PHOENIX, 8 mai 2024 - Prevalent Inc. a publié aujourd'hui son étude 2024 sur la gestion des risques liés aux tiers, qui révèle que 61 % des entreprises ont subi une violation de données de tiers ou un incident de cybersécurité l'année dernière. Les violations ont augmenté de 20 points, soit 49 %, d'une année sur l'autre, et ont été multipliées par trois depuis 2021.
"Ce qui ressort de notre rapport n'est pas seulement le nombre de violations, qui est le plus élevé que nous ayons suivi, mais aussi leur ampleur", a déclaré Kevin Hickey, PDG de Prevalent . "Les violations de 2023 ont touché d'énormes chaînes d'approvisionnement - d'Okta et LastPass à Change Healthcare et PJ&A - exposant les dossiers sensibles de millions de personnes dans le monde entier. Il n'y a jamais eu de moment plus urgent pour prendre la sécurité des tiers plus au sérieux."
Réalisée en février et mars derniers, l'enquête a été menée auprès de responsables de la sécurité de l'information, de la confidentialité des données, de la gestion des risques, des achats et d'autres responsables informatiques d'entreprises couvrant des dizaines de secteurs et dont les chaînes d'approvisionnement représentent collectivement un demi-million de fournisseurs.
PrevalentL'étude de la Commission européenne a identifié plusieurs domaines de préoccupation qui pourraient expliquer l'ampleur et la profondeur sans précédent des atteintes à la vie privée des tiers :
"Bien que la plupart des organisations déclarent avoir mis en place des programmes de TPRM, la moitié d'entre elles s'appuient encore sur des feuilles de calcul et utilisent un ensemble d'outils disparates pour évaluer leurs fournisseurs", a déclaré Brad Hibbert, directeur de l'exploitation de Prevalent , ajoutant que 60 % des personnes interrogées n'utilisent pas de plateforme de TPRM dédiée.
Selon le rapport, la dépendance des entreprises à l'égard d'outils multiples a pour conséquence un manque de coordination, ce qui laisse leurs chaînes d'approvisionnement sans protection. Seul un tiers des personnes interrogées ont indiqué que leurs programmes de sécurité des tiers étaient très bien coordonnés.
Alors que le nombre moyen de tiers recensés par les répondants à l'enquête était de 3 200, ces derniers n'ont déclaré avoir évalué ou contrôlé que 33 % de ces fournisseurs. "Ces relations non évaluées cachent de nombreux risques", a déclaré M. Hibbert.
Plus de 62 % des personnes interrogées ont déclaré que le manque de personnel était le principal obstacle à une meilleure protection de leur organisation contre les atteintes à la sécurité des tiers. En moyenne, les personnes interrogées ont déclaré qu'il leur faudrait doubler le nombre de personnes actuellement affectées à la sécurité des tiers.
"Les étapes ultérieures du cycle de vie des tiers ne font pas l'objet d'une évaluation et d'une surveillance adéquates des risques, et les mesures correctives globales font cruellement défaut", selon le rapport de Prevalent. Alors que près de 90 % des entreprises suivent les risques dès les phases d'approvisionnement et de sélection, moins de 80 % d'entre elles suivent les accords de niveau de service (SLA) et les risques liés à l'externalisation à un stade ultérieur du cycle de vie de la relation.
"Ce qui nous a surpris, c'est la disparité entre la proportion d'organisations qui suivent les risques et la proportion de celles qui y remédient", a expliqué M. Hibbert. "Il est choquant de constater que 46 % des entreprises déclarent avoir pris des mesures correctives à la suite d'une évaluation des risques, étape au cours de laquelle les risques doivent être atténués.
Prevalent a constaté que l'utilisation de l'IA reste faible dans le secteur, avec seulement 5 % des entreprises qui exploitent activement l'IA dans leurs programmes de TPRM. Cependant, l'intérêt reste élevé, puisque 61 % des entreprises déclarent étudier activement les possibilités d'utilisation de l'IA.
Prevalent conseille de créer des équipes interfonctionnelles et d'établir clairement la propriété des programmes de TPRM, ainsi que d'automatiser les processus de TPRM autour d'une plateforme unique afin d'unifier les équipes, les données et les cycles de vie des risques.
Lisez l'article de blog et téléchargez le livre électronique et l' infographie pour obtenir des statistiques, un contexte et des recommandations supplémentaires sur l'évaluation des pratiques existantes en matière de TPRM.