Les programmes de gestion des risques liés aux tiers à la croisée des chemins

Les organisations commencent à adapter leurs programmes de gestion des risques de tiers (TPRM) pour faire face aux risques nouveaux et émergents en dehors du domaine des technologies de l'information (TI).
15 juillet 2022
Logo du magazine sur la sécurité

Note de l'éditeur : Cet article a été initialement publié sur securitymagazine.com.

Face au nombre record de violations de données par des tiers, aux perturbations de la chaîne d'approvisionnement et à la guerre en Ukraine, les organisations commencent à adapter leurs programmes de gestion des risques liés aux tiers (TPRM) pour faire face aux risques nouveaux et émergents en dehors du domaine des technologies de l'information (TI), selon l'étude sur la gestion des risques liés aux tiers de 2022 de Prevalent . Entre février et mars 2022, Prevalent a interrogé des dirigeants directement impliqués dans la gestion des risques liés aux tiers afin de comprendre comment les organisations font face aux défis actuels liés aux tiers et devancent les risques futurs.

L'étude révèle que la TPRM est à la croisée des chemins et qu'il reste beaucoup à faire. L'étude a permis de dégager sept observations clés sur l'état actuel de la gestion des risques liés aux tiers :

  1. Les organisations accordent plus d'attention aux risques de sécurité non informatiques, mais pas suffisamment. La sécurité de l'information, la continuité des activités et la confidentialité et la protection des données ont été classées comme les trois principaux types de risques, ce qui montre que les organisations reconnaissent que les risques liés aux tiers sont plus élevés que les risques liés à la sécurité informatique. Cependant, les organisations continuent de négliger les risques moins quantifiables qui pourraient pourtant entraîner des violations de la conformité, des amendes ou des impacts négatifs sur la réputation, comme l'esclavage moderne, la lutte contre le blanchiment d'argent, la lutte contre la corruption et les risques de corruption.
  2. Le TPRM devient peut-être plus stratégique. Les résultats de l'étude montrent que les organisations sont généralement alignées sur les objectifs stratégiques de réduction des risques de leurs programmes TPRM - et que les préoccupations opérationnelles telles que le coût, la conformité et l'efficacité sont secondaires. Il est à noter que les cadres ont une vision assez uniforme des objectifs de TPRM dans tous les domaines, bien qu'ils soient principalement motivés par la réduction des risques. En ce qui concerne les cadres, plus de 75 % des répondants ont indiqué que leur programme TPRM a plus de visibilité parmi les cadres et le conseil d'administration par rapport à l'année dernière.
  3. Les méthodes manuelles d'évaluation des tiers persistent, mais l'insatisfaction est grande. Quarante-cinq pour cent des répondants indiquent qu'ils utilisent encore des feuilles de calcul pour évaluer leurs tiers. L'utilisation de solutions TPRM dédiées a augmenté de 14 % entre 2021 et 2022, et l'utilisation d'outils de gouvernance, de risque et de conformité (GRC) et de services d'évaluation de la sécurité a légèrement augmenté par rapport à l'année dernière.
  4. Les organisations sont préoccupées par les incidents de sécurité de plus en plus graves causés par des tiers, mais elles utilisent des outils disparates pour détecter, examiner et résoudre les risques. La principale préoccupation des entreprises interrogées dans le cadre de l'enquête est la violation de données par un tiers ou tout autre incident de sécurité résultant des lacunes de sécurité des fournisseurs. En fait, 45 % d'entre elles déclarent avoir subi une violation de données ou un autre incident de sécurité lié à un tiers au cours des 12 derniers mois. La plupart des entreprises ont recours à la surveillance des violations de données (51 %), à la surveillance de la cybersécurité et du Web obscur (45 %), à l'évaluation des fournisseurs (manuelle ou par feuille de calcul) (43 %) et à l'autodéclaration proactive (43 %). Les organisations doivent être conscientes du risque que représente l'utilisation d'outils multiples et non intégrés pour boucler le cycle de vie de leur réponse aux incidents de tiers.
  5. Les organisations attendent plus de deux semaines pour la résolution des incidents impliquant des tiers. 29 % des personnes interrogées ont indiqué qu'il leur faudrait plus d'une semaine pour déterminer quels tiers ont été touchés par un incident, et 35 % ont déclaré qu'il leur faudrait jusqu'à deux jours pour déterminer si cela entraînerait une interruption de service. 47 % des personnes interrogées ont déclaré qu'il leur faudrait encore une semaine avant de savoir quand le tiers avait terminé ses mesures de remédiation ou d'atténuation. Il faut environ deux semaines et demie aux entreprises pour remédier à tout incident impliquant un tiers. C'est une éternité pour qu'une organisation soit vulnérable à un exploit potentiel.
  6. Les audits des risques liés aux tiers deviennent plus complexes et prennent plus de temps. Soixante-quatorze pour cent des personnes interrogées ont déclaré devoir faire rapport sur les contrôles de protection et de confidentialité des données effectués par des tiers, les contrôles de sécurité de l'information venant en deuxième position avec 57 %. Les sujets environnementaux, sociaux et de gouvernance d'entreprise (ESG) - un domaine de risque relativement nouveau - se classent au milieu avec 23 %, et 18 % des répondants ont indiqué qu'ils devaient rendre compte des réglementations relatives à la traite des êtres humains et à l'esclavage.
  7. La discipline en matière de gestion des risques liés aux tiers s'affaiblit à mesure que les relations avec les fournisseurs progressent. Environ 75 % des personnes interrogées suivent les risques aux stades du sourcing/de la diligence raisonnable précontractuelle et de l'intégration dans la relation avec le tiers. Il reste donc environ un quart des entreprises qui n'effectuent pas d'évaluation des risques à ce stade crucial, ce qui signifie qu'elles sont exposées à des risques potentiels dès le début de la relation. Entre 61% et 68% des répondants suivent les risques lors des phases de "business as usual" - évaluation et suivi de la gestion continue. Moins de la moitié des répondants suivent les risques contractuels et les risques liés à l'intégration et à la fin de la relation.

Bien que les équipes de gestion des risques des tiers progressent vers une approche plus stratégique de la TPRM, des améliorations sont encore possibles. Les responsables de la sécurité qui cherchent à développer et à faire mûrir leurs programmes TPRM en relation avec la réponse aux incidents, la conformité et le cycle de vie des fournisseurs peuvent suivre trois étapes.

  1. Étendre les évaluations au-delà de la sécurité informatique pour unifier les équipes sous une solution unique et simplifier les audits. En unifiant les renseignements sur les risques non informatiques avec les résultats des évaluations traditionnelles de la cybersécurité et de la confidentialité des données, les entreprises peuvent enrichir la visibilité des risques liés aux fournisseurs, élever la valeur stratégique du programme TPRM et améliorer le reporting.
  2. Automatiser la réponse aux incidents pour réduire les coûts et les délais. Les organisations doivent automatiser la réponse aux incidents en investissant dans des outils et des processus matures qui révèlent les impacts potentiels en suivant, en évaluant et en gérant en permanence les risques commerciaux, financiers et de réputation sur une plateforme unique ( cyber).
  3. Fermer la boucle sur le cycle de vie des tiers. Les problèmes de sécurité, de conformité et d'exploitation peuvent surgir à tout moment au cours d'une relation avec un vendeur ou un fournisseur. Il est donc important de traiter les risques à chaque étape du cycle de vie d'un tiers.

Pour le rapport complet, cliquez ici.