De nombreux professionnels de la cybersécuritésinon tous, ont ressenti ce sentiment « après la violation » – le moment où vous réalisez que vous devrez dire à vos clients que leurs informations personnelles ont peut-être été compromises parce que l’un de vos fournisseurs a subi une violation de données.
De telles situations impliquent également de consacrer beaucoup de temps et de ressources à résoudre un problème causé par un tiers. Peu importe à quel point vous nettoyez les choses, le coup porté à la réputation de votre organisation continuera de vous coûter des affaires perdues sur la route.
Le fait est que les conséquences d’une mauvaise gestion du risque tiers sont bien trop coûteuses pour être ignorées.
Le coût de la négligence du cyber-risque
Les attaques de rançongiciels, les violations de données et les pannes informatiques généralisées se sont classées cette année parmi les risques les plus importants pour les entreprises du monde entier. Plus de sept entreprises sur dix craignent que les tiers aient trop de contrôle sur les données des clients, y compris des permissions et des autorisations inutilement larges. Sur les 44 % d’organisations qui ont signalé une violation de données l’année dernière, 75 % ont déclaré que la violation découlait d’un accès privilégié excessif d’un tiers.
Parce qu’ils s’intègrent de manière si transparente à de nombreux aspects des organisations modernes, les risques des fournisseurs tiers sont vos risques.
Bien que la gestion du cyber-risque de tiers soit essentielle pour maintenir la confiance des clients, elle est également de plus en plus importante pour les organisations qui cherchent à souscrire des polices d’assurance cyber. Tout ce qu’il faut, c’est un e-mail accidentel contenant des informations personnelles envoyées au mauvais client, et les normes de base pour une violation de données ont été respectées. Ajoutez les diverses lois fédérales et étatiques sur les données et les coûts associés à la correction, et vous comprendrez pourquoi chaque organisation pourrait bénéficier d’une cyber-assurance.
Comme de plus en plus de contrats entre entreprises contiennent des clauses de cyberassurance, il est important de tenir compte de l’impact des normes de sécurité sur l’obtention d’une police. Pour le dire clairement, meilleures sont vos normes de sécurité, meilleurs sont vos tarifs, en particulier à une époque où les primes de cyberassurance montent en flèche.
Les fournisseurs de cyberassurance veulent s’assurer que vous respectez des normes de sécurité élevées avant d’émettre une police. Une gestion efficace des risques tiers pourrait donc faire la différence entre les assureurs potentiels qui vous offrent un bon tarif ou vous jugent inéligible à la couverture.
Comment gérer le risque tiers
La capacité d’une organisation à gérer le cyber-risque de tiers de manière proactive dépend de ses stratégies de gestion des risques. Selon Forrester, 70 % des décideurs d’entreprise conviennent que le risque tiers est une priorité commerciale, mais environ 69 % utilisent des processus manuels dans leurs programmes de risque tiers.
