Un regard vers l'avenir : Les 3 principales prédictions pour 2024 en matière de gestion des risques liés aux tiers
Note de l'éditeur : Cet article, rédigé par Brad Hibbert et Alastair Parr, a été publié à l'origine sur SupplyChainBrain.com.
À l'aube de 2024, quelques tendances clés façonnent la manière dont les organisations abordent la gestion des risques des tiers (TPRM). Récemment, le processus de TPRM est passé de questionnaires ad hoc à une évaluation automatisée et continue de ces risques, sous l'impulsion de la fréquence et de la sophistication accrues des violations de données de la chaîne d'approvisionnement et du renforcement des exigences réglementaires. Quelles tendances seront à l'avant-garde de l'évolution de la pratique de la gestion des risques des tiers en 2024 ?
Prédiction 1 : Une seule source de vérité pour les risques liés aux tiers
Alors que les entreprises s'appuient de plus en plus sur des services cloud tiers, des plateformes SaaS (Software-as-a-Service) et d'autres solutions numériques, la surface d'attaque s'étend, augmentant le potentiel de vulnérabilités découlant de la dépendance à l'égard de systèmes tiers. Les chaînes d'approvisionnement et les fonctions commerciales modernes sont fortement interconnectées, dépassant souvent les frontières géographiques et technologiques et créant des dépendances complexes. Pour gérer ces complexités, de plus en plus d'équipes se concentrent sur la gestion du cycle de vie des tiers. Cela peut créer une confusion considérable et un grand nombre de silos de données qui sont difficiles à gérer et à examiner. Pour résoudre ces problèmes, les organisations s'efforceront de consolider une série de risques informatiques et non informatiques dans des profils de fournisseurs centralisés. Cette approche transforme ces données en un modèle de risque complet qui est constamment mis à jour. Les différentes équipes de l'organisation peuvent se référer à cette source pour prendre des décisions opérationnelles plus éclairées en ce qui concerne les relations avec les vendeurs et les fournisseurs.
En 2024, il faut s'attendre à ce que la position de cyber , la veille économique, les dossiers financiers, les événements géopolitiques, les certifications et les informations sur les tiers fassent partie de ces profils de fournisseurs centralisés. La facilité d'accès à ces informations supplémentaires reflète les intérêts et les exigences des différents départements, en particulier des équipes chargées des achats et des affaires juridiques. Pour améliorer la prise de décision, les fournisseurs devront fournir des informations plus complètes et veiller à ce que les données soient tenues à jour. En outre, les profils des fournisseurs contiendront des données relatives aux événements géopolitiques et environnementaux afin d'améliorer la résilience opérationnelle. Les solutions de surveillance seront essentielles pour permettre aux organisations d'évaluer les risques potentiels associés à l'emplacement de certains fournisseurs.
Prédiction 2 : Amélioration de la qualité du programme TPRM grâce à des analyses avancées et prédictives
En créant et en mettant continuellement à jour un modèle de risque unifié, les organisations seront en mesure d'effectuer des analyses plus avancées et plus prédictives. Les équipes de gestion des risques technologiques devraient analyser les relations entre les différents risques et utiliser l'analyse agrégée pour prédire les zones de risque potentiel. Cela améliorera l'allocation des ressources et permettra aux organisations d'adapter leurs programmes de manière efficace et efficiente.
L'analyse avancée et prédictive sera également davantage axée sur les personas dans le cadre du TPRM. La centralisation des données facilitera la satisfaction des besoins des principaux personas, tels que le RSSI, les responsables des achats et des affaires, et le conseil d'administration, ce qui permettra à l'équipe TPRM de fournir des informations personnalisées et, pour chaque persona, des rapports axés sur des sujets pertinents, tels que le risque cyber , le risque environnemental, les menaces externes et la conformité des fournisseurs aux réglementations. Les rapports incluront des informations sur le comportement à l'aide de modèles analytiques avancés, qui fourniront des informations sur les interactions avec les fournisseurs et les temps de réponse et aideront à prédire et à interpréter le comportement des utilisateurs, créant ainsi des programmes TPRM plus complets et plus utiles.
