...

Éviter la "zone crépusculaire" du risque cybernétique pour les fournisseurs

Comment une solution de VRM peut-elle vous aider à éviter les drames indésirables ?

Jay Fitzhugh
Jay Fitzhugh Novembre 17, 2020 7 minutes de lecture
La zone crépusculaire du risque fournisseur

Soumis à votre approbation : Vous avez été convoqué à une importante réunion du comité exécutif.

En tant que DSI de la banque, tout ce que vous savez, c'est que John, qui dirige le secteur de la distribution, a une présentation importante à faire.

Vous êtes loin de vous douter que vous êtes sur le point d'entrer dans une autre dimension...

Une fois que tout le monde a rejoint l'appel, John présente immédiatement sa dernière solution miracle pour stimuler le crédit à la consommation et garantir le bonus annuel de tout le monde : la nouvelle babiole de marketing numérique la plus brillante, qui promet d'augmenter la production de prêts de 150 %.

Tout le monde est enthousiasmé. Dans combien de temps pourra-t-il être lancé ? 

La réponse de John ? "Tout ce que nous avons à faire, c'est de demander au service informatique d'intégrer le nouveau widget à notre site web et de le relier à nos principaux fichiers clients pour qu'il puisse faire son travail. 

Sans hésiter, le PDG déclare : "Faisons-le !". 

Pardonnez l'analogie mélodramatique que je viens d'exposer. Mais si vous êtes le DSI, chargé de protéger les données de votre entreprise, cette réunion pourrait vous donner le sentiment désagréable d'être entré dans un épisode de La Quatrième Dimension.

Le problème, c'est que vous avez raison.

Quand le risque dépasse la fiction

Bien que cela puisse sembler une représentation fictive de la manière dont la stratégie et l'action gagnent en dynamisme et en approbation au sein d'une organisation, je vous le promets : Ce n'est pas farfelu. Quiconque a passé quelques années dans le monde de l'entreprise se rend compte que les temps désespérés incitent souvent les organisations à adopter des mesures désespérées, sans en envisager les dangers. Cela inclut le fait de ne pas faire preuve de diligence raisonnable à l'égard des fournisseurs ou de ne pas les soumettre à un examen approfondi pour déceler les risques cachés.

Le problème, c'est que, comme dans la série télévisée, cela peut déboucher sur un rebondissement malvenu au troisième acte.

.vc_do_cta3{padding-top:28px;padding-right:28px;padding-bottom:28px;padding-left:28px;margin-bottom:35px;}.vc_custom_1631891849000{background-image: url(https://mitratech.com/wp-content/uploads/Green-A-Page-Header.png?id=42780) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;border-radius: 2px !important;}

Infographie : Lignes directrices pour une intégration efficace des fournisseurs

Atténuer les risques tout en établissant de solides relations avec les fournisseurs.

Télécharger maintenant

Leur produit peut, en effet, tenir ses promesses. Mais s'il implique vos données ou celles de vos utilisateurs, quelles sont ses garanties ? Par exemple, s'il s'agit d'une application web intégrée à votre site, elle peut inclure des balises cachées qui exportent des données vers les partenaires et sous-traitants de votre fournisseur (sans votre autorisation). Ces balises peuvent poser des problèmes de sécurité, violer les lois sur la protection de la vie privée et nuire à l'expérience de l'utilisateur.

Comment tempérer cet enthousiasme et s'assurer qu'un niveau approprié d'évaluation et d'examen des fournisseurs est mis en œuvre avant qu'un engagement irréversible ne soit pris à l'égard de leur produit ? Un engagement dans lequel vous allez devoir assumer la responsabilité de la réussite du déploiement et du risque opérationnel permanent ?

Diligence élargie

La première exigence pour toute nouvelle relation avec un produit ou un service tiers doit être un examen de la documentation de diligence raisonnable fournie par le fournisseur. Il s'agit notamment des états financiers et des certificats d'assurance, ainsi que des audits de contrôle (SOC 1 ou SOC 2), des plans de continuité et de reprise des activités et des résultats des tests, et probablement de la documentation relative à la sécurité de l'information.

Vous pouvez aller plus loin en évaluant les antécédents des personnes qui proposent le produit ou le service, en interrogeant les clients existants et en effectuant des recherches pour identifier les informations négatives. Dans le cas d'un nouvel arrivant sur le marché, si tout ce qui est disponible peut sembler en ordre - du moins en ce qui concerne ce qui est visible - avez-vous vraiment une vue d'ensemble ? Êtes-vous prêt à autoriser l'accès à votre actif le plus important, à savoir les données confidentielles de votre organisation et de vos clients ? Que devriez-vous faire d'autre ?

