Selon l'étude 2024 Third Party Risk Management Study, les organisations travaillent aujourd'hui avec en moyenne plus de 3 000 fournisseurs, prestataires et partenaires tiers. Malheureusement, la prépondérance des approches manuelles en matière d'évaluation des risques liés aux tiers signifie que la plupart des organisations ne peuvent gérer qu'un tiers de leurs fournisseurs. Entre l'expansion des écosystèmes de fournisseurs, les menaces omniprésentes de violation des données de tiers et la surveillance réglementaire de plus en plus agressive, la gestion des risques liés aux tiers est désormais une fonction essentielle pour les organisations de tous les secteurs.
La complexité et le volume des relations avec les tiers nécessitent des solutions robustes pour atténuer les risques potentiels. Cependant, avec autant d'options disponibles en matière de gestion des risques liés aux tiers, comment savoir laquelle est la mieux adaptée à votre organisation ?
Cet article explore et compare les approches de gestion des risques liés aux tiers de quatre types de solutions, de la moins complète à la plus complète : tableurs, outils d'évaluation des risques liés à la cybersécurité, suites source-to-pay et plateformes dédiées à la gestion des risques liés aux tiers. Pour ce faire, nous examinons les avantages et les inconvénients de chaque approche et recommandons celle qui convient le mieux à chaque situation.
Tableurs
Les tableurs sont indéniablement populaires pour la gestion des risques liés aux tiers. La moitié des entreprises, en particulier les petites et moyennes organisations, les utilisent régulièrement. Cependant, cette approche présente à la fois des avantages et des inconvénients. Les tableurs offrent une solution peu coûteuse, flexible et familière pour gérer les évaluations des risques liés aux tiers à l'aide de questionnaires. Cependant, ils présentent également des limites importantes en termes d'évolutivité, d'intégrité des données, de collaboration, de sécurité et de fonctionnalités avancées, ce qui nuit à leur efficacité dans la gestion des risques.
| Avantages de l'utilisation de tableurs pour la gestion des risques liés aux tiers | Inconvénients de l'utilisation de tableurs pour la gestion des risques liés aux tiers |
|---|---|
rentables Les tableurs font généralement partie des suites logicielles bureautiques, que de nombreuses organisations possèdent déjà et pour lesquelles elles paient dans le cadre de leur budget informatique. Cela en fait une option rentable pour les équipes TPRM, ou du moins une option dont le coût initial est faible et qui évite d'avoir à acheter et à mettre en œuvre des outils spécialisés de gestion des risques. |
Évolutivité Les feuilles de calcul peuvent rapidement devenir lourdes et difficiles à gérer, en particulier lorsque le nombre de fournisseurs est important. Les ensembles de données volumineux peuvent ralentir les performances des feuilles de calcul, ce qui entraîne des pertes d'efficacité. |
| Flexibilité et personnalisation Les feuilles de calcul sont facilement personnalisables afin de s'adapter à des processus et modèles spécifiques de gestion des risques. Presque tout le monde peut les ajuster et les modifier afin de les adapter à l'évolution des besoins et aux nouvelles données. |
Intégrité et exactitude des données Les tableurs sont sujets aux erreurs humaines telles que la saisie incorrecte de données, les erreurs de formule et les modifications involontaires. Les tableurs ne disposent pas non plus de mécanismes de validation des données robustes, ce qui augmente le risque de données inexactes ou incomplètes. |
| Facilité d'utilisation La plupart des utilisateurs savent comment utiliser un tableur, il n'y a donc pas de courbe d'apprentissage. Le partage d'informations est également plus facile, car les parties prenantes connaissent bien cet outil. Les outils de visualisation de données de base, tels que les tableaux et les graphiques, permettent d'illustrer les données relatives aux risques. |
