La semaine dernière, lorsque nous avons révélé notre première série de prédictions pour la gestion des risques liés aux tiers en 2021, nous avons reconnu l'impact de Covid-19 sur les chaînes d'approvisionnement mondiales. Malheureusement, 2020 n'a pas fini de nous apprendre des leçons sur l'importance de la gestion des risques liés aux tiers, puisque les retombées de la faille de SolarWinds continuent d'apparaître au grand jour.
Si une chose est claire pour l'année à venir, c'est que votre organisation sera probablement plus concentrée que jamais sur la prévention des risques liés aux fournisseurs. Voici nos quatre dernières prédictions pour vous aider à relever le défi.
#5. L'évaluation des risques liés aux fournisseurs sera plus rapide
Les perturbations de la chaîne d'approvisionnement en 2020 ont mis en évidence non seulement la nécessité de faire preuve de souplesse dans la recherche de nouveaux fournisseurs, mais aussi l'importance de l'évaluation des risques dans le cadre du processus de recherche de fournisseurs. Malheureusement, de nombreuses organisations ont traditionnellement trouvé ces deux choses en contradiction. Il n'est donc pas étonnant que l'enquête EY Global TPRM Survey 2019-20 ait révélé que la moitié des répondants ne disposent pas d'un processus accéléré d'évaluation des risques précontractuels.
Le besoin de rapidité sera toujours aussi fort en 2021, et le marché du TPRM s'orientera donc plus rapidement vers le modèle de marché en réseau. Dans le cadre du modèle de réseau, les membres peuvent rapidement consulter les bibliothèques de fournisseurs potentiels, voir les scores de risque et consulter les évaluations de risque réalisées. Les autres aspects du modèle de réseau sont les suivants
- Une approche basée sur des normes qui compare tous les fournisseurs selon les mêmes critères.
- Des informations en temps réel sur la surveillance cybernétique, commerciale et financière qui complètent les résultats des évaluations périodiques des fournisseurs.
- Flexibilité pour demander des évaluations en cas de risques particuliers
- Des rapports et des analyses clairs pour mesurer les risques et la conformité
- Gestion du flux de travail pour tout relier
Les meilleurs réseaux sont soutenus par des équipes de services gérés expérimentées qui s'occupent de l'intégration, de l'évaluation, de la gestion et de l'établissement de rapports pour le compte de leurs clients.
#6. Les programmes de TPRM s'étendront au-delà des tiers
Envisagez le scénario suivant : Votre entreprise sous-traite la fabrication à un fournisseur dont le fournisseur de pièces se trouve dans un endroit où la commande est restée à la maison, et les produits du fournisseur ne sont pas considérés comme "essentiels". Votre fournisseur doit rapidement trouver une solution de remplacement, faute de quoi vous ne pourrez pas livrer vos clients.
Pratiquement toutes les chaînes d'approvisionnement ont plus d'un "maillon". Si vos évaluations des risques ne prennent en compte que le cercle immédiat des fournisseurs de votre organisation, votre visibilité des menaces pesant sur la chaîne d'approvisionnement est pour le moins floue.
Et vous n'êtes pas le seul. Notre étude 2020, The Third Rail of Security & Compliance, a révélé que 79 % des personnes interrogées ne prenaient pas en compte le risque de laquatrième partie. En outre, l'étude d'EY mentionnée ci-dessus a montré que 31 % des personnes interrogées s'appuient uniquement sur les clauses contractuelles pour résoudre les problèmes liés aux tiers. La chute d'un domino entraîne celle de tous les autres.
Il s'agit avant tout d'une question de visibilité. La cartographie des tiers permet de découvrir des lacunes potentielles au sein du paysage des tiers. Cet aspect prendra de l'importance en 2021, car les entreprises s'appuient sur des mesures de résilience opérationnelle pour prévoir les perturbations potentielles avant qu'elles ne se concrétisent.
#7. La réponse aux risques sera de plus en plus automatisée
De nombreuses organisations se débattent avec des processus d'évaluation des fournisseurs basés sur des feuilles de calcul qui nécessitent des douzaines d'étapes manuelles pour comprendre et agir sur les résultats. Cette approche n'est tout simplement pas évolutive à une époque où la rapidité et la résilience sont des atouts précieux.
En 2021, les organisations feront évoluer leurs programmes de TPRM en utilisant des règles pour passer au crible les flux d'informations sur les fournisseurs et déclencher des activités de réponse aux risques. Ces règles automatiseront, simplifieront et accéléreront les tâches d'intégration, d'évaluation et d'examen, telles que la mise à jour des profils des fournisseurs et des attributs de risque, l'envoi de notifications et/ou l'activation de flux de travail.
L'automatisation de type "Playbook" réduira le temps nécessaire pour tout faire, depuis l'intégration des fournisseurs et l'émission des évaluations, jusqu'à la corrélation des résultats et l'activation des flux de travail de remédiation. En bref, vous serez en mesure d'automatiser les processus TPRM, afin de trouver et de résoudre les problèmes plus rapidement.
#8. Les États-Unis vont adopter une loi fédérale sur la protection des données
Les exigences réglementaires régissant le recours à des tiers ne manquent pas, mais les États-Unis ne disposent toujours pas d'une loi unifiée sur la protection des données semblable au GDPR. Au lieu de cela, les États-Unis s'appuient actuellement sur une mosaïque de lois sur la notification des violations de données et d'exigences en matière de protection des données au niveau des États (par exemple, la CCPA et la CPRA en Californie).
L'année prochaine verra l'arrivée d'une nouvelle administration à la Maison Blanche et de majorités plus faibles au Congrès, ce qui permettra peut-être d'atténuer l'impasse législative. Ces changements, combinés à l'intensification des préoccupations en matière de cybersécurité au niveau national, pourraient signifier que 2021 sera l'année où les États-Unis adopteront enfin une loi unique régissant l'utilisation des données à caractère personnel.
Les implications d'une telle loi sont importantes si votre organisation travaille avec des tiers qui ont accès aux données de vos clients. Alors que les États-Unis s'orientent vers une loi unique sur la confidentialité des données, vous devez être prêt à répondre à trois questions fondamentales et à en apporter la preuve aux auditeurs :
- Où les données sensibles sont-elles stockées, qui y a accès et comment sont-elles partagées ?
- Quels sont les contrôles mis en place pour protéger les données sensibles résidant en interne ou chez des tiers ?
- Quel est le lien entre votre programme de protection de la vie privée et votre programme de gestion des risques liés aux tiers?
Bien entendu, la protection de la confidentialité des données va au-delà de la gestion des risques liés aux tiers. Mais si vous ne pouvez pas répondre à ces questions de base, votre organisation ne répondra probablement pas aux nouveaux mandats.
Prochaines étapes de la planification du TPRM 2021
Si vous avez sauté le pas, n'oubliez pas de consulter nos quatre premières prédictions pour 2021. Si vous avez rattrapé votre retard, consultez notre guide des meilleures pratiques, Naviguer dans le cycle de vie du risque fournisseur : Les clés de la réussite à chaque étape, ou évaluez votre programme TPRM à l'aide de notre calculateur d'évaluation des risques en ligne.
Vous voulez savoir comment Prevalent peut vous aider à relever vos défis spécifiques en matière de TPRM ? Demandez une démonstration personnalisée.
Nous vous souhaitons une bonne année 2021, en toute sécurité !
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
