Risques liés aux tiers : ils vous menacent de toutes parts
Votre organisation accomplit probablement aujourd'hui davantage de tâches qu'auparavant, avec moins d'employés internes. Cela est en grande partie dû au soutien de fournisseurs externes, de prestataires de services et d'autres tiers. Bien sûr, si l'externalisation présente des avantages évidents, elle peut également comporter des risques considérables pour votre entreprise.
Une voie bien tracée pour les violations… et les réglementations
Ce n'est un secret pour personne que chaque tiers avec lequel vous travaillez augmente votre exposition aux violations de données et de confidentialité. Chaque jour, des entreprises de tous les secteurs en font l'amère expérience, notamment GE, Marriott, Target, Sprint et LabCorp
,
pour n'en citer que quelques-unes. Le résultat ? Perte de clients, amendes, pénalités, frais de surveillance du crédit, etc. Et à mesure que les victimes signalent de plus en plus de violations commises par des tiers, les organismes de surveillance industriels et gouvernementaux introduisent davantage de réglementations. La CCPA, le RGPD, la CMMC et plusieurs autres réglementations exigent spécifiquement l'évaluation et/ou la surveillance des risques liés aux tiers.
La pandémie soulève de nouvelles questions
Comme si les défis liés aux données, à la confidentialité et à la conformité ne suffisaient pas à vous empêcher de dormir, la pandémie de coronavirus a mis en évidence, d'une manière sans précédent, la vulnérabilité des chaînes d'approvisionnement face aux catastrophes naturelles et autres perturbations (parfois imprévisibles). Elle oblige toutes les entreprises à s'adapter à la nouvelle réalité du télétravail, des mesures d'urgence, des risques sanitaires, des ruptures d'approvisionnement et d'autres obstacles. Comment vos partenaires tiers gèrent-ils cette situation et quel est son impact sur votre entreprise ? Quelles sont les répercussions potentielles à venir ? Quelles politiques et procédures ont-ils mises en place pour relever le prochain défi ?
Ainsi, alors que les entreprises ont de plus en plus recours à l'externalisation et au virtuel, et que l'environnement mondial devient de plus en plus incertain, comment pouvez-vous anticiper et gérer les risques liés aux tiers avec un certain niveau de confiance ?
La gestion des risques liés aux tiers (TPRM) peut s'avérer difficile
Faire les choses à la dure
Dans le passé, la plupart des organisations adoptaient une approche manuelle pour gérer les risques liés aux tiers. C'était chaotique, sanglant, un combat au corps à corps. Armés uniquement de tableurs, les évaluateurs devaient bombarder les fournisseurs et les prestataires de questionnaires, puis courir après leurs réponses. Si cette situation était pénible pour les évaluateurs, elle l'était encore plus pour les fournisseurs qui devaient répondre à ces demandes et répondre aux mêmes questions posées par différents clients, encore et encore. Il n'est donc pas étonnant que 34 % des entreprises déclarent qu'il faut plus d'un mois pour réaliser l'évaluation d'un fournisseur de premier plan.
Malheureusement, une étude récente a révélé que 50 % des entreprises sont restées ancrées dans le passé et continuent de s'appuyer uniquement sur des tableurs pour gérer leurs audits et leurs contrôles. La plupart des entreprises travaillant avec des centaines de fournisseurs, il faudrait une armée d'évaluateurs utilisant des méthodes manuelles pour recueillir des données complètes, actuelles et utiles sur les risques liés aux tiers.
Nous avons choisi la voie difficile, mais il reste encore beaucoup à faire
Et ce n'est que le problème de collecte. Supposons que vous parveniez à obtenir des réponses de vos fournisseurs les plus importants. Que faites-vous de ces données ? Comment évaluer, hiérarchiser et corriger les risques ? Comment savoir si les réponses sont exactes ? Sont-elles cohérentes avec les données historiques ? Sont-elles corrélées entre elles ? Sont-elles corrélées avec les expositions des fournisseurs déjà connues (par exemple, les violations de données connues, les données clients sur le dark web, les actions en justice, les amendes, etc.) ? Êtes-vous prêt à répondre à ces questions lorsque le conseil d'administration, les régulateurs et toutes les autres personnes qui hantent vos rêves viendront frapper à votre porte ? Rien que d'écrire cela, cela nous stresse !
