La gestion des risques liés aux tiers à la croisée des chemins : Résultats de l'étude 2022 sur les meilleures pratiques en matière de gestion des risques liés aux tiers

Suivez ces trois recommandations pour mettre votre programme de TPRM sur la voie de la réussite.

Personnel de Mitratech
Personnel de Mitratech Mai 5, 2022 8 min de lecture
 

Les résultats de l'étude définitive 2022 sur la gestion des risques liés aux tiers sont disponibles - et il y a beaucoup à dire sur la façon dont les organisations réagissent au nombre record de violations de données de tiers, aux perturbations de la chaîne d'approvisionnement dues à la poursuite des fermetures pour cause de pandémie, et même à la guerre en Ukraine.

L'étude de cette année montre que la gestion des risques des tiers (TPRM) est à la croisée des chemins et que les entreprises ont le choix entre deux voies : la voie existante et la voie meilleure. Pour illustrer ce propos, examinons les conclusions de l'étude :

La voie actuelle La meilleure voie
Les organisations accordent plus d'attention aux risques de sécurité non informatiques ... ... mais devrait en faire plus dans les zones à risque.
La gestion des risques liés aux tiers pourrait (enfin !) devenir plus stratégique ... ... mais les organisations devraient s'efforcer d'éliminer les méthodes manuelles tenaces d'évaluation des tiers qui rendent les audits plus complexes et plus longs.
Les organisations s'inquiètent à juste titre des incidents de sécurité de plus en plus préjudiciables ... ... mais devraient unifier leur ensemble d'outils disparates afin de réduire le temps de détection et de réponse aux incidents impliquant des tiers.Dans ce billet, nous passerons en revue les bonnes (et les mauvaises) nouvelles et recommanderons trois étapes que les organisations peuvent suivre pour améliorer leurs processus TPRM afin de s'engager sur la voie du succès.
Les entreprises évaluent assez bien les risques liés aux fournisseurs lors des étapes les plus évidentes du cycle de vie des tiers ... ... mais devrait envisager d'autres étapes pour éviter que la discipline du TPRM ne s'affaiblisse au fur et à mesure que les relations avec les fournisseurs progressent.

40 % des entreprises accordent plus d'attention aux risques de sécurité non informatiques... mais ce n'est pas encore suffisant

Les programmes de gestion des risques liés aux technologies de l'information et de la communication (TPRM) sont encore principalement axés sur la gestion des risques liés aux fournisseurs informatiques (45 %), mais une proportion surprenante de 40 % des personnes interrogées dans le cadre de l'étude de cette année affirment qu'elles se concentrent sur la gestion des risques liés aux fournisseurs informatiques et non informatiques.

Focus sur les risques du programme TPRM

En outre, comme le montre le graphique ci-dessous, davantage d'équipes sont préoccupées par les risques liés au TPRM au-delà de la sécurité informatique.

Équipes non spécialisées dans la sécurité et intéressées par le TPRM

Toutefois, les risques non informatiques les moins importants sont l'esclavage moderne, la lutte contre le blanchiment d'argent et la lutte contre les pots-de-vin et la corruption. Dans la même veine que l'enquête Prevalent 2021 Third-Party Risk Management, les entreprises continuent de négliger des risques moins quantifiables qui pourraient pourtant entraîner des violations de la conformité, des amendes ou des impacts négatifs sur la réputation. Par exemple, avec l'invasion russe de l'Ukraine, les entreprises ayant des fournisseurs tiers en Russie doivent maintenant se demander si elles sont exposées à la corruption et au blanchiment d'argent en raison des sanctions.

La gestion des risques liés aux tiers peut (enfin !) devenir plus stratégique... mais ces tableurs encombrants doivent disparaître.

Deux tiers des personnes interrogées déclarent que leurs programmes de TPRM ont gagné en visibilité auprès des cadres et du conseil d'administration par rapport à l'année dernière. C'est une excellente nouvelle ! La gestion de la relation client commence à être considérée comme stratégique. Toutefois, il a fallu une augmentation massive des problèmes de cybersécurité liés aux fournisseurs tiers et aux fournisseurs, tels que Log4j, la rupture de la chaîne d'approvisionnement de Toyota et l'attaque par ransomware de Kaseya, pour en arriver là.

