Une étude prévalente révèle que les processus manuels dominent toujours les programmes de gestion des risques liés aux tiers.

Prevalent, Inc., la société qui facilite la gestion des risques liés aux tiers (TPRM), a annoncé aujourd'hui la publication d'un nouveau rapport intitulé « Étude 2023 sur la gestion des risques liés aux tiers : comment les organisations évitent-elles les turbulences liées à la TPRM ? », qui fournit des informations approfondies sur les tendances, les défis et les initiatives actuels ayant un impact sur les professionnels de la gestion des risques liés aux tiers dans le monde entier.

Personnel de Mitratech Mai 10, 2023

PHOENIX, May 10, 2023 – Prevalent, Inc., the company that takes the pain out of third-party risk management (TPRM), today announced a new report, The 2023 Third Party Risk Management Study: How Are Organizations Avoiding TPRM Turbulence?, which provides deep insights into current trends, challenges and initiatives impacting third-party risk management practitioners worldwide.

The findings clearly illustrate that 2022 was a turbulent year for the practice of third-party risk management (TPRM). Over the past year, organizations dealt with the fallout from the Russian invasion of Ukraine and resulting supply chain disruptions, damaging and widespread third-party breaches and security incidents (including LastPass, OpenSSL, Okta, Toyota, and several in healthcare), and emerging regulatory oversight in areas beyond IT security such as ESG. While organizations have matured their TPRM programs since last year’s study, there is still more work to do.

Les principales conclusions de l'étude 2023 sur la gestion des risques liés aux tiers sont les suivantes :

41 % des entreprises ont subi une violation de données importante par un tiers au cours des 12 derniers mois, mais elles s'appuient sur des outils qui se chevauchent et des processus manuels, ce qui ralentit la réponse aux incidents.

Une grande majorité des entreprises (71 %) déclarent que leur principale préoccupation concernant le recours à des tiers est la violation de données ou tout autre incident de sécurité dû à des pratiques de sécurité insuffisantes de la part des fournisseurs. Cependant, les méthodes manuelles persistent, avec un pourcentage décevant d'entreprises qui utilisent des tableurs et un pourcentage croissant qui se renseignent sur les violations via les fils d'actualité. La bonne nouvelle, c'est que le nombre d'entreprises qui ne surveillent pas les violations commises par des tiers est passé de 12 % à 4 %.

Les violations de données et les incidents de sécurité impliquant des tiers entraînent une implication accrue de la sécurité de l'information dans la gestion des risques liés aux tiers (TPRM).

70 % des personnes interrogées déclarent que la sécurité de l'information (InfoSec) est plus impliquée que jamais dans la gestion des risques liés aux tiers, et 71 % indiquent que l'InfoSec est entièrement responsable du programme TPRM. 62 % des personnes interrogées dans le cadre de l'étude de cette année ont indiqué que les violations de données et les incidents de sécurité liés aux tiers étaient les principaux facteurs à l'origine de l'implication accrue dans la gestion des risques liés aux tiers.

Près de la moitié des entreprises continuent d'utiliser des tableurs.

Une tendance décevante se poursuit en 2023, car un nombre croissant d'organisations (48 %) utilisent des tableurs pour évaluer les tiers. Ce pourcentage est en hausse par rapport à 2022 et 2021, où respectivement 45 % et 42 % des entreprises déclaraient utiliser des tableurs. La bonne nouvelle, c'est que seulement 4 % des répondants ont indiqué qu'ils n'évaluaient actuellement aucun tiers, ce qui confirme la tendance à la baisse observée en 2021 (10 %) et 2022 (8 %).

Il existe un écart considérable entre le suivi et la correction des risques tout au long du cycle de vie. En moyenne, 20 % des entreprises ne prennent aucune mesure à cet égard.