La mesure la plus importante que vous pouvez prendre est peut-être celle qui suit : procéder à une évaluation indépendante de la posture de cybersécurité d'un fournisseur, tout en vérifiant s'il met réellement en pratique ce qu'il documente dans ses procédures de diligence raisonnable en matière de pratiques de sécurité de l'information et de normes de politique de confidentialité. Grâce à une solution de gestion des risques fournisseurs (VRM) (telle que notre propre Mitratech TPRM (Prevalent)) comme solution de gestion des risques tiers, vous pouvez obtenir une telle évaluation avant de signer un contrat avec eux, ou même à tout moment ultérieur de la relation.

Les multiples étapes de l'évaluation du risque cybernétique des fournisseurs

Dans le cas de notre propre solution VRM, intégrée à la célèbre plateforme de surveillance de la cybersécurité Black Kite, l'évaluation de la position technique d' un fournisseur n'est que l'une des nombreuses étapes de l'évaluation. La posture technique peut révéler de nombreux pièges potentiels dans une relation en cours ou existante, tels que des mises à jour et des protections inefficaces dans les actifs de traitement et l'environnement du fournisseur. Elle peut également mettre en évidence des compromis déjà existent déjà.

Si l'évaluation complète de la posture technique nécessite des connaissances techniques, il existe un aspect de la surveillance de la cybersécurité qui relève davantage de la gestion. Il s'agit de la capacité à déterminer la conformité des fournisseurs aux exigences des normes industrielles et aux certifications acceptées. Il s'agit d'une capacité secondaire importante que vous devez posséder.

Par exemple, le règlement général sur la protection des données (RGPD), la loi de l'Union européenne définissant les contrôles que les citoyens de l'UE ont sur leurs données personnelles. Elle a été à l'origine de litiges et d'amendes importantes pour les contrevenants, c'est donc une zone de risque à éviter.

Grâce à la surveillance de la cybersécurité à l'aide de la solution VRM susmentionnée, vous pouvez obtenir la validation que les installations requises par le GDPR fonctionnent au sein de la présence web publique d'un fournisseur proposé, ce qui vous donne confiance quant à sa conformité aux exigences du GDPR. Des suggestions d'amélioration peuvent être formulées, et les données recueillies sont prises en compte dans l'évaluation.

Cette même procédure peut être appliquée à d'autres certifications et obligations réglementaires, telles que la CCPA, le Shared Assessment SIF, la norme ISO 27001, le NIST et autres.  Ce ne sont là que quelques-unes des dizaines de normes définies par l'industrie (et leur nombre ne cesse d'augmenter). Dans le cas de Mitratech TPRM (Prevalent), notre questionnaire interne d'évaluation des fournisseurs en matière de sécurité de l'information est basé sur les normes NIST et certifié pour les données de certification des fournisseurs dans Normshield.

Éviter les limites extérieures du risque cybernétique des fournisseurs

Désolé, je n'ai pas pu m'en empêcher. Mais plutôt que de perdre le contrôle, comme dans l'intro de cette vieille émission, vous pouvez désormais mieux maîtriser le cyberrisque lié aux fournisseurs. La connaissance (et les données), après tout, c'est le pouvoir, et la bonne solution VRM vous le donne.

Le fait de connaître les lacunes d'un fournisseur en matière de cybersécurité (et les risques indus correspondants pour votre organisation) constitue un levier exceptionnel dans la négociation d'un contrat, ou pour demander à un fournisseur de prendre des mesures correctives et de procéder à des ajustements financiers. Cela vous permet également de déterminer l'exposition financière existante, sur la base des données qui résident dans la relation. Il s'agit là d'une information extrêmement puissante, que l'on peut obtenir en utilisant l'outil de gestion des risques de l'Institut FAIR™ Institute Value at Risk (VaR) de l'Institut FAIR™.

Dans l'exemple hypothétique que nous avons pris au départ, être en mesure d'analyser la posture de cybersécurité des tiers de notre fournisseur potentiel peut être le meilleur moyen de s'assurer que le widget proposé est acceptable. La possibilité de surveiller en permanence la position d'un tiers en matière de cybersécurité et le risque réciproque pour votre organisation est un atout et un élément essentiel pour votre organisation. Avec le bon fournisseur de VRM et la bonne solution à portée de main, vous éviterez les drames indésirables. Surtout du type Rod Serling.

.vc_do_btn{margin-bottom:22px;}.vc_custom_1605296946307{background-image: url(https://mitratech.com/wp-content/uploads/background-3-1.jpg?id=32674) !important;background-position: center !important;background-repeat: no-repeat !important;background-size: cover !important;}.vc_custom_1596163214368{margin-left: 40px !important;}

Se défendre contre les risques liés aux fournisseurs et à l'entreprise

Découvrez nos solutions VRM/ERM les plus performantes.

Nous contacter
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.