Note de la rédaction : Cet article, rédigé par Alastair Parr, directeur exécutif de GRC Solutions chez Mitratech, a été initialement publié surcybersecurityinsiders.com.
À l'approche de la nouvelle année, les organisations commencent à planifier 2025 et à établir des budgets pour aider à la concrétisation de ces plans. La gestion des risques a été au cœur de la planification et de la budgétisation l'année dernière, et rien n'indique que cette tendance soit en train de s'essouffler. En raison des nouvelles lois, la gestion des risques d'une organisation implique de plus en plus d'atténuer les risques liés aux relations commerciales avec d'autres organisations. Si vous exploitez une entreprise, une faille dans la sécurité d'un fournisseur ou d'un partenaire peut également constituer une faille dans votre propre sécurité. Grâce aux nouvelles réglementations, les problèmes de sécurité et de transparence de vos partenaires sont désormais les vôtres. Les préoccupations liées à la géopolitique et à son impact sur les chaînes d'approvisionnement signifient également que la gestion des risques pourrait être une considération encore plus importante l'année prochaine.
Pour ces raisons, la manière dont les organisations pratiquent la gestion des risques liés aux tiers (TPRM) évolue rapidement. L'année dernière a été marquante en matière de gestion des risques liés aux tiers. Néanmoins, les organisations constateront probablement qu'en 2025, il faudra accorder la même attention particulière à la résilience, à la durabilité et à la transparence des entreprises.
Dans cette optique, voici sept prévisions concernant l'évolution et les changements que connaîtra la gestion des risques liés aux tiers en 2025 :
1. Grâce à l'IA, il sera désormais possible de générer des rapports prédictifs et comparatifs et d'accélérer les processus d'évaluation et de documentation.
L'IA s'est imposée dans le domaine de la gestion des risques liés aux tiers (TPRM) l'année dernière, et tout porte à croire qu'elle jouera un rôle essentiel en 2025 et au-delà, à mesure que les organisations comprendront mieux leur déploiement de l'IA et utiliseront cette technologie pour automatiser les évaluations des risques, améliorer leur prise de décision et détecter plus rapidement les problèmes.
Les grands modèles linguistiques (LLM) et autres systèmes basés sur l'IA sont prêts à aider les entreprises à surveiller les risques liés aux tiers en temps réel, en analysant de grands ensembles de données et en identifiant les schémas susceptibles de signaler l'émergence de risques. Ces technologies donneront également aux organisations de nouvelles capacités pour examiner les preuves à l'appui et détecter toute contradiction entre les réponses aux évaluations et la documentation.
Cependant, l'IA ne sera couronnée de succès que si elle s'appuie sur des politiques solides en matière de sécurité des données, de transparence et de gouvernance. Son déploiement sera freiné si ces éléments font défaut. L'année dernière, par exemple, seules5 % des entreprisesont déclaré utiliser activement l'IA dans leurs programmes de gestion des risques liés aux tiers (TPRM) en raison d'un manque de gouvernance. Cependant, ces chiffres devraient changer de manière significative en 2025, à mesure que les entreprises s'adapteront et se familiariseront avec l'utilisation de l'IA pour automatiser les tâches et les rapports.
2. De nouvelles réglementations permettront de coordonner les exigences et de renforcer la diligence raisonnable
Partout dans le monde, les gouvernements et les organismes de réglementation devraient renforcer les exigences en matière de gestion des risques liés aux tiers, notamment en ce qui concerne la confidentialité des données,les critères ESG (environnementaux, sociaux et de gouvernance) et la résilience des entreprises. Les entreprises transfrontalières seront confrontées à des défis de conformité plus complexes, qui pourraient être partiellement atténués par des efforts d'harmonisation et de rationalisation des règles mondiales visant à simplifier la conformité.
Les entreprises doivent évaluer plus rigoureusement leurs fournisseurs tiers et autres partenaires, en mettant l'accent sur la résilience et l'impact environnemental. Aux États-Unis, la loi DORA (Digital Operational Resilience Act) pourrait servir de modèle pour l'élaboration de normes de résilience opérationnelle dans le secteur financier, en accord avec les efforts du Bureau du contrôleur de la monnaie. L'essor des mandats ESG tels que la CSRD et la CSDDD de l'UE obligera les entreprises à évaluer de près les pratiques de leurs partenaires en matière de développement durable, telles que les émissions de carbone, les pratiques de travail et l'approvisionnement éthique.