Vous avez peut-être réussi à collecter des données sur les risques auprès de vos fournisseurs, à les communiquer à toutes les personnes concernées et à prendre des mesures concrètes. Mais ce n'est pas fini. Tout change constamment. Les fournisseurs vont et viennent. La manière dont ils traitent vos données évolue. De nouvelles cyberattaques et de nouvelles failles de sécurité apparaissent chaque jour. Vos informations sont déjà obsolètes. Vous devrez renouveler cette opération régulièrement.
Et Bob alors ?
D'un autre côté, vous vous dites peut-être : « Je n'ai pas à me soucier de tout ça. C'est le problème de [Bob] au service [informatique]. » N'hésitez pas à transmettre ce document à Bob, mais le risque lié aux tiers est un défi pour plusieurs services dans la plupart des organisations. Et la responsabilité peut varier selon la personne à qui vous posez la question. 37 % des entreprises affirment que c'est le service de sécurité de l'information qui en est responsable, 22 % le service informatique, 14 % le service de gestion des risques, 9 % le service de gestion des fournisseurs et 6 % le service juridique/conformité. Avec autant de services impliqués, qui est réellement responsable du problème ? Comment aligner tout le monde pour réaliser des progrès substantiels dans l'identification et la réduction des risques liés aux fournisseurs ?
Nous comprenons : le TPRM n'est pas amusant
Dans un monde idéal, nous n'aurions pas à nous soucier du « fardeau » que représentent les risques liés aux tiers. Les systèmes d'information seraient infaillibles et transparents. Le personnel des fournisseurs serait robotisé et loyal. Les criminels et les États ennemis n'existeraient pas. Tout le monde serait ami.
Le monde n'est pas parfait. Vous avez clairement besoin de vos fournisseurs pour mener à bien vos activités, mais vous devez également faire preuve d'intelligence et être conscient des risques. La réalité est que les écosystèmes des fournisseurs sont organiques et imprévisibles, tout comme l'environnement mondial. Cela rend la gestion des risques liés aux tiers particulièrement difficile. Parfois, c'est chaotique, et d'autres fois, c'est tout simplement fastidieux.
C'est pourquoi Prevalent existe. Nous sommes là pour rendre la gestion des risques liés aux tiers beaucoup moins pénible et beaucoup plus productive.
L'approche courante en matière de TPRM
Prevalent est là pour révolutionner la manière dont vous gérez les risques d'un monde de plus en plus interconnecté, interdépendant et imprévisible. Chaque jour, nous transformons la manière dont nos clients perçoivent, gèrent et régissent leurs relations avec des tiers. Pour ce faire, nous proposons des réseaux communautaires, des services et des produits qui permettent aux entreprises de mieux identifier, interpréter et réduire les risques liés aux tiers.
Réseaux : accès instantané aux informations sur les risques liés aux fournisseurs
Nos clients ont accès à une vaste base de données de renseignements sur les risques à la demande pour plus de 10 000 fournisseurs. Ces bibliothèques exploitent la puissance de la communauté Prevalent pour fournir des informations historiques et en temps réel sur les risques cybernétiques et commerciaux provenant de plus de 567 000 sources. Grâce aux réseaux Prevalent Vendor Risk Networks, nos clients peuvent rapidement adapter leurs programmes TPRM grâce à un accès instantané aux scores de risque des fournisseurs et aux rapports correspondants. Pour les fournisseurs qui ne font pas encore partie des réseaux, Prevalent réalisera de nouvelles évaluations à la demande des clients. Nous intégrons également de nouvelles fonctionnalités en libre-service à nos plateformes, permettant aux fournisseurs de remplir et de soumettre des auto-évaluations qu'ils peuvent facilement partager avec leurs propres clients.
