Demandez une démo

Gestion des risques liés aux tiers : Les 7 principales prédictions pour 2025

Alastair Parr, directeur exécutif des solutions GRC chez Mitratech, nous fait part de ses 7 prédictions pour le TPRM en 2025.
14 novembre 2024
Logo de Cybersecurity Insiders

Note de l'éditeur : cet article, rédigé par Alastair Parr, directeur exécutif des solutions GRC chez Mitratech, a été initialement publié sur cybersecurityinsiders.com.

Alors que la nouvelle année approche à grands pas, les organisations commencent à planifier l'année 2025 et à élaborer les budgets nécessaires à la réalisation de ces plans. L'année dernière, la gestion des risques a été au cœur de la planification et de la budgétisation, et rien n'indique que cette tendance se ralentisse. En raison de nouvelles lois, la gestion des risques d'une organisation signifie de plus en plus l'atténuation des risques liés aux relations commerciales avec d'autres organisations. Si vous exploitez une entreprise, un point faible dans le dispositif de sécurité d'un fournisseur ou d'un partenaire peut tout aussi bien être une faiblesse dans votre sécurité. Les problèmes de sécurité et de transparence de vos partenaires sont désormais les vôtres, grâce aux nouvelles réglementations. Les préoccupations géopolitiques et leurs effets sur les chaînes d'approvisionnement signifient également que la gestion des risques pourrait être une considération encore plus importante l'année prochaine.

Pour ces raisons, la façon dont les organisations pratiquent la gestion des risques des tiers (TPRM) évolue rapidement. L'année dernière a été une année importante en matière de gestion des risques liés aux tiers. Cependant, les organisations constateront probablement qu'en 2025, elles devront se concentrer sur la résilience, la durabilité et la transparence de l'entreprise.

Dans cette optique, voici sept prévisions concernant l'évolution de la gestion des risques liés aux tiers en 2025 :

1. Les rapports prédictifs et comparatifs et l'accélération des processus d'évaluation et de documentation deviendront possibles grâce à l'IA

L'IA a fait sentir sa présence dans le TPRM l'année dernière, et tout porte à croire qu'elle jouera un rôle essentiel en 2025 et au-delà, car les organisations comprennent mieux leur déploiement de l'IA au fil du temps et utilisent la technologie pour automatiser l'évaluation des risques, améliorer leur prise de décision et repérer plus rapidement les problèmes.

Les grands modèles de langage (LLM) et d'autres systèmes basés sur l'IA sont sur le point d'aider les entreprises à surveiller les risques liés aux tiers en temps réel en analysant de vastes ensembles de données et en identifiant des schémas qui pourraient signaler des risques émergents. Ces technologies donneront également aux organisations de nouvelles capacités pour examiner les preuves à l'appui et trouver les contradictions entre les réponses à l'évaluation et la documentation.

Toutefois, l'IA ne sera couronnée de succès que si elle s'appuie sur des politiques solides en matière de sécurité des données, de transparence et de gouvernance. Son déploiement sera freiné si ces éléments font défaut. L'année dernière, par exemple, seules 5 % des entreprises ont déclaré utiliser activement l'IA dans leurs programmes de gestion des risques technologiques en raison d'un manque de gouvernance. Toutefois, ces chiffres sont susceptibles d'évoluer de manière significative en 2025, à mesure que les entreprises s'adaptent et se sentent à l'aise avec l'utilisation de l'IA pour automatiser les tâches et les rapports.

2. Les nouveaux règlements coordonneront les exigences et inciteront à une diligence accrue

Partout dans le monde, les gouvernements et les régulateurs devraient renforcer les exigences en matière de gestion des risques pour les tiers, notamment en ce qui concerne la confidentialité des données, les critères ESG (environnementaux, sociaux et de gouvernance) et la résilience des entreprises. Les entreprises transfrontalières seront confrontées à des défis de conformité plus complexes, qui pourraient être partiellement atténués par les efforts d'harmonisation et de rationalisation des règles mondiales afin de simplifier la conformité.

Les entreprises doivent évaluer plus rigoureusement les fournisseurs tiers et autres partenaires, en se concentrant sur la résilience et l'impact environnemental. Aux États-Unis, la loi DORA (Digital Operational Resilience Act) pourrait servir de modèle pour l'élaboration de normes de résilience opérationnelle dans le secteur financier, en s'alignant sur les efforts de l'Office of the Comptroller of the Currency. La montée en puissance des mandats ESG tels que le CSRD et le CSDD de l'UE obligera les entreprises à évaluer de près les pratiques de leurs partenaires en matière de développement durable, telles que les émissions de carbone, les pratiques de travail et l'approvisionnement éthique.