3. La géopolitique incitera les organisations à évaluer les risques liés à la concentration et à la résilience
L'instabilité politique au Moyen-Orient, en Afrique de l'Est, en mer de Chine méridionale et en Ukraine pousse les entreprises à surveiller de plus près leurs écosystèmes étendus. Les organisations intensifient leur analyse des propriétaires finaux d'entreprises (UBO) et des personnes clés afin de mieux anticiper les perturbations et d'éviter le risque de sanctions. En outre, elles élargissent les données firmographiques des fournisseurs afin de mieux comprendre les risques liés à la concentration régionale et technologique, dans le but de minimiser les temps d'arrêt potentiels.
4. La prise en charge des risques liés aux tiers s'intègre dans la culture d'entreprise
Historiquement, les équipes chargées de la sécurité informatique dirigeaient les programmes TPRM en raison de l'accent mis sur les risques liés à l'infrastructure informatique. Cependant, à mesure que les cybermenaces se multiplient et que de nouveaux risques apparaissent, le TPRM doit évoluer vers une approche plus collaborative à l'échelle de l'entreprise. Le TPRM deviendra probablement du ressort des équipes chargées des risques d'entreprise afin de mieux l'intégrer aux processus métier plus larges. Les équipes chargées des achats joueront également un rôle plus important, car l'approvisionnement, la diligence raisonnable et le départ des fournisseurs sont de plus en plus essentiels pour gérer efficacement les risques dans l'ensemble de l'organisation. Cela représente un changement majeur dans la manière dont les risques sont atténués aujourd'hui.
5. Une perspective consolidée du conseil d'administration nécessitera un reporting centralisé des risques GRC et TPRM
À mesure que la gestion des risques liés aux tiers (TPRM) s'intègre davantage à la gestion des risques d'entreprise, elle s'étendra à des fonctions plus larges de gouvernance, de gestion des risques et de conformité (GRC). Les conseils d'administration et les cadres supérieurs exigeront de plus en plus des vues consolidées et axées sur l'impact commercial des risques internes ou externes. Pour s'y préparer, les organisations doivent élaborer et communiquerdes indicateurs de risque clésunifiés, accessibles à la fois aux parties prenantes commerciales et non techniques, afin de permettre une meilleure compréhension de l'exposition au risque et de son impact à l'échelle de l'entreprise.
6. L'agrégation des risques améliore la concentration sur la résilience commerciale
Les incidents de cybersécurité impliquant des tiers restant très fréquents, et susceptibles de continuer à se multiplier, les entreprises doivent évaluer le risque collectif que représente l'ensemble de leur écosystème tiers. Il sera essentiel de reconnaître comment les risques interconnectés peuvent affecter plusieurs fournisseurs afin de maintenir la résilience des chaînes d'approvisionnement.
Les organisations peuvent remédier à ce problème en adoptant une surveillance continue et globale de tous les domaines de risque (cybersécurité, opérations, réputation, ESG et finances) afin de détecter rapidement les changements dans les profils de risque des tiers. Les données en temps réel permettront de réagir plus rapidement et plus efficacement aux menaces, renforçant ainsi la résilience globale de l'entreprise.
7. Le point d'inflexion pour les violations de données tierces
Au cours des dernières années, lenombre d'incidents de cybersécurité impliquant des tiersa considérablement augmenté, passant de 21 % des entreprises ayant signalé un tel incident en 2021 à plus de 60 % en 2024. La gravité des violations s'est également accrue, touchant des millions de personnes. Nous pouvons nous attendre à ce que les cybercriminels redoublent d'efforts en 2025, en ciblant les tiers qui soutiennent des secteurs sensibles et très médiatisés tels que les prestataires de soins de santé, les sociétés de services financiers, les établissements d'enseignement, les gouvernements des États et les fabricants.
Regarder vers l'avenir
Le rythme des changements dans la manière dont les organisations gèrent les risques liés aux tiers s'accélère. L'attention accrue portée à la résilience des entreprises, le déploiement de nouveaux programmes d'IA et les nouvelles réglementations rendront les programmes TPRM plus dynamiques et plus efficaces.
En adoptant les innovations et en restant à la pointe des tendances en constante évolution, les organisations peuvent gérer efficacement les risques liés aux tiers, même dans un contexte changeant en matière de partenariats commerciaux et d'exigences réglementaires.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
