises ne renonceraient pas au suivi manuel des risques liés aux tiers. Prevalent affirme que les méthodes manuelles ne sont pas efficaces car "un pourcentage croissant d'entreprises ont répondu "Incertain" lorsqu'on leur a demandé si leur méthode actuelle d'évaluation des risques tout au long du cycle de vie, d'évaluation de plusieurs types de risques, de reporting et de réponse aux incidents fonctionnait". Prevalent affirme que l'utilisation de méthodes manuelles (en particulier les feuilles de calcul) pour l'évaluation et la gestion des risques est lente et peu maniable dans un environnement de menaces en constante évolution.
Le risque lié aux tiers est un élément moteur de l'implication des entreprises dans l'InfoSec.
La deuxième conclusion de l'étude est que 62 % des personnes interrogées ont indiqué que les atteintes à la sécurité des tiers et les incidents de sécurité étaient des facteurs déterminants pour l'augmentation de l'implication des différentes composantes des entreprises dans la gestion des risques liés aux tiers. 70 % des membres interrogés ont déclaré que l'InfoSec était plus impliqué, 34 % ont déclaré que les propriétaires d'entreprise étaient plus impliqués (avec 57 % déclarant qu'ils avaient la même implication), et 33 % ont déclaré que les cadres étaient plus impliqués. Prevalent écrit : "Nous pensons que l'implication et l'appropriation accrues de l'Infosec signalent une plus grande adoption de la gestion des risques des tiers en tant que pratique de sécurité standard dans les organisations, la faisant peut-être progresser vers les rangs des pierres angulaires de la sécurité traditionnelle comme la gestion des correctifs et la sécurité du périmètre."
20 % des entreprises interrogées ont déclaré qu'elles ne suivaient pas les risques liés aux tiers et qu'elles n'y remédiaient pas.
20 % des entreprises interrogées ne semblent pas du tout suivre les risques ou y remédier. Prevalent écrit : "La disparité entre le suivi des risques et l'action réelle sur ces risques (c'est-à-dire leur remédiation) est la grande surprise de cette étude. L'écart significatif entre le suivi et la correction des risques dans les phases d'évaluation initiale, de sourcing et de due diligence précontractuelle est particulièrement surprenant, car il s'agit des principales phases de découverte et de correction des risques avant qu'ils n'aient un impact sur l'organisation ... Il n'est pas surprenant de constater que c'est à l'étape de l'abandon et de la résiliation du cycle de vie des relations avec les tiers que le pourcentage d'entreprises qui suivent les risques (47 %) et y remédient (38 %) est le plus faible, et que le pourcentage d'entreprises qui ne font rien du tout (39 %) est le plus élevé.
Recommandations pour aider à évaluer les risques liés aux fournisseurs tiers.
Prevalent recommande aux entreprises d'utiliser un processus ou un système unique pour gérer les risques liés aux tiers, au lieu de faire appel à plusieurs équipes et à des logiciels qui évaluent des choses différentes. Il écrit : "Une meilleure approche consiste à unifier toutes les équipes internes avec un ensemble unique de flux de travail, de profils de risque de tiers, d'évaluations et de rapports. Au minimum, une solution devrait inclure les capacités suivantes pour harmoniser les processus entre les équipes de l'entreprise". Cela permettrait à une entreprise de rationaliser la prise de décision en centralisant les informations critiques qu'elle suit. Ils suggèrent également d'automatiser les évaluations des risques et d'inclure une sélection de questionnaires avec des réponses notées, car cela pourrait aider à trier les menaces critiques et à résoudre en premier lieu les problèmes les plus graves. Une recommandation importante de Prevalent est d'"inclure des conseils prescriptifs de remédiation pour atténuer rapidement les risques avant qu'ils n'aient un impact sur votre organisation". En mettant en place un plan de gestion des risques, une entreprise peut réduire considérablement son temps de réponse à un événement critique et prendre des mesures pour prévenir le risque dès le départ. Toutes les entreprises qui sont exposées aux risques liés aux tiers devraient mettre en place des plans pour atténuer les incidents de plus en plus probables qui pourraient les affecter à l'avenir.