La semaine dernière, nous avons partagé la première série de six prévisions pour 2020 formulées par notre équipe d'experts en gestion des risques liés aux tiers : Brad Hibbert, directeur de l'exploitation et directeur de la sécurité ; Alastair Parr, vice-président senior des produits et de la livraison mondiaux, et Brenda Ferraro, vice-présidente des risques liés aux tiers. N'hésitez pas à consulter cet article pour en savoir plus sur les dangers du financement, l'évolution constante du rôle du responsable des fournisseurs, le dépassement de la conformité et des évaluations ponctuelles, l'essor des analyses avancées et la banalisation des outils de notation de la sécurité.
Que nous réserve encore l'avenir ? Poursuivez votre lecture pour découvrir les prédictions 7 à 12 !
7. Confidentialité, confidentialité, confidentialité !
L'année 2020 accordera encore plus d'attention à la confidentialité des données, en particulier aux États-Unis où il existe plus de 50 variantes différentes d'une loi de type RGPD, créant ainsi un ensemble complexe d'exigences réglementaires auxquelles les organisations et leurs tiers doivent se conformer. Le RGPD aura une deuxième année complète pour s'imposer. La CCPA entrera en vigueur le 1er janvier. À cela s'ajoutent la loi NY SHIELD et, plus tôt cette année, une extension des normes ISO 27001 et ISO 27002 visant spécifiquement à traiter les risques liés à la confidentialité. La complexité croissante poussera les régulateurs fédéraux et le Congrès à élaborer un cadre consensuel pour traiter la confidentialité et la protection des données à l'échelle nationale. Nous prévoyons que le NIST reproduira pour la confidentialité et la protection des données ce qu'il a fait avec le cadre de cybersécurité (c'est-à-dire tirer parti des meilleures pratiques existantes pour créer une nouvelle norme de cybersécurité). Un changement d'administration pourrait contribuer à accélérer ce processus.
8. Le partage des preuves évolue vers un véritable modèle communautaire
Le concept de partage des preuves n'est pas nouveau. Il consiste à permettre aux professionnels du risque de concentrer leurs ressources sur la résolution des problèmes liés aux risques et à la conformité en exploitant un référentiel de questionnaires remplis par les fournisseurs et en effectuant une surveillance continue. Ce concept « collecter une fois, partager plusieurs fois » permet aux programmes de gestion des risques de rationaliser les processus et d'étendre la couverture du programme. Aujourd'hui, de nombreux réseaux se concentrent sur la collecte de preuves initiée par des clients qui souhaitent évaluer leurs fournisseurs dans le cadre de réévaluations annuelles. Au cours des 24 prochains mois, nous prévoyons d'observer les activités suivantes au sein des communautés de réseaux partagés :
- Les avantages concrets des réseaux de partage des données probantes, combinés à la promotion de ces avantages par les organisations et les communautés, continueront à favoriser l'adhésion de nouveaux membres.
- L'adoption de réseaux verticalisés continuera de se développer, fournissant des informations spécifiques à chaque secteur en termes d'évaluations ciblées basées sur des contrôles et de participation ciblée des membres/fournisseurs.
- Les réseaux de partage évolueront au-delà du partage des données d'évaluation complètes pour inclure le partage proactif des performances des fournisseurs, des événements, de la satisfaction et d'autres informations pertinentes pouvant bénéficier aux autres membres.
- Les réseaux de partage commenceront à fournir davantage d'informations agrégées, comparatives et analytiques afin d'automatiser et de rationaliser les processus liés aux risques fournisseurs.
- Les réseaux de partage chercheront à passer d'évaluations ponctuelles à un modèle de partage plus proactif et progressif, facilitant les interactions continues entre les membres, ainsi qu'entre les membres et les fournisseurs participants.
9. Les fournisseurs passent à l'offensive
Les organisations commenceront progressivement à collaborer pour améliorer leur efficacité et réduire leurs coûts, soit en interne tout au long de la chaîne de vie des tiers, soit en externe avec leurs pairs dans les secteurs verticaux afin de lutter contre la mentalité « nous contre eux ». Les risques liés aux tiers et la gouvernance continueront d'être segmentés entre les organisations qui tentent de faire évoluer leurs chaînes d'approvisionnement peu maniables et celles qui poussent à une plus grande maturité et intégration.
Les outils et les capacités permettant de collecter des données quantitatives auprès des tiers continueront à se multiplier, avec une priorité accordée à la facilité d'utilisation et à l'automatisation. Cela entraînera une augmentation du nombre d'organisations qui demanderont et collecteront des informations sur les risques liés aux tiers à l'aide de la technologie. Cela représentera un défi logistique croissant pour les tiers, qui présentent les mêmes informations de différentes manières sur différentes plateformes tout au long de l'année.