Visibilité du TPRM auprès des dirigeants

Malheureusement, les processus manuels freinent encore les entreprises, qui sont encore plus nombreuses (45 %) à déclarer utiliser des feuilles de calcul pour évaluer leurs tiers cette année par rapport à 2021.

Les entreprises utilisent encore des feuilles de calcul pour évaluer les tiers

Ces processus manuels ajoutent une complexité et un temps inutiles aux audits des risques des tiers, 32% des personnes interrogées déclarant qu'il faut plus d'un mois (et dans certains cas plus de 90 jours) pour produire les rapports et les preuves nécessaires pour répondre aux audits réglementaires.

Temps nécessaire pour répondre aux audits réglementaires

Quelque chose ne va pas avec les approches existantes, car un pourcentage élevé de personnes interrogées déclarent que leurs méthodes actuelles d'évaluation des fournisseurs ne sont pas en mesure de fournir des rapports pour démontrer la conformité (57 %), d'être plus proactives dans la réponse aux incidents des tiers (50 %) ou d'évaluer les risques à chaque étape du cycle de vie du fournisseur (48 %).

Satisfaction à l'égard des solutions actuelles de TPRM

45% des organisations ont subi un incident de sécurité d'un tiers au cours de l'année écoulée... mais utilisent des outils disparates qui allongent les délais de réponse à l'incident.

La principale préoccupation des organisations concernant l'utilisation de tiers est la violation de données (69 %), et 45 % des personnes interrogées ont déclaré avoir subi un incident de sécurité au cours de l'année écoulée - contre 21 % en 2021 !

Incidents impliquant des tiers en 2021 et 2022

Les principaux outils de réponse aux incidents que les répondants ont déclaré avoir à leur disposition comprennent la surveillance des violations de données (51 %), la surveillance de la cybersécurité/du web sombre (45 %), l'évaluation des fournisseurs (manuelle/à l'aide de feuilles de calcul) (43 %) et l'autodéclaration proactive des fournisseurs (43 %). Mais seulement 38 % ont indiqué avoir accès à des évaluations automatisées des fournisseurs.

Outils de réponse aux incidents

Les statistiques les plus décourageantes de toutes : 8 % des entreprises n'ont pas du tout mis en place de programme de réponse aux incidents de tiers, tandis que 23 % adoptent une approche passive de la réponse aux incidents de tiers. Bonne chance pour le prochain SolarWinds.

Approches en matière de réponse aux incidents impliquant des tiers

Résultat : Il s'écoule environ 2,5 semaines entre la découverte de l'incident et la remédiation - une éternité pour une organisation vulnérable à un exploit potentiel.

Moins de la moitié des entreprises suivent les risques aux derniers stades du cycle de vie des fournisseurs

Les risques contractuels et les risques aux stades de l'intégration et de la résiliation de la relation ne sont pas très bien classés parmi les risques que les entreprises suivent actuellement - 45% et 43%, respectivement. En fait, le pourcentage de clients qui suivent les risques diminue à mesure que le cycle de vie de la relation arrive à maturité, ce qui indique que les entreprises se concentrent davantage sur les risques aux premiers stades, et moins sur les risques au fur et à mesure que la relation se poursuit. Compte tenu de tous les risques liés au non-respect des attentes contractuelles, cette situation est surprenante.

Types de risques liés à des tiers suivis par les organisations aujourd'hui

3 recommandations de bonnes pratiques pour améliorer votre feuille de route TPRM

Les résultats de cette étude montrent que les équipes de TPRM progressent vers une approche plus stratégique de la TPRM, mais que trois domaines nécessitent des améliorations supplémentaires.

1. Étendre les évaluations au-delà de la sécurité informatique afin d'unifier les équipes dans le cadre d'une solution unique et de simplifier les audits

Si l'on considère les risques liés aux tiers uniquement sous l'angle des technologies de l'information, on passera à côté de risques importants. Il faut donc investir dans une solution qui comprend des modèles de questionnaires intégrés et des informations complémentaires pour traiter des domaines allant des risques commerciaux/opérationnels, financiers et de réputation aux risques ESG et de conformité.