Manque de fonctionnalités avancées Les tableurs offrent une automatisation minimale, ce qui entraîne des processus manuels fastidieux. Ils ne fournissent pas de surveillance en temps réel ni d'alertes en cas de changement du statut de risque des tiers (/blog/third-party-monitoring/), ce qui limite leur utilisation à des évaluations basées sur des questionnaires. |
facile d'accès Les feuilles de calcul peuvent être facilement partagées et consultées sur différents appareils et plateformes, ce qui permet à toutes les parties prenantes concernées de visualiser et de modifier les données. |
Défis liés à la collaboration (par exemple, contrôle des versions) La gestion de plusieurs versions d'une feuille de calcul peut entraîner des confusions, des divergences et des problèmes de contrôle des versions. Le soutien limité à la collaboration en temps réel entre plusieurs utilisateurs (en particulier ceux qui ne font pas partie de l'organisation) peut nuire à l'efficacité et à la coordination du programme. |
| Problèmes de sécurité Les tableurs ne disposent souvent pas de fonctionnalités de sécurité avancées, ce qui rend les données sensibles relatives aux risques vulnérables aux accès non autorisés et aux violations, en particulier lorsqu'elles sont partagées avec des tiers. La mise en œuvre et la gestion des contrôles d'accès peuvent s'avérer difficiles, en particulier dans les grandes organisations. |
|
de reporting statique La génération de rapports complets sur les risques liés aux tiers à partir de feuilles de calcul peut être fastidieuse et prendre beaucoup de temps. Les rapports sont souvent statiques et ne fournissent pas d'informations dynamiques et en temps réel sur les risques liés aux tiers. À mesure que les organisations se développent et que leur environnement de risques liés aux tiers devient plus complexe, il peut être judicieux d'adopter des solutions de gestion des risques liés aux tiers plus robustes et spécialisées, qui offrent des fonctionnalités améliorées, une automatisation et une surveillance en temps réel afin d'atténuer efficacement les risques. La suite de cet article examine certaines options. |
Outils d'évaluation des risques liés à la cybersécurité
Les outils de notation, dont les plus courants sont les services d'évaluation des risques liés à la cybersécurité, s'attachent à quantifier la posture de cybersécurité des tiers à l'aide de données identifiables en externe, telles que les vulnérabilités, les exploits, les contrôles des applications web et d'autres informations accessibles au public. Ces outils fournissent des informations sur les risques cybernétiques potentiels posés par les fournisseurs et partenaires tiers et présentent leurs conclusions sous la forme d'une note numérique ou d'une note alphabétique.
Bien qu'ils constituent un moyen populaire d'évaluer les risques liés aux tiers, les services d'évaluation des risques liés à la cybersécurité ne peuvent pas effectuer d'évaluations détaillées des contrôles internes. Les outils de notation sont également cloisonnés par type de risque (cyber, ESG, financier, opérationnel, conformité, réputation, etc.), ce qui oblige les organisations à acheter différents flux de données et à les intégrer pour obtenir une vue d'ensemble des risques liés aux tiers.
Les outils d'évaluation des risques liés à la cybersécurité sont destinés aux organisations qui se préoccupent uniquement de la surveillance des risques cybernétiques ou qui disposent des ressources nécessaires pour regrouper plusieurs flux de surveillance afin de traiter d'autres types de risques. Ces outils ne sont pas non plus adaptés aux organisations qui doivent se conformer à des exigences réglementaires pour comprendre l'efficacité des contrôles de sécurité informatique internes de tiers. C'est pourquoi les outils d'évaluation des risques liés à la cybersécurité complètent souvent des solutions plus complètes d'évaluation des risques liés aux tiers.
