Bien qu'il n'y ait pas de consensus sur la question de savoir si l'économie entre en récession, de nombreuses banques centrales et décideurs politiques recommandent aux gouvernements et aux organisations du monde entier de prendre des mesures proactives pour s'y préparer, par exemple en anticipant les contraintes salariales et en élargissant leur base de fournisseurs.

L'instabilité économique n'est cependant pas un phénomène nouveau. Au cours des deux dernières années, l'économie mondiale est passée d'un boom à un choc COVID à court terme, et elle reste perturbée par les interruptions constantes des fournisseurs et le marché de l'emploi le plus tendu depuis des décennies. Ces bouleversements soulignent la nécessité pour les organisations de se concentrer sur la résilience de l'entreprise - et, pour le professionnel de la gestion des risques de la tierce partie, cela signifie assurer la résilience des fournisseurs.

Face à l'incertitude économique, comment les équipes chargées de la sécurité, de la gestion des risques et de l'approvisionnement
peuvent-elles s'assurer que leurs organisations continuent à se concentrer sur les risques et la résilience des tiers ? Voici trois recommandations :

1. Externaliser les tâches de gestion des risques confiées à des tiers pour faire face aux problèmes de main-d'œuvre et à la hausse des coûts

Si votre organisation est confrontée à des défis liés aux pressions salariales, à la pénurie de main-d'œuvre, à la rotation du personnel et à l'épuisement professionnel, vous pouvez envisager de confier certaines activités de TPRM de niveau inférieur à un expert du domaine. Les services gérés de gestion des risques par des tiers peuvent effectuer des tâches pour le compte de vos équipes, notamment

  • Gestion des contrats : Téléchargement des contrats, extraction des attributs clés et configuration de rappels automatisés pour le suivi.
  • Gestion des fournisseurs : Création de profils de fournisseurs, intégration et désintoxication des fournisseurs, maintien des contacts et assistance de première ligne.
  • Gestion de l'évaluation : Création et gestion des calendriers d'évaluation
  • Gestion des réponses : Recherche et suivi des réponses ; examen des réponses et des notes pour détecter les signaux d'alerte, les contradictions, l'applicabilité et la fraîcheur des preuves.
  • Gestion des quatrièmes et des énièmes parties : Identification des quatrièmes parties et création de cartes de relations basées sur les dépendances et les attributs de l'entreprise.
  • Surveillance continue des risques émergents : Identifier et examiner les événements liés à la cybercriminalité, aux affaires, à la réputation, à la finance et aux violations de données - et faire remonter les événements critiques pour les trier.
  • Gestion des incidents : Engagement proactif avec des fournisseurs tiers touchés par des événements cybernétiques ou physiques perturbateurs spécifiques.

L'externalisation des tâches quotidiennes liées à la gestion d'une relation avec un tiers permettra à votre équipe de se concentrer sur des tâches à forte valeur ajoutée, comme la gestion des risques au lieu de la mise à jour des listes de contacts des fournisseurs. En retour, votre organisation sera plus résiliente face aux perturbations liées aux fournisseurs.

Des études montrent que le fait de confier le travail quotidien de gestion des fournisseurs à un prestataire de services gérés permet de gagner du temps, d'améliorer l'efficacité et d'accélérer la découverte et l'atténuation des risques. Grâce à l'externalisation des services gérés, les équipes chargées de la gestion des fournisseurs peuvent se concentrer sur les points suivants :

  • Gérer les performances des fournisseurs et les risques par rapport aux niveaux de service, aux indicateurs clés de performance et aux indicateurs clés de risque convenus.
  • Remédier aux risques et aux problèmes de conformité à un niveau acceptable
  • Prévoir les problèmes des fournisseurs en obtenant une visibilité sur l'ensemble des risques liés aux tiers (cybernétique, commercial, financier, etc.) et en comprenant comment ils contribuent au risque de l'entreprise.

En définitive, un processus robuste et automatisé d'évaluation des risques par un tiers peut réduire le coût, l'impact et la probabilité d'une violation.

Remarque : ce modèle ne s'applique qu'aux cyberattaques. L'automatisation des évaluations par des tiers peut également éviter les coûts liés aux perturbations opérationnelles, mais ces chiffres peuvent varier considérablement d'un scénario à l'autre.

Prochaines étapes

Compte tenu du nombre croissant de violations de données de tiers et d'interruptions de services de fournisseurs, votre entreprise ne peut pas se permettre de laisser la conjoncture économique l'empêcher de garantir la résilience de ses fournisseurs. Téléchargez le calculateur de la valeur d'une évaluation des risques liés aux tiers, évaluez vos fournisseurs en fonction des exigences de résilience de l'entreprise, ou contactez-nous dès aujourd'hui pour une démonstration afin de découvrir comment nous pouvons vous aider à réduire les coûts d'évaluation des risques grâce à notre expertise en matière de consolidation et de services gérés.

