L'accent mis sur la surveillance continue des risques liés aux fournisseurs
Si vous avez assisté à des séminaires ou à des symposiums sur la gestion des risques liés aux fournisseurs tiers (TPVRM) au cours de l'année écoulée, l'expression " surveillance continue" a été régulièrement citée comme une exigence émergente.
Le contrôle continu est une étape au-dessus des exigences de contrôle permanent. Les autorités de réglementation souhaitent notamment que votre programme d'évaluation des fournisseurs soit en mesure d'identifier un problème avec un fournisseur qui pourrait survenir ou être connu en dehors d' un cycle d'évaluation périodique. L'émergence de menaces de cybersécurité provenant de relations avec des tiers alimente le passage d'un contrôle permanent à un contrôle continu.
Contrôle continu
Le contrôle continu est devenu le fondement historique des programmes efficaces de gestion des risques des tiers (TPRM). Commençant souvent au moment de l'intégration d'un nouveau fournisseur ou sur la base d'un calendrier de réexamen périodique indexé sur l'exposition au risque de la relation, le contrôle continu garantissait une visibilité permanente de la relation avec le fournisseur dans le but de déceler un problème potentiel.
Le suivi continu d'une relation avec un fournisseur comprend la connaissance de ses finances, des audits de contrôle, des plans et des tests de continuité et de résilience, des couvertures d'assurance et de sa position en matière de sécurité de l'information. Le contrôle continu comprend également le suivi des performances spécifiques en ce qui concerne la satisfaction globale de votre organisation à l'égard d'un fournisseur et le respect des niveaux de service définis pour la fourniture d'un produit ou d'un service.
Le défi de la sécurité de l'information
Historiquement, avec un contrôle continu, la vérification d'une discipline bien structurée en matière de sécurité de l'information auprès d'un fournisseur qui possède des données confidentielles sur une organisation ou un client, qui peut inclure des questionnaires et même des certifications, a été acceptée comme une diligence raisonnable suffisante pour garantir que toute exposition au risque a été atténuée.
Une stratégie de surveillance continue appliquée à la sécurité de l'information, en revanche, fait monter les enchères, et probablement l'engagement de votre fournisseur. Tout comme les nouvelles et les alertes qui en découlent permettent d'identifier les menaces de tiers en dehors du cycle d'examen, un processus similaire est nécessaire pour surveiller et alerter votre organisation d'une menace de risque pour vos données sensibles confiées à un tiers, ou même conservées par l'infrastructure informatique de votre organisation.
Nous sommes convaincus que la surveillance continue de la cybersécurité de votre propre infrastructure informatique et des relations avec les fournisseurs essentiels est la meilleure pratique actuelle du secteur et qu'elle deviendra une exigence de facto, voire une réglementation, au cours des 24 prochains mois.
Il s'agit non seulement d'une bonne pratique, mais aussi d'un élément de prudence dans tout cadre de gestion des risques. Il s'agit là d'une prédiction, mais compte tenu de l'étendue des mauvais acteurs et de l'exposition et des coûts d'une violation de la sécurité de l'information, il s'agit d'une conclusion logique, mais seulement si un moyen efficace de surveillance était disponible et abordable, comme nous pensons que c'est maintenant le cas.
La capacité à suivre le rythme de l'environnement dynamique exigé par les entreprises d'aujourd'hui définit des solutions, des exigences et des responsabilités élargies pour tous. Pour répondre à ce besoin imminent, vous devez envisager l'adoption d'une solution puissante de gestion du risque fournisseur (VRM) dotée des outils de surveillance continue dont vous aurez besoin aujourd'hui et à l'avenir.

Se défendre contre les risques liés aux fournisseurs et à l'entreprise
Découvrez nos solutions VRM/ERM les plus performantes.