Sans surprise, c'est au stade « Offboarding et résiliation » du cycle de vie des relations avec les tiers que l'on observe le pourcentage le plus faible d'entreprises qui surveillent (47 %) et corrigent (38 %) les risques, et le pourcentage le plus élevé d'entreprises qui ne font rien du tout (39 %). L'écart important entre le suivi et la correction des risques lors des phases d'évaluation initiale, de sourcing et de diligence raisonnable préalable à la signature du contrat est particulièrement surprenant, car il s'agit des principales phases permettant de détecter et de corriger les risques avant qu'ils n'aient un impact sur l'organisation.

« D'année en année, nous continuons à constater une augmentation significative des perturbations de la chaîne d'approvisionnement et des incidents de sécurité généralisés impliquant des tiers », a déclaré Brad Hibbert, directeur de la stratégie chez Prevalent. « Et bien que cette enquête montre que les entreprises accordent la priorité aux programmes de gestion des risques liés aux tiers, avec un nombre croissant de personnes impliquées dans l'ensemble de l'organisation et seulement 4 % déclarant ne pas surveiller leurs fournisseurs tiers, il reste encore beaucoup à faire. Les entreprises doivent abandonner définitivement les processus manuels et s'associer à une solution TPRM automatisée pour gérer les risques tout au long du cycle de vie des risques liés aux tiers. »

Les résultats de cette étude démontrent que les équipes TPRM progressent vers une approche plus stratégique du TPRM, mais quatre domaines nécessitent des améliorations supplémentaires pour maintenir les entreprises sur la bonne voie :

Automate Incident Response to Reduce Costs and Risk Exposure: Shortening the gap between incident discovery and mitigation can reduce costs and limit the company’s risk exposure with automated incident response processes. Eliminate spreadsheets or overlapping tools that only tell part of the incident’s origin story.

Construisez une source unique de vérité pour éliminer les silos et étendre la visibilité des risques à l'ensemble de l'entreprise : les résultats de cette étude montrent que, bien que les risques liés à la sécurité de l'information soient considérés comme les plus importants, plusieurs équipes de l'entreprise sont impliquées dans la gestion des risques liés aux tiers, chacune ayant ses propres objectifs, workflows, processus d'évaluation et risques à examiner. Unifiez toutes les équipes internes à l'aide d'un ensemble unique de workflows, de profils de risques liés aux tiers, d'évaluations et de rapports.

Do Away with Spreadsheets and Automate Assessment and Monitoring Processes Across the Lifecycle: Invest in a solution that centralizes contract lifecycle management to ensure key contractual provisions are tracked throughout the lifecycle; offers remediation guidance to ensure offboarded vendors meet company compliance and security requirements to an acceptable level of risk; and delivers a prescriptive process to address final tasks and report according to compliance requirements.

Remédiation : les données issues de cette étude montrent un écart significatif entre le suivi des risques et la remédiation. Pour ramener les risques à un niveau acceptable pour l'entreprise (ou pour exiger la preuve de contrôles compensatoires à la place de remédiations spécifiques), utilisez une plateforme de gestion des risques tiers intégrant des recommandations de remédiation.

Lisez l'article de blog et téléchargez l'e-book complet ainsi que l'infographie pour obtenir des statistiques supplémentaires, du contexte et des recommandations afin d'évaluer les pratiques existantes en matière de TPRM. Demandez une démonstration pour une session stratégique avec un expert en TPRM.

À propos de Prevalent

Prevalent simplifie la gestion des risques liés aux tiers (TPRM). Les entreprises utilisent nos logiciels et nos services pour éliminer les risques de sécurité et de conformité liés à la collaboration avec les vendeurs et les fournisseurs tout au long du cycle de vie de la gestion des risques des tiers. Nos clients bénéficient d'une approche flexible et hybride de la TPRM, qui leur permet non seulement d'obtenir des solutions adaptées à leurs besoins, mais aussi de réaliser un retour sur investissement rapide. Quel que soit leur point de départ, nous aidons nos clients à cesser de souffrir, à prendre des décisions éclairées, à adapter et à faire évoluer leurs programmes de gestion des risques liés aux tiers au fil du temps.

Contact presse

Angelique Faul, Silver Jacket Communications, 513-633-0897, [email protected]

Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.