« Ce qui ressort de notre rapport, ce n'est pas seulement le nombre de violations, qui est le plus élevé que nous ayons suivi, mais aussi leur ampleur », déclare Kevin Hickey, PDG de Prevalent. « En 2023, les violations ont touché d'énormes chaînes d'approvisionnement - d'Okta et LastPass à Change Healthcare et PJ&A - exposant les dossiers sensibles de millions de personnes dans le monde entier. Il n'y a jamais eu de moment plus urgent pour prendre la sécurité des tiers plus au sérieux. »
Le rapport constate que les entreprises s'appuient sur de multiples outils, ce qui entraîne un manque de coordination et laisse leurs chaînes d'approvisionnement sans protection. Seul un tiers des personnes interrogées déclarent que leurs programmes de sécurité pour les tiers sont très bien coordonnés.
« Bien que la plupart des entreprises déclarent avoir mis en place des programmes de gestion de la sécurité des tiers, la moitié d'entre elles s'appuient encore sur des feuilles de calcul et utilisent un ensemble d'outils disparates pour évaluer leurs fournisseurs », déclare Brad Hibbert, directeur de l'exploitation de Prevalent, qui ajoute que 60 % des entreprises interrogées n'utilisent pas de plateforme de gestion de la sécurité des tiers dédiée.
Alors que les répondants à l'enquête comptent en moyenne 3 200 tiers, ils ne déclarent évaluer ou contrôler que 33 % de ces fournisseurs. Plus de 62 % des personnes interrogées déclarent que le manque de personnel est le principal obstacle à une meilleure protection de leur organisation contre les atteintes à la sécurité par des tiers. En moyenne, les personnes interrogées déclarent qu'il faudrait doubler le nombre de personnes actuellement affectées à la sécurité des tiers.
Alors que près de 90 % des entreprises suivent les risques dès les phases d'approvisionnement et de sélection, moins de 80 % d'entre elles suivent les accords de niveau de service (SLA) et les risques de désengagement à un stade ultérieur du cycle de vie de la relation.
Source : "The 2024 Third-Party Risk Management Study" (étude de Prevalent)
Et vous ?
Quel est votre avis sur le sujet ?
Trouvez-vous les conclusions de cette étude de Prevalent crédibles ou pertinentes ?
Voir aussi :
88 % des organisations ont été victimes de cyber-violations au cours des deux dernières années, d'après une nouvelle enquête menée par Pentera
87 % des RSSI déclarent que la sécurité applicative est un angle mort au niveau du PDG et du conseil d'administration, et 72 % déclarent avoir connu un incident dans ce domaine au cours des 2 dernières années
La moitié des organisations victimes d'une violation ne prévoient pas d'augmenter leurs dépenses de sécurité, malgré la montée en flèche du coût des violations, atteignant 4,45 M$ en 2023, d'après IBM