En unifiant les renseignements sur les risques non informatiques avec les résultats des évaluations traditionnelles de la cybersécurité et de la confidentialité des données, vous pouvez.. :

  • Améliorer la visibilité des risques liés aux fournisseurs tout en répondant aux besoins de plusieurs départements
  • Accroître la valeur stratégique de votre programme de gestion des risques liés aux tiers
  • Améliorer les rapports et éliminer l'utilisation persistante de feuilles de calcul pour la collecte et l'analyse des données sur les risques liés aux tiers.

En outre, étant donné que près d'un tiers des entreprises déclarent qu'il leur faut plus de 30 jours (et certaines plus de 90 jours) pour produire les preuves requises pour répondre aux audits réglementaires, la collecte de ces informations dans une plateforme unique accélérera les examens d'audit et permettra aux équipes de retourner à leurs tâches quotidiennes.

2. Automatiser la réponse aux incidents pour réduire les coûts et les délais

Alors que 45 % des entreprises ont signalé un incident de sécurité au cours de l'année écoulée - et que 69 % d'entre elles déclarent qu'il s'agit de leur priorité - des efforts supplémentaires doivent être faits pour automatiser la réponse aux incidents afin d'en atténuer les résultats. Investissez dans des outils et des processus matures qui :

  • Gestion centralisée de tous les fournisseurs sur une plateforme unique - la première étape, et la plus importante, est d'obtenir une visibilité sur votre écosystème de tiers.
  • Savoir quels sont les tiers (et les Nièmes parties) qui risquent d'être victimes d'une violation en cartographiant les relations avec les fournisseurs sur la base de l'utilisation de la technologie.
  • Poser les bonnes questions aux bons fournisseurs grâce à des questionnaires d'évaluation des événements contextuels
  • Obtenir une alerte précoce en cas d'incident en permettant aux fournisseurs de soumettre de manière proactive des évaluations d'événements
  • Révéler les impacts potentiels en suivant, évaluant et gérant en permanence les cyber-risques, les risques commerciaux, les risques de réputation et les risques financiers au sein d'une seule et même plateforme.
  • Réduire rapidement les risques pour votre entreprise en accédant à des conseils prescriptifs en matière de remédiation
  • Satisfaire les besoins des régulateurs, des membres du conseil d'administration et des autres parties prenantes grâce à des rapports proactifs sur l'évolution de la réponse aux incidents et sur les mesures d'atténuation.

3. Boucler la boucle du cycle de vie des tiers

Les données de l'étude de cette année montrent que la discipline en matière d'évaluation des risques diminue au fur et à mesure que le cycle de vie du fournisseur progresse. Voici quelques conseils pour aborder les risques à un stade ultérieur de la relation.

  • Les performancescontractuelles et les accords de niveau de service: Lorsque vous identifiez et traitez les risques liés aux tiers, il est important de garder une trace de toutes les activités de chaque vendeur et fournisseur. C'est pourquoi vous devez rechercher une plateforme de TPRM dotée de solides capacités de gestion du cycle de vie des contrats. Cette fonctionnalité est non seulement essentielle pour le reporting interne, mais elle peut également s'avérer un outil précieux pour mesurer le respect des conditions convenues, des accords de niveau de service, des objectifs d'indicateurs clés de performance et des exigences de conformité. Les résultats peuvent éclairer les négociations en cours avec vos partenaires commerciaux et garantir des relations commerciales plus solides et à long terme.
  • L'intégration et la résiliation: L'abandon est souvent négligé lorsqu'il s'agit de la gestion des risques liés aux tiers, mais il peut se passer beaucoup de choses dans les derniers jours d'une relation avec un fournisseur. La réalisation d'une évaluation finale des risques permet de s'assurer que vos systèmes et vos données sont mis hors service en toute sécurité, tout en fournissant des enregistrements permettant de démontrer la conformité avec les obligations en matière de confidentialité des données.

Les prochaines étapes vers le bon cours de TPRM

Téléchargez l'intégralité de l'e-book et de l'infographie pour obtenir des statistiques, un contexte et des recommandations supplémentaires afin d'évaluer vos pratiques actuelles en matière de TPRM. Ensuite, demandez une démonstration pour une session de stratégie avec un expert en TPRM.

 

Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.