2. Consolider les outils qui se chevauchent pour réduire les coûts, améliorer l'efficacité et combler les lacunes en matière de risques

Les professionnels de la gestion du risque fournisseur savent que les approches ponctuelles d'évaluation par un tiers ne permettent pas d'appréhender tous les risques fournisseurs en temps voulu. Bien que les évaluations ponctuelles soient essentielles pour recueillir des données sur les contrôles internes, il est nécessaire d'adopter une approche continue pour surveiller les changements dans la posture cybernétique, les événements commerciaux, la situation financière et la réputation d'un fournisseur, afin d'obtenir un contexte supplémentaire et de combler les lacunes entre ces évaluations ponctuelles.

Pourtant, les organisations s'attaquent souvent à ce problème en recourant à un ensemble d'outils coûteux et hétéroclites qui ne peuvent pas être intégrés ou fournir un contexte pour les résultats de l'évaluation. Si votre organisation aborde l'année 2023 avec des budgets stables ou réduits, envisagez une stratégie de surveillance continue des risques par des tiers qui :

  • consolide les données externes relatives à la cybersécurité, aux atteintes à la protection des données, à la mise à jour des activités, à la réputation et aux risques financiers en une seule image de la position d'un fournisseur face aux risques
  • Permet une action coordonnée basée sur la validation ou non des résultats de l'évaluation
  • Inclut les meilleurs flux de données pour chaque dimension du risque
  • Offre la possibilité d'intégrer les sources de données existantes dans une plateforme centrale pour une vision unique du risque.

Une approche consolidée de la surveillance permet de réaliser de bien meilleures économies d'échelle, d'améliorer l'efficacité et de réduire les lacunes en matière de couverture.

3. Communiquer l'impact financier d'une évaluation des risques par un tiers pour maintenir la priorité de l'organisation

L'évaluation des risques par des tiers peut s'avérer fastidieuse et coûteuse si vous utilisez des méthodes manuelles telles que des feuilles de calcul. L'automatisation peut s'avérer utile, mais comment quantifier la réduction des risques par l'automatisation du processus d'évaluation ? Envisagez de calculer la valeur du risque qui peut être éliminé de l'entreprise grâce à l'automatisation de l'évaluation des risques. Voici un exemple :

  1. Commencez par déterminer le nombre de vendeurs et de fournisseurs tiers à haut risque avec lesquels votre organisation travaille. À titre d'illustration, disons que ce nombre est de 500.
  2. Il faut tenir compte du coût moyen d'une violation de données par un tiers, qui s'élève à environ 4,59 millions de dollars selon une étude récente de l'Institut Ponemon et d'IBM. L'automatisation des technologies, notamment l'automatisation des évaluations des risques, constitue une approche essentielle pour réduire les coûts liés aux violations de données. Avec l'automatisation, le coût moyen d'une violation de données diminue d'un tiers pour atteindre environ 3 millions de dollars. Dans les deux cas, les coûts réels d'une violation varient en fonction de la taille de l'entreprise.
  3. Considérez la probabilité inhérente qu'une violation se produise au cours des deux prochaines années. Selon Ponemon, la probabilité qu'une organisation subisse une violation de données au cours des deux prochaines années est de près de 30 %. Avec l'automatisation, ce chiffre est divisé par deux et tombe à 15 %.
  4. Calculez l'exposition totale au risque en multipliant le coût moyen d'une violation par un tiers par la probabilité d'une violation. Sans automatisation, ce coût s'élève à environ 1,4 million de dollars. Avec l'automatisation, il tombe à 450 000 dollars.
  5. Calculez l'exposition au risque par fournisseur en divisant l'exposition au risque par le nombre de fournisseurs présentant un risque plus élevé. Dans cet exemple, cela représente 2 754 dollars par fournisseur sans automatisation et 900 dollars par fournisseur avec automatisation.
  6. Pour calculer la valeur de chaque évaluation automatisée des risques, il suffit de comparer les chiffres calculés à l'étape 5. Ici, la valeur est de 1 854 $ en réduction de risque par évaluation.

Dans cet exemple, nous avons éliminé 1 854 dollars de coûts potentiels de violation de données pour chaque tiers évalué. Multipliez ce chiffre par 500 fournisseurs essentiels et vous pourrez réduire votre risque potentiel de près d'un million de dollars !

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.