| Avantages de l'utilisation d'outils de notation pour la gestion des risques liés aux tiers | Inconvénients liés à l'utilisation d'outils de notation pour la gestion des risques liés aux tiers |
|---|---|
, spécialistes des risques cybernétiques Ces outils utilisent diverses sources de données (certaines leur appartenant, d'autres sous licence) et méthodologies pour évaluer la solidité de la cybersécurité de tiers, attribuant des notes en fonction de leurs conclusions. |
Cyber uniquement Les outils d'évaluation des risques liés à la cybersécurité se limitent aux risques liés à la cybersécurité et ne permettent pas de surveiller de manière plus large les risques liés aux problèmes commerciaux et financiers, aux conclusions ESG, aux violations de la conformité et aux sanctions, ainsi qu'aux perturbations opérationnelles. |
| Surveillance continue et alertes Les outils d'évaluation des risques liés à la cybersécurité permettent de surveiller en permanence les pratiques de cybersécurité des tiers et d'alerter les organisations en cas de changement du niveau de risque. |
Évaluation limitée basée sur un questionnaire La plupart des outils d'évaluation des risques liés à la cybersécurité sont soit incapables de réaliser des évaluations des contrôles internes basées sur des questionnaires, soit traitent les évaluations comme une réflexion après coup post-surveillance, laissant ainsi des risques non corrigés. Il s'agit d'une approche non standard, car la plupart des organisations préfèrent d'abord réaliser des évaluations des contrôles internes, puis utiliser des solutions de surveillance externes pour valider les données communiquées par les fournisseurs. |
| Informations basées sur les données Les outils de cyber-scoring exploitent le big data et l'apprentissage automatique pour fournir des informations exploitables et des analyses prédictives. |
Faux positifs Les outils d'évaluation des risques liés à la cybersécurité sont connus pour générer des faux positifs. Cela peut empêcher les équipes chargées de la gestion des risques tiers de bien comprendre les risques réels auxquels elles sont confrontées et nécessiter un temps d'investigation considérable, ce qui les détourne d'activités importantes de réduction des risques. |
Suites Source-to-Pay
Les suites Source-to-Pay (S2P) englobent l'ensemble du processus d'approvisionnement, depuis la recherche de produits et services directs et indirects jusqu'au paiement. Elles comprennent souvent des modules de gestion des risques liés aux tiers dans le cadre de leurs capacités d'approvisionnement plus larges, ainsi que des fonctionnalités de gestion des appels d'offres, de gestion du cycle de vie des contrats, etc.
| Avantages de l'utilisation de suites Source-to-Pay pour la gestion des risques liés aux tiers | Inconvénients liés à l'utilisation de suites Source-to-Pay pour la gestion des risques liés aux tiers |
|---|---|
intégrées de gestion des achats et des risques Les suites S2P intègrent la gestion des risques dans le cycle de vie des achats, garantissant ainsi que les considérations liées aux risques sont prises en compte dans les décisions d'approvisionnement. |
Manque d'attention portée aux tiers De nombreuses suites S2P proposent un module complémentaire pour les risques liés aux tiers (généralement acquis et intégrés) et, par conséquent, manquent généralement de spécialisation et d'expertise approfondie en matière de TPRM, en particulier du point de vue des risques liés à la cybersécurité. |
| Évaluation et intégration des fournisseurs Les suites S2P offrent des outils pour évaluer et intégrer les fournisseurs, notamment des évaluations des risques et des contrôles de conformité. |
Axé sur les premières étapes En raison de leur utilisation par les professionnels des achats, les suites S2P négligent souvent les aspects plus généraux liés aux risques en se concentrant sur l'approvisionnement, l'évaluation initiale et l'intégration des fournisseurs. Elles accordent moins d'importance aux autres étapes importantes du cycle de vie des risques liés aux tiers ou aux préoccupations spécifiques des équipes chargées de la sécurité informatique. |
de gestion des contrats et des performances Les suites Source-to-Pay permettent de gérer les contrats et les performances des fournisseurs, en intégrant des indicateurs de risque et un suivi. |
d'évaluation des risques limitée Les suites S2P fournissent des informations sur les risques grâce à des partenariats avec des fournisseurs de données et de renseignements sur les risques, dans le but d'évaluer les risques liés aux fournisseurs et de permettre une meilleure prise de décision. Cependant, le niveau d'analyse des risques généralement inclus dans la plupart des suites S2P est insuffisant pour une gestion continue des risques. |
Les suites S2P sont destinées aux grandes organisations disposant d'importants budgets d'achat et axées sur les achats, qui doivent gérer les relations avec plusieurs fournisseurs, mais qui se concentrent moins sur les risques.
