Note de l'éditeur : L'entretien suivant avec Brad Hibbert de Prevalent a été publié dans le TAG Cyber 2022 Security Annual - 3rd Quarter et est reproduit ici avec l'autorisation de l'éditeur.
Les équipes des entreprises sont confrontées à d'importants défis en matière de cybersécurité, notamment des problèmes opérationnels et des questions de conformité. Un problème fondamental est que les entreprises ne peuvent pas s'attendre à une visibilité parfaite de l'écosystème de sécurité des fournisseurs et des partenaires, ce qui entraîne des risques pour les données, les systèmes et les ressources partagées.
ressources partagées.
Prevalent est un leader dans la fourniture de solutions commerciales pour la gestion des risques de sécurité et de conformité des tiers. TAG Cyber a voulu en savoir plus sur la manière dont cette capacité de sécurité des tiers pouvait être déployée pour réduire les cyber-risques.
Quels sont les principaux risques auxquels les équipes d'entreprise sont confrontées avec les vendeurs, les fournisseurs et les partenaires tiers ?
Nos clients considèrent que les risques se répartissent en six grandes catégories. Tout d'abord, il y a la cybersécurité, qui comprend les risques pour les données et les systèmes en raison d'intrusions extérieures par l'intermédiaire d'un tiers. Viennent ensuite les risques commerciaux, tels que le manque de résilience d'un tiers confronté à des défis opérationnels ou à des perturbations dues à des pandémies ou à des catastrophes naturelles. Les risques financiers surviennent lorsque des vendeurs et des fournisseurs tiers connaissent des difficultés financières, font faillite ou ont une mauvaise cote de crédit. Les risques environnementaux, sociaux et de gouvernance (ESG) sont, par exemple, le fait qu'un fournisseur ait un mauvais bilan environnemental, qu'il soit accusé d'utiliser de la main-d'œuvre illégale ou qu'il ne pratique pas une gouvernance d'entreprise efficace dans l'ensemble. Les risques liés à la réputation, tels queles nouvelles négatives, les rappels de produits, les fautes professionnelles des dirigeants et les sanctions, peuvent également être une source d'inquiétude. Enfin, les risques de conformité comprennent des éléments tels que les conclusions du GDPR, les audits ratés, les pots-de-vin, la corruption ou les problèmes éthiques. Si les risques liés à la cybersécurité et à la protection des données retiennent le plus l'attention, de nombreux autres types de risques ont également un poids réglementaire.
Comment votre plateforme fonctionne-t-elle au cours du cycle de vie de la gestion des risques liés aux tiers (TPRM) ?
Nous commençons par automatiser le processus d'appel d'offres en ajoutant des informations démographiques, de quatrième partie, ESG, commerciales, de réputation et financières pour aider les équipes d'approvisionnement à incorporer l'intelligence du risque aux décisions de sélection des fournisseurs et à la diligence préalable au contrat. Ensuite, nous automatisons la migration d'un fournisseur sélectionné vers un contrat en suivant de manière centralisée tous les contrats et attributs avec un flux de travail et un contrôle de version. Une fois qu'un fournisseur est sélectionné et sous contrat, nous émettons des évaluations de profilage et de hiérarchisation pour calculer les scores de risque inhérents. Grâce à ces données, les entreprises peuvent classer les fournisseurs par catégorie et prendre des décisions sur l'étendue de la diligence raisonnable.
Nous proposons également une bibliothèque de plus de 100 modèles de questionnaires et d'enquêtes personnalisées pour évaluer les tiers sur un large éventail de critères, de l'InfoSec à la confidentialité des données en passant par l'ESG et la solvabilité financière. Nous utilisons les réponses de ces enquêtes pour alimenter un registre central des risques qui peut être utilisé pour visualiser les risques et agir en conséquence. Nous fournissons également des rapports selon la réglementation et les cadres afin de simplifier la présentation des données, et nous gérons les mesures correctives jusqu'à un niveau acceptable de risque résiduel.
Parce qu'il peut se passer beaucoup de choses entre deux évaluations régulières, nous suivons et analysons en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Nous aidons les organisations grâce à des tableaux de bord centralisés qui gèrent et suivent les performances des tiers par rapport aux exigences contractuelles. Enfin, nous automatisons l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle d'une organisation.
Quel est le rôle de la visibilité dans la gestion des risques liés aux tiers et comment votre plateforme optimise-t-elle cette visibilité ?
