Une étude montre que les processus manuels dominent et ralentissent les approches de gestion des risques pour les tiers

Note de l'éditeur : Cet article a été initialement publié sur www.continuitycentral.com.

PrevalentInc. a publié un nouveau rapport intitulé "The 2023 Third Party Risk Management Study : Comment les organisations évitent-elles les turbulences de la gestion desrisques liés aux tiers ? Ce rapport donne un aperçu des tendances actuelles, des défis et des initiatives ayant un impact sur les praticiens de la gestion des risques liés aux tiers dans le monde entier.

Les résultats montrent clairement que 2022 a été une année turbulente pour la pratique de la gestion des risques des tiers (TPRM). Au cours de l'année écoulée, les organisations ont dû faire face aux retombées de l'invasion russe en Ukraine et aux perturbations de la chaîne d'approvisionnement qui en ont résulté, aux brèches et incidents de sécurité tiers dommageables et généralisés (notamment LastPass, OpenSSL, Okta, Toyota et plusieurs dans le domaine de la santé), ainsi qu'à l'émergence d'une surveillance réglementaire dans des domaines allant au-delà de la sécurité informatique, tels que l'ESG. Bien que les organisations aient fait évoluer leurs programmes de gestion des risques technologiques depuis l'étude de l'année dernière, il reste encore du travail à faire.

Les principales conclusions de l'étude 2023 sur la gestion des risques liés aux tiers sont les suivantes :

• 41 % des entreprises ont été victimes d'une violation de leurs données par un tiers au cours des 12 derniers mois, mais elles s'appuient sur des outils qui se chevauchent et sur des processus manuels, ce qui ralentit la réponse aux incidents.
  

• Une écrasante majorité d'entreprises (71 %) déclarent que la principale préoccupation concernant l'utilisation de tiers est une violation de données ou un autre incident de sécurité dû à de mauvaises pratiques de sécurité des fournisseurs. Cependant, les méthodes manuelles persistent, un grand pourcentage d'entreprises utilisant des feuilles de calcul et un pourcentage croissant utilisant des flux d'informations pour s'informer sur les violations. La bonne nouvelle est que les entreprises qui ne surveillent pas les violations de tiers sont passées de 12 % à 4 %.

• Les violations de données de tiers et les incidents de sécurité entraînent une implication accrue de la sécurité de l'information dans la gestion des risques de tiers. 70 % des personnes interrogées déclarent que la sécurité de l'information est plus impliquée que jamais dans la gestion des risques liés aux tiers, et 71 % indiquent que la sécurité de l'information s'approprie pleinement le programme de gestion des risques liés aux tiers. 62 % des personnes interrogées dans le cadre de l'étude de cette année ont indiqué que les violations de données de tiers et les incidents de sécurité étaient les principaux facteurs à l'origine de l'implication accrue dans la gestion des risques de tiers.

• Près de la moitié des entreprises continuent d'utiliser des feuilles de calcul. Selon le rapport, une "tendance décevante" se poursuit en 2023, car un nombre croissant d'organisations (48 %) utilisent des feuilles de calcul pour évaluer les tiers. Ce pourcentage est en hausse par rapport à 2022 et 2021, où respectivement 45 % et 42 % des entreprises ont déclaré utiliser des feuilles de calcul. Seuls 4 % des répondants ont indiqué qu'ils n'évaluaient pas du tout les tiers à l'heure actuelle, ce qui poursuit une tendance à la baisse par rapport à 2021 (10 %) et 2022 (8 %).

• Il existe un écart considérable entre le suivi et la correction des risques tout au long du cycle de vie - et en moyenne 20 % des entreprises ne font rien. Il n'est pas surprenant de constater que c'est au stade de l'abandon et de la cessation des relations avec les tiers que le pourcentage d'entreprises qui suivent les risques (47 %) et y remédient (38 %) est le plus faible et que le pourcentage d'entreprises qui ne font rien du tout (39 %) est le plus élevé.