Alors que les chaînes d’approvisionnement et les écosystèmes continuent de se remodeler et de s’étendre et que le risque présenté par les parties tierces crée une complexité supplémentaire, les entreprises doivent opérer un changement radical dans leurs modèles opérationnels et leur approche du risque lié aux tiers
L’un des plus gros problèmes en cybersécurité actuellement est la faiblesse du maillon humain et de la chaîne d’approvisionnement dans les dispositifs défensifs des entreprises. Celles-ci peuvent bien aligner toutes les composantes d’un système de protection holistique et automatisé, et même géré au sein d’un SOC, si un maillon de la chaîne est faible, c’est la chaîne entière qui est en danger.
À une époque où les cybermalfaiteurs usent et abusent de tous les stratagèmes pour infiltrer les systèmes de leurs victimes, la gestion des risques liés aux tiers (TPRM pour Third-party risk management) est plus importante que jamais. C’est le constat dressé par une étude de KPMG sur la gestion des risques liés à la chaîne d’approvisionnement. « Face aux perturbations de la chaîne d’approvisionnement, aux cybermenaces et à la pression inflationniste croissante, les entreprises mondiales évaluent leur résilience opérationnelle et réexaminent leur dépendance à l’égard des tiers », explique le rapport Third-Party Risk Management Outlook 2022.
Changer radicalement de modèles opérationnels
Les enquêteurs ont interrogé 1 263 professionnels de la gestion des risques technologiques dans six secteurs et 16 pays, territoires et juridictions du monde entier. Ils révèlent que la gestion des risques technologiques est une priorité stratégique pour 85 % des entreprises, contre 77 % avant l’irruption pandémique. Néanmoins, les perspectives en matière de TPRM ne manquent pas de défis.
L’étude démontre ainsi la nécessité pour les responsables du TPRM de changer radicalement leurs modèles opérationnels et leur approche du risque lié aux tiers. « Ce besoin ne fera que croître », estiment les rédacteurs du rapport, car les chaînes d’approvisionnement et les écosystèmes continuent de se développer, et le risque, représenté par les parties prenantes tierces, crée une complexité supplémentaire.
En premier, le rapport me en évidence les faiblesses du modèle opérationnel TPRM, qui conduisent à des occasions manquées d’atténuer les risques, s’avèrent être un problème majeur pour les entreprises du monde entier. Ainsi, trois répondants sur quatre (73 %) ont connu au moins une perturbation importante, causée par un tiers, au cours des trois dernières années.
Les entreprises sous-estiment la nécessité d’un programme TPRM
En second, les entreprises sous-estiment la nécessité d’un programme TPRM solide, d’où des budgets insuffisants. Les spécialistes sont freinés par des budgets limités qui les amènent à privilégier les initiatives tactiques au détriment des améliorations stratégiques. Six personnes sur dix (61 %) pensent que le TPRM est sous-évalué compte tenu de son rôle critique pour l’entreprise. « Si les entreprises comprenaient toute la complexité d’un bon programme TPRM, plutôt que de se focaliser sur ses composants individuels, elles pourraient soutenir des budgets plus importants tout en bénéficiant de nouvelles efficacités en matière de résilience opérationnelle, de cybersécurité et de fraude », affirme le rapport.
Le troisième constat des enquêteurs révèle que la technologie ne remplit pas encore ses promesses. Les personnes interrogées espèrent utiliser la technologie pour automatiser ou prendre en charge 58 % des tâches TPRM d’ici trois ans, ce qui leur permettra de se concentrer sur les activités qui nécessitent l’attention et un examen par un humain. Aujourd’hui, cependant, 59 % sont frustrés par le manque de visibilité que leur technologie leur donne sur les risques liés aux tiers.
Les fonctions TPRM doivent concerner tous les tiers
Le défi des ressources limitées est là pour rester, estime le rapport, qui note que les programmes TPRM continuent d’évoluer tandis que les équipes doivent faire face à une charge de travail croissante. Aussi, les outils numériques aideront à supporter la charge, mais les fonctions TPRM doivent s’étendre à tous les risques, domaines et types de tiers. Ce qui contraste avec le nombre d’entreprises qui devraient se lancer dans l’évaluation de tous les tiers, estimé à seulement 30 % d’ici trois ans. « Il serait préférable d’adopter une approche fondée sur le risque, en allouant les ressources aux accords les plus risqués », conseille le rapport.
Enfin, la plupart des entreprises ont du mal à maintenir un modèle opérationnel TPRM adapté à leurs besoins. De ce fait, des trous dans l’armure peuvent apparaître et les personnes interrogées reconnaissent en grande partie que c’est la chance, et non leurs programmes TPRM, qui leur ont permis d’éviter un incident majeur avec un tiers pendant la pandémie. Par ailleurs, 77 % des répondants pensent qu’une révision du modèle opérationnel s’impose.