Plateformes dédiées à la gestion des risques liés aux tiers
Les plateformes dédiées à la gestion des risques liés aux tiers sont spécialisées dans la gestion des risques liés aux fournisseurs et aux prestataires. Ces fournisseurs se concentrent sur la fourniture de solutions complètes conçues pour identifier, évaluer, atténuer et surveiller les risques associés aux relations avec des tiers. Les plateformes TPRM font également souvent partie de suites plus larges de gouvernance, de gestion des risques et de conformité (GRC) ou de solutions de gestion des risques d'entreprise qui traitent un ensemble complet de risques tant à l'intérieur qu'à l'extérieur de l'entreprise.
| Avantages de l'utilisation des plateformes TPRM pour la gestion des risques liés aux tiers | Inconvénients liés à l'utilisation des plateformes TPRM pour la gestion des risques liés aux tiers |
|---|---|
de spécialisation L'approche ultra-ciblée d'une plateforme TPRM permet d'acquérir une expertise approfondie et des fonctionnalités avancées adaptées à la gestion des risques liés aux tiers. |
d'intégration Les plateformes TPRM dédiées sont spécialement conçues pour gérer les risques liés aux tiers, ce qui peut nécessiter une intégration avec d'autres outils de gestion des risques tels que les suites S2P, les plateformes de reporting, etc. Conseil : recherchez des solutions TPRM qui disposentd'unebibliothèque d'intégrations préconfigurées, d'une API ouverte ou qui font partie d'une solution GRC ou ERM plus large couvrant un ensemble complet de risques. |
d'évaluation complète des risques Les plateformes TPRM offrent des capacités étendues d'évaluation des risques, notamment en matière de cybersécurité, de risques financiers, opérationnels, réglementaires et de réputation. |
Évaluations propriétaires ou non standardisées Méfiez-vous des évaluations des risques trop personnalisées, car elles peuvent nuire à la cohérence des comparaisons et des notations des fournisseurs. Conseil : recherchez des solutions TPRM qui offrent une bibliothèque complète de modèles d'évaluation standardisés. |
de surveillance continue Les fournisseurs de TPRM proposent généralement des mécanismes de surveillance et d'alerte en temps réel afin de suivre l'état des risques liés aux tiers et les changements intervenant entre les évaluations régulières. |
Outils de surveillance cloisonnés Certaines plateformes TPRM dédiées ne permettent pas une surveillance continue et complète de plusieurs types de risques au-delà des menaces liées à la cybersécurité. Conseil : recherchez des plateformes entièrement intégrées qui offrent une intégration transparente entre les résultats des évaluations et ceux de la surveillance continue. |
de couverture du cycle de vie Les plateformes TPRM sont généralement spécialisées dans l'évaluation et l'atténuation des risques tout au long du cycle de vie de la relation avec les tiers, depuis la recherche et la sélection jusqu'au départ et à la résiliation. |
de la flexibilité des ressources Pour faire face au nombre croissant de tiers à évaluer, les organisations peuvent avoir besoin d'allouer des ressources appropriées. Conseil : examinez les options de services gérés ou les réseaux d'évaluations des risques déjà réalisées afin d'atténuer les contraintes en matière de ressources. |
Les plateformes TPRM sont idéales pour les organisations dont plusieurs équipes sont impliquées dans la gestion des risques liés aux tiers. Elles peuvent bénéficier d'informations unifiées sur les risques, d'une correction des risques basée sur le cycle de vie et d'une prise en charge complète de plusieurs types de risques.
Prochaines étapes : choisir la bonne approche pour gérer les risques liés aux tiers
Le choix de la bonne approche de gestion des risques liés aux tiers dépend des besoins spécifiques de l'organisation, du paysage des risques et des ressources disponibles.
- Les tableurs sont généralement