3. La géopolitique incitera les organisations à évaluer les risques de concentration et de résilience

L'instabilité politique au Moyen-Orient, en Afrique de l'Est, en mer de Chine méridionale et en Ukraine incite les entreprises à surveiller de plus près leurs écosystèmes étendus. Les organisations intensifient leur analyse des propriétaires d'entreprises ultimes (UBO) et des personnes clés afin de mieux anticiper les perturbations et d'éviter le risque de sanctions. En outre, elles élargissent les données firmographiques des fournisseurs afin de mieux comprendre les risques de concentration régionale et technologique, dans le but de minimiser les temps d'arrêt potentiels.

4. La prise en charge des risques liés aux tiers s'inscrit dans la culture de l'entreprise

Historiquement, les équipes de sécurité informatique ont dirigé les programmes de TPRM en raison de l'accent mis sur les risques liés à l'infrastructure informatique. Toutefois, à mesure que les menaces cyber se développent et que de nouveaux risques apparaissent, la gestion des risques technologiques doit s'orienter vers une approche plus collaborative, à l'échelle de l'entreprise. La gestion des risques technologiques sera probablement confiée aux équipes chargées des risques d'entreprise afin de mieux l'intégrer dans les processus d'entreprise plus larges. Les équipes chargées des achats joueront également un rôle plus important, étant donné que l'approvisionnement, la diligence raisonnable et l'exclusion des fournisseurs sont de plus en plus essentiels pour gérer efficacement les risques dans l'ensemble de l'organisation. Il s'agit là d'un changement majeur par rapport à la manière dont les risques sont atténués aujourd'hui.

5. Une perspective consolidée du conseil d'administration nécessitera une centralisation des rapports sur les risques liés au GRC et au TPRM

Au fur et à mesure que la gestion des risques des tiers s'intègre dans la gestion des risques de l'entreprise, elle s'étend à des fonctions plus larges de gouvernance, de gestion des risques et de conformité (GRC). Les conseils d'administration et les cadres supérieurs exigeront de plus en plus une vision consolidée des risques internes et externes, axée sur l'impact sur l'entreprise. Pour s'y préparer, les organisations devraient développer et communiquer des indicateurs de risque clés unifiés, accessibles aux parties prenantes, qu'elles soient techniques ou non, afin de mieux comprendre l'exposition aux risques et leur impact dans l'ensemble de l'entreprise.

6. L'agrégation des risques permet de mieux se concentrer sur la résilience des entreprises

Alors que les incidents de cybersécurité impliquant des tiers restent répandus et sont susceptibles de continuer à proliférer, les entreprises doivent évaluer le risque collectif posé par l'ensemble de leur écosystème de tiers. Reconnaître comment les risques interconnectés peuvent affecter plusieurs fournisseurs sera essentiel pour maintenir la résilience des chaînes d'approvisionnement.

Les entreprises peuvent résoudre ce problème en adoptant une surveillance continue et globale dans tous les domaines de risque - tels que cyber, opérationnel, réputationnel, ESG et financier - afin de détecter rapidement les changements dans les profils de risque des tiers. Les données en temps réel permettront de réagir plus rapidement et plus efficacement aux menaces, améliorant ainsi la résilience globale de l'entreprise.

7. Le point d'inflexion des violations de données par des tiers

Au cours des dernières années, le nombre d'incidents de cybersécurité impliquant des tiers a considérablement augmenté, passant de 21 % des entreprises ayant signalé un tel incident en 2021 à plus de 60 % en 2024. Les violations ont également augmenté en gravité, avec des millions de personnes touchées. Nous pouvons nous attendre à ce que les cybercriminels redoublent d'efforts en 2025, en ciblant les tiers qui soutiennent des industries sensibles et très médiatisées telles que les fournisseurs de soins de santé, les sociétés de services financiers, les établissements d'enseignement, les gouvernements d'État et les fabricants.

Regarder vers l'avenir

Le rythme des changements dans la façon dont les organisations gèrent les risques liés aux tiers s'accélère. L'attention accrue portée à la résilience des entreprises, le déploiement de nouveaux programmes d'IA et les nouvelles réglementations rendront les programmes de gestion des risques liés aux tiers plus dynamiques et plus efficaces.

En adoptant les innovations et en restant à l'avant-garde des tendances qui évoluent rapidement, les organisations peuvent gérer efficacement les risques liés aux tiers, même dans un paysage changeant de partenariats commerciaux et d'exigences réglementaires.