Au cours de l'année à venir, à mesure que les programmes de gestion des risques technologiques gagneront en maturité, de nombreuses organisations commenceront également à partager leurs scores de maturité en matière de gestion des risques. En s'appuyant sur ces scores et sur des capacités d'analyse améliorées, les organisations seront en mesure d'engager le dialogue avec les fournisseurs afin de clarifier les problèmes de risque et de les résoudre de manière efficace.
Prédiction 3 : L'évolution des menaces va favoriser l'adoption d'une surveillance continue par des tiers
Les cyberattaques, les violations de données et autres activités malveillantes sont de plus en plus sophistiquées et peuvent se propager rapidement à travers des réseaux interconnectés, ce qui accroît le besoin d'informations en temps réel sur les violations et les problèmes des vendeurs et fournisseurs tiers. Les attaquants sont trop prompts à exploiter les vulnérabilités des logiciels et systèmes tiers, comme l'a démontré la vulnérabilité MOVEit, qui a affecté au moins 2 000 organisations depuis mai 2023. En réponse, les organisations donneront la priorité à la surveillance continue des risques liés aux tiers en 2024 afin de faire évoluer leurs programmes au-delà du simple fait de cocher la case de la conformité pour satisfaire les auditeurs
La collecte et l'analyse de données provenant de diverses sources permettront non seulement de créer une source unique de vérité et d'améliorer la qualité du programme TPRM, mais aussi de réaliser des analyses plus poussées de ces données, ce qui permettra aux équipes de gestion des risques de prendre des décisions plus éclairées en matière de gestion des risques. Les nouvelles règles et modifications récemment adoptées par la Securities and Exchange Commission (SEC) des États-Unis concernant la déclaration des incidents, la gestion des risques de cybersécurité, la stratégie et la gouvernance des entreprises publiques obligeront les membres du conseil d'administration et les équipes dirigeantes à exiger une surveillance continue et des réponses proactives aux événements locaux et aux vulnérabilités de type "zero-day", tout en s'assurant qu'ils sont prêts à rendre compte rapidement et efficacement à la SEC si nécessaire.
Se préparer aux changements dans la gestion des risques en 2024
La gestion des risques liés aux vendeurs et fournisseurs tiers est prête à changer de manière significative en 2024, sous l'impulsion du traitement du langage naturel, de l'IA générative et d'un paysage de menaces qui évolue rapidement pour tirer parti de ces nouvelles capacités. Confrontées à de nouvelles règles et réglementations en matière de reporting, ainsi qu'à une pénurie de professionnels du risque compétents, les organisations chercheront à accroître l'efficacité et l'efficience de leurs programmes de TPRM afin de s'assurer qu'elles sont en mesure de gérer efficacement les risques liés aux tiers.
La gestion des risques liés aux tiers nécessite un changement fondamental en 2024, en s'éloignant des feuilles de calcul et des perspectives cloisonnées pour créer une source unique de vérité, une plateforme unifiée contenant toutes les données sur les risques liés aux fournisseurs. En tirant parti d'analyses avancées et prédictives, les organisations seront en mesure d'identifier les perturbations potentielles avant qu'elles ne se matérialisent, ce qui facilitera le pivotement vers un autre fournisseur ou une autre solution pour atteindre les objectifs de l'entreprise. Dans cet environnement, la surveillance continue des tiers devient essentielle pour s'assurer que l'équipe de sécurité est en mesure de répondre rapidement aux menaces et que les dirigeants comprennent les différents risques, ce qui permet à l'organisation dans son ensemble de gérer efficacement les risques liés aux tiers et de réagir rapidement et de manière approfondie en cas d'incident important.
Brad Hibbert est directeur de la stratégie et directeur des opérations, et Alastair Parr est premier vice-président pour les produits et les services, tous deux à l'adresse suivante Prevalent.