Le TPRM priorise aujourd’hui la peur de la pénalité sur la poursuite de la sécurité réelle. En investissant dans une approche complète et ciblée, les organisations peuvent récupérer le TPRM comme une partie essentielle de leurs stratégies de sécurité.
Les cadres de cybersécurité robustes sont extrêmement importants et la gestion des risques tierces (TPRM) était autrefois une composante centrale de ces stratégies de défense. Sur la base de la façon dont il est pratiqué aujourd’hui, ce temps est passé.
Conçu à l’origine comme une mesure proactive pour protéger les données sensibles et renforcer les infrastructures numériques contre les risques externes, le TPRM est constitué en un exercice de case à cocher qui se forme sur la substance.
Cette transformation d’une évaluation significative en conformité superficielle n’est pas seulement un échec de l’objectif; C’est une invitation aux cybermenaces. Mais soyons clairs: c’est un gâchis que nous avons tous aidé à créer.
(Voir aussi: «La gestion des risques tierces peut apprendre beaucoup du bœuf musqué»)
L’industrie de la sécurité, en essayant de s’aligner sur les attentes commerciales, s’est différée trop souvent aux cadres axés sur les audit. Les auditeurs, à leur tour, ont priorisé la documentation et la répétabilité sur les résultats de sécurité réels. Le résultat? Nous avons creusé le but initial de TPRM et construit une industrie entière sur l’illusion de la sécurité.
Cherchez la culture de la boîte: symptôme d’un problème de cybersécurité plus large
Cette «mentalité à cocher» est devenue un fardeau auto-imposé au sein du TPRM et un symptôme d’un problème plus important dans la gestion des risques de cybersécurité.
Les questionnaires du TPRM et de la sécurité ont été initialement développés pour assurer une vérification approfondie des relations tierces et une véritable atténuation des risques. Mais ces outils se sont étendus dans des documents complexes, redondants et parfois absurdes qui concernent plus l’optique que la protection. Plutôt que d’ajouter de la valeur, ils servent souvent de gestes bureaucratiques vers la conformité, ajoutant peu de renseignements sur les risques réels.
L’ironie est que ce processus d’audit a conduit à un faux sentiment de sécurité. Les entreprises pensent qu’en complétant ces listes de contrôle, ils ont couvert leurs bases alors qu’ils sont toujours exposés aux risques, ces processus ont été conçus pour atténuer. Ce n’est pas seulement ironique; C’est téméraire et nous avons permis que cela se produise.
Les conséquences de cette culture de la case à cocher s’étendent au-delà de la gestion des risques inefficaces et ont conduit à la «fatigue du questionnaire» parmi les vendeurs. Dans de nombreux cas, les questionnaires de sécurité sont délivrés comme des modèles à taille unique, une approche qui inonde les bénéficiaires de questions statiques et répétitives, dont beaucoup ne sont pas pertinentes pour leur rôle spécifique ou leur posture de risque.
Sans couture ni contexte, ces revues deviennent des exercices de procédure plutôt que des évaluations significatives. Le résultat est l’engagement au niveau de la surface, où les entreprises semblent entraîner une diligence raisonnable mais en fait manquer des informations critiques. Les profils de risque finissent par avoir l’air complet sur le papier tout en ne capturez pas la complexité du monde réel des menaces qu’ils sont censés aborder.
Arriver à la racine du problème
La montée en puissance des outils TPRM a automatisé une grande partie de ce qui était autrefois un processus manuel à forte intensité de ressources. Ces plateformes ont été développées pour simplifier la création, la distribution et l’achèvement des questionnaires de sécurité, abordant la charge opérationnelle auxquelles les organisations sont souvent confrontées lors de la réalisation d’audits de risques tiers. Bien qu’ils aient apporté une efficacité indispensable, ils ont également involontairement renforcé une approche de case à cocher des risques tiers, de nombreuses évaluations ne sont pas en parcourir pour fournir des informations significatives.
Et voici le botteur: aucun des cadres de réglementation de base – ISO 27001, PCI, NIST CSF, NIST 800-53 ou SOC 2 – nécessite un processus de questionnaire de sécurité.
Comme le dit Jadee Hanson, CISO au Vanta, « nous avons reçu des conseils qui mettaient l’accent sur la conformité sur la sécurité, et nous l’avons collectivement adopté sans trop d’examen. » En d’autres termes, nous avons pris des attentes vaguement définies autour de la surveillance et inventé les processus les plus inefficaces et gonflés imaginables; Non pas parce que nous devions le faire, mais parce que nous ne savions pas quoi faire d’autre. En poursuivant l’auditabilité, nous avons perdu l’intrigue. Aujourd’hui, le TPRM est devenu un modèle commercial qui prospère sur les processus sur les résultats et les optiques sur l’efficacité. Il priorise la peur de la pénalité sur la poursuite de la sécurité réelle.
La mentalité de la case à cocher révèle finalement un autre problème enraciné profondément: si les individus gérant le TPRM sont en fait équipés pour évaluer les risques, ils sont chargés d’évaluer.
Les professionnels de la gouvernance, des risques et de la conformité (GRC) sont généralement à la tête du TPRM, équilibrant les exigences réglementaires avec les objectifs de cybersécurité. Mais la dépendance à l’égard de la conformité à la boîte à cocher soulève de sérieuses questions sur la question de savoir si ces gardiens ont la formation et l’expertise spécialisées nécessaires pour vraiment comprendre les menaces et les vulnérabilités évolutives. Il ne s’agit pas de leur dévouement, bien sûr. Il s’agit d’un acte d’accusation d’un système qui valorise la conformité sur les informations sur les risques authentiques. Nous avons construit une structure qui attribue des responsabilités critiques de cybersécurité aux personnes qui peuvent manquer de la profondeur de compréhension nécessaire pour évaluer pleinement les menaces.
Comment réparer la gestion des risques tiers
Pour rompre ce cycle nocif, les organisations doivent réviser leur approche du TPRM à partir de zéro en adoptant une approche véritablement fondée sur les risques qui va au-delà de la simple conformité.
Cela nécessite de développer des questionnaires de sécurité ciblés et substantiels qui priorisent la profondeur sur l’étendue et se rendent au cœur des pratiques de sécurité d’un fournisseur. Plutôt que d’envoyer des questionnaires généraux, les organisations devraient créer des évaluations spécifiques, pertinentes et sondages, posant des questions qui révèlent véritablement les forces et les faiblesses de la posture de cybersécurité d’un fournisseur. Cette insistance sur la qualité de la quantité dans les évaluations permet aux organisations de s’éloigner du traitement du TPRM comme un exercice de paperasse et de revenir à son intention d’origine: une gestion efficace des risques.
Au-delà de l’amélioration des questionnaires, les organisations doivent cultiver une culture de transparence et de collaboration avec leurs fournisseurs. Le TPRM fonctionne mieux quand il s’agit d’une rue à double sens où les vendeurs sont considérés comme des partenaires pour atteindre des objectifs de sécurité mutuelle. Une approche collaborative encourage les réponses honnêtes et précises au lieu de l’achèvement de la liste de contrôle superficielle précipitée.
Une façon de soutenir cette transparence est d’encourager les fournisseurs à maintenir des centres de confiance à jour, qui peuvent fournir des données significatives et facilement accessibles sur leur posture de sécurité. Lorsque les vendeurs sont traités comme des participants actifs à la posture de cybersécurité d’une organisation, ils sont plus susceptibles de s’engager de manière significative. Ce changement de culture, de voir les vendeurs comme de simples fournisseurs de services à des partenaires stratégiques, a le potentiel de transformer la TPRM d’une activité à cocher en une partie proactive et efficace de la cybersécurité.
Repenser le TPRM signifie redéfinir le rôle des professionnels du GRC; Pas comme des exécuteurs de la conformité, mais en tant que partenaires de risque informés par la cybersécurité. Ce changement n’est pas seulement une question de réduction en interne, il s’agit de créer une clarté partagée entre les parties. Comme le dit Hanson de Vanta, «Pour en faire un exercice plus ajout, nous devrions inclure des accords signés sur les contrôles standard et faciliter l’échange de considérations de contrôle des utilisateurs… et nous assurer que ceux-ci sont bien compris par l’acheteur.»
Cette dernière partie est la clé. Le vrai TPRM n’évalue pas seulement la sécurité d’un fournisseur; Cela garantit que l’acheteur connaît également ses responsabilités. Lorsque les deux parties comprennent ce qu’ils possèdent, la relation passe du théâtre de la conformité à la vraie défense conjointe.
La mentalité de case à cocher qui a pris le dessus TPRM est un problème que nous avons créé, mais c’est aussi celui que nous avons le pouvoir de corriger. En adoptant une approche stratégique plus réfléchie du TPRM, les organisations peuvent dépasser les processus axés sur la conformité qui dominent les pratiques d’aujourd’hui. Les dirigeants doivent reconnaître que l’approche actuelle nous échoue, nous laissant ouvert aux risques que la conformité au niveau de la surface n’a jamais été conçue pour gérer. En contestant le statu quo et en investissant dans des stratégies complètes basées sur les risques, les organisations peuvent récupérer le TPRM comme un élément essentiel de leurs programmes de sécurité.