Services : nous nous chargeons pour vous des tâches fastidieuses liées à la gestion des risques liés aux fournisseurs (TPRM)
Chez Prevalent, nous aidons nos clients à identifier, comprendre et réduire les risques liés aux tiers depuis plus de 15 ans. Nous avons commencé comme une équipe de consultants prêts à poser des questions difficiles aux fournisseurs au nom de nos clients. Aujourd'hui, cette équipe s'est transformée en un département complet composé de chercheurs, d'auditeurs et de professionnels de la réussite client qui se consacrent à libérer nos clients des aspects fastidieux de la gestion des risques liés aux tiers. Nous pouvons tout prendre en charge, de l'intégration des fournisseurs et la réalisation d'évaluations à l'identification des risques et au suivi des mesures correctives. Vous évitez le travail fastidieux et obtenez les informations et les rapports dont vous avez besoin pour vous concentrer sur la stratégie fournisseurs et la réduction globale des risques.
Produits : unification de la gestion, de l'évaluation et du suivi des fournisseurs
Nos clients disposent de la plateforme de gestion des risques tiers la plus automatisée et la plus intelligente actuellement disponible. La plateforme Prevalent Third-Party Risk Management Platform unifie la gestion des fournisseurs, l'évaluation des risques et la surveillance des menaces afin d'offrir une vue à 360 degrés des risques. La plateforme facilite l'intégration des fournisseurs, leur évaluation à l'aide de questionnaires standardisés et personnalisés, la corrélation des évaluations avec les données externes sur les menaces, la mise en évidence, la hiérarchisation et le signalement des risques, ainsi que le processus de remédiation. Les clients peuvent utiliser la plateforme soit pour leurs propres initiatives TPRM autogérées, soit en collaboration avec notre équipe de services.
Empruntez la voie vers la maturité en matière de TPRM
Peu importe où vous en êtes aujourd'hui, Prevalent peut vous aider à mettre en place un programme de gestion des risques liés aux tiers offrant une visibilité, une efficacité et une échelle inégalées. Nous travaillerons avec vous pour trouver la combinaison de services gérés, d'adhésion au réseau et/ou d'accès à la plateforme TPRM qui convient le mieux à votre organisation. Vous obtiendrez un retour sur investissement rapide, serez en mesure de prendre des décisions éclairées et réduirez de manière significative les risques liés aux fournisseurs, tout en simplifiant la tâche de votre équipe et la vôtre.
Voici quelques exemples de ce que nos clients ont accompli :
- L'une des plus grandes sociétés pharmaceutiques au monde a réduit de 550 heures ses évaluations, économisé des dizaines de milliers de dollars en externalisation et réaffecté ses ressources humaines et financières à des projets plus stratégiques de gestion des risques.
- L'une des dix plus grandes compagnies d'assurance au monde a réduit de 50 % le temps nécessaire à l'intégration des fournisseurs et à la réalisation des évaluations.
- Une compagnie d'assurance américaine classée parmi les 20 premières a augmenté ses évaluations annuelles des fournisseurs de 233 %, sans augmenter ses effectifs.
Dans l'ensemble, les clients de Prevalent ont signalé une réduction moyenne de 80 % du temps nécessaire à l'intégration des fournisseurs, une évolutivité 5 fois supérieure dans l'évaluation des fournisseurs à l'aide de notre plateforme et une évolutivité 8 fois supérieure dans l'évaluation des fournisseurs via des services gérés.
La gestion des risques liés aux tiers ne doit pas nécessairement être une tâche interminable et épuisante qui ne mène nulle part. Découvrez ce que Prevalent peut faire pour vous. Demandez une démonstration dès aujourd'hui.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