Les fournisseurs répondent chaque année à des dizaines, voire des centaines d'évaluations. Si de nombreuses organisations disposent d'un programme tiers de gestion des risques liés aux fournisseurs, la plupart effectuent leurs propres évaluations de manière ponctuelle et manuelle. En réalité, de nombreux fournisseurs répondent aux enquêtes, mais ne disposent pas des outils ou de la visibilité nécessaires pour comprendre comment ces évaluations peuvent les aider à hiérarchiser de manière proactive leurs propres mesures correctives internes afin de renforcer leur sécurité et leur conformité.
De plus en plus, nous voyons des fournisseurs demander à télécharger leurs preuves de manière proactive. Ils souhaitent télécharger, publier et mettre à jour leurs preuves en un seul endroit, qui peut ensuite être partagé avec tous leurs clients. Nous prévoyons que l'adoption et la maturité des portails fournisseurs continueront d'augmenter au cours des 12 à 24 prochains mois, permettant ainsi aux clients et aux fournisseurs de rationaliser leurs processus et, à terme, de partager les coûts des programmes.
10. Une petite personnalisation peut faire toute la différence
Au cours de l'année à venir, les organismes tiers spécialisés dans la gestion des risques continueront de réagir en proposant des services en ligne destinés aux tiers, mais ils se heurteront à la résistance des auditeurs et des responsables des risques, qui comprennent qu'une évaluation/un profil fixe n'apporte qu'une valeur limitée. Nous verrons donc les organisations et les fournisseurs s'orienter vers un modèle hybride, tirant parti de contenus préremplis et d'ajouts personnalisés pour gagner en efficacité.
11. Utilisation accrue des données de profilage (plus de flux provenant de plus d'applications signifie une meilleure intelligence)
Pour les organisations qui ont mis en place des processus et une bonne visibilité sur leurs actifs tiers, que ce soit en raison d'obligations réglementaires ou d'une bonne planification et exécution, nous assisterons à un élargissement des données de profilage et des capacités de reporting. Les organisations matures exploiteront les flux provenant de multiples systèmes et capacités pour enrichir leurs profils tiers couvrant toute la gamme de la surveillance des menaces, des données d'évaluation, des données sur les risques commerciaux et la conformité juridique. Cela permettra de soutenir l'équipe chargée du cycle de vie des risques tiers au sens large et d'apporter des réponses plus éclairées. En outre, les organisations matures chercheront à mieux comprendre les vastes volumes de données qu'elles ont agrégés à l'aide d'outils de reporting intelligents plus adaptés à l'analyse des mégadonnées.
12. Du risque partiellement connu au risque réel
Le risque réel ne signifie pas que nous n'avons pas identifié les risques ou appliqué les pratiques appropriées d'atténuation des risques lorsque nous avons utilisé une approche fondée sur la confiance et la vérification ! Cependant, de nombreux praticiens ont rédigé leurs politiques de gestion des tiers de manière à axer la compréhension des risques sur l'évaluation des normes de contrôle respectées ou non respectées. Par conséquent, l'accent mis sur la correction des risques a toujours été consacré à l'atténuation des normes de contrôle non respectées, ce qui peut potentiellement attirer l'attention sur ce que l'on appelle les risques partiellement connus.
Par exemple, lorsqu'un rapport sur les menaces est utilisé pour identifier les facteurs de risque liés aux renseignements open source, il est essentiel de configurer des seuils contextuels et de définir la portée de l'engagement afin de mieux comprendre les risques importants. Lorsque des questionnaires et des documents faisant autorité sont utilisés pour identifier les risques, l'évaluation exige que les réponses « Oui » et « Non » soient toutes deux prises en compte.
Le risque réel correspond à la situation où la technique d'évaluation prend en compte à la fois les réponses « oui » et « non » et où le niveau de maturité en matière de sensibilisation aux risques est identifié pour chaque réponse « oui ». Après tout, toutes les réponses « oui » ne se valent pas. Appliquer une disposition au risque sur une sensibilisation partielle aux risques peut rendre les entreprises vulnérables en leur faisant confiance à une posture de maturité standard en matière de contrôle avec une simple réponse « oui ». En 2020, vous constaterez un changement marqué, passant de l'accent mis sur la correction des réponses « non » à l'identification de la maturité des réponses « oui » pour le risque réel et une maturité accrue en matière de résilience.
Contactez-nous dès aujourd'hui pour obtenir plus d'informations sur la manière dont Prevalent peut vous aider à développer et à perfectionner votre programme de gestion des risques liés aux tiers.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