La vieille maxime est vraie : on ne peut pas gérer ce que l'on ne peut pas mesurer. Et j'ajouterais : on ne peut pas mesurer ce que l'on ne voit pas : On ne peut pas mesurer ce que l'on ne voit pas. La visibilité des risques de l'entreprise est au cœur de notre plateforme. Elle commence par l'approvisionnement - en obtenant unevisibilité avant le contrat sur les risques tels que les finances des fournisseurs, les violations de données ou les problèmes de conformité - et s'étend à l'offre d'une plateforme unique basée sur les rôles que plusieurs équipes de l'entreprise peuvent utiliser pour visualiser les risques qui leur importent. Pour ce faire, nous utilisons des tableaux de bord et des rapports personnalisés et spécifiques à chaque rôle.
Expliquez-nous comment vous soutenez le TPRM par le biais de votre réseau de risques fournisseurs.
Nos réseaux sont des bibliothèques à la demande contenant des milliers de rapports sur les risques liés aux fournisseurs, continuellement mis à jour et étayés par des preuves. Les clients utilisent les réseaux - Exchange, Legal Vendor Network et Healthcare Vendor Network - pour démarrer leur processus de due diligence des fournisseurs en accédant immédiatement aux évaluations réalisées, ce qui les aide à développer leurs programmes afin qu'ils puissent consacrer leur temps et leur énergie à identifier les risques et à y remédier plutôt qu'à harceler les fournisseurs.
Pouvez-vous nous donner un aperçu de l'avenir du TPRM dans les années à venir ?
Nous voyons le TPRM évoluer vers des niveaux d'externalisation plus importants, impliquant davantage d'équipes d'entreprise et de types de risques, ainsi que vers un modèle plus continu et plus approfondi dans certains secteurs verticaux. Tout d'abord, les entreprises s'appuient sur un réseau de tiers de plus en plus étendu, tout en étant confrontées à un réseau croissant de risques géopolitiques, d'exigences réglementaires et de menaces de cybersécurité. Malheureusement, la plupart des entreprises gèrent ces risques à l'aide de processus manuels qui mettent davantage l'accent sur l'identification des risques que sur leur correction. Au cours des prochaines années, les entreprises qui tentent de mettre en place des programmes efficaces de gestion des risques technologiques se heurteront à un mur, ce qui les amènera à adopter des approches plus automatisées et plus proactives, telles que le recours à des sociétés d'externalisation des processus d'entreprise et/ou à des logiciels externes dédiés à la gestion des risques technologiques.
Ensuite, les entreprises subissent la pression d'une série de parties prenantes - y compris les régulateurs, les investisseurs et les consommateurs - pour améliorer la visibilité et la surveillance de leur exposition aux risques liés aux tiers. Bien que les organisations puissent commencer par se concentrer principalement sur les cybermenaces, elles verront la nécessité de permettre des décisions fondées sur le risque en évaluant et en surveillant de manière proactive un profil de risque plus complet tout au long de la relation avec les tiers. Cela nécessitera la rationalisation et l'harmonisation de la technologie, des processus (flux de travail) et du personnel.
Les départements et les équipes devront prendre en compte les risques dans toutes leurs activités et leurs prises de décision, y compris dans les activités qui sont actuellement plus axées sur l'efficacité opérationnelle. Les équipes chargées de tout, de la recherche et de l 'intégration de nouveaux fournisseurs à la gestion de leurs performances au fil du temps, continueront à consommer des informations sur les risques provenant de sources de données similaires (par exemple, un profil de risque complet) et commenceront à exploiter les connaissances de leurs pairs pour soutenir les négociations contractuelles et les discussions relatives à leurs domaines de travail respectifs.
Les entreprises continueront également à améliorer les programmes pour les tiers en utilisant l'intégration, l'automatisation, les réseaux d'intelligence et l'analyse pour évaluer et surveiller en permanence et plus étroitement leurs chaînes d'approvisionnement étendues. Enfin, les entreprises de certains secteurs verticaux continueront d'adopter des réseaux de partage afin d'accélérer l'identification des risques et de mettre davantage l'accent sur la correction des risques. Ces réseaux de partage évolueront au-delà du partage de l'évaluation vers le partage de l'intelligence, les entreprises et les tiers concevant, adoptant et appliquant une communication ouverte pour partager de manière proactive des informations relatives à la cybernétique, à la conformité, aux incidents, à la performance et plus encore.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
