En multipliant le nombre de fournisseurs, les entreprises évitent d’être dépendant d’une poignée. Mais cette pléthore de tiers augmente aussi le risque de fuites de données comme le souligne RiskRecon de Mastercard et le Cyentia Institute dans une étude.
Selon le rapport « State of Third Party Risk Management »publié par RiskRecon de Mastercard et l'Institut Cyentia, les entreprises font appel à des centaines de fournisseurs (médiane de 50 prestataires chaque année).
Un tiers en compte moins de 25 fournisseurs par an, un autre tiers en gèreentre 25 et 100, tandis que le dernier tiers traite avec plus de 100 providers. Environ 5 % des répondants étaient chargés d'évaluer plus de 750 tiers chaque année.
Résultat : les organisations ont du mal à comprendre la position de chacun d'entre eux en matière de cybersécurité. La plupart des professionnels interrogés ont déclaré disposer d’un programme « Third-Party Risk Management » (TPRM) depuis environ cinq à six ans.
Une nécessité, car un tiers des fournisseurs sont considérés comme présentant un risque important en cas de violation. Moins de 10 % a déclaré que leur organisation avait été confrontée à une violation due à une compromission avec un tiers au cours des trois dernières années. Plus inquiétant : 30 % ont déclaré qu'ils « préféraient ne pas répondre » à cette question…
Une forte majorité (79 %) a mis en place des programmes formels pour gérer les risques des tiers. Plus de 60 % ont déclaré que la gestion de ce risque est une priorité croissante pour leur organisation.
Ce rapport constate que « les entreprises ont externalisé de nombreuxsystèmes et de services auprès des tiers, confiant leurs données sensibles et leur capacité à fonctionner à d'autres organisations. (De plus), les équipes chargées du risque de tiers ont du mal à répondre à la demande de leurs services ».
« Dans le cadre de l'externalisation massive de systèmes et de services à des tiers, les entreprises ont considérablement augmenté l'ampleur et la complexité de leur surface d’attaque. Utilisées par 84 % des personnes interrogées, les évaluations basées sur des questionnaires (SIG, SIG Lite, CAIQ) ne sont plus adaptées au contexte. Une meilleure visibilité s’avèreindispensable », précise Kelly White, PDG et co-fondateur de RiskRecon.
« Bien que les questionnaires de sécurité restent un pilier commun du programme, les entreprises cherchent à obtenir de meilleurs résultats en matière de risques de manière plus efficace en exploitant les données d'évaluation objective de services telles que les solutions de notation de sécurité. C'est là que seront définis les futurs modèles et pratiques de gestion des risques par des tiers », précise Wade Baker, partenaire et co-fondateur du Cyentia Institute.
Mais le manque de personnel apparait comme le principal casse-tête auquel est confrontéeunemajorité de professionnels (57 %) des répondants. Plus de 25 % ont déclaré la gestion et la surveillance des tiers n’était pas effectuée par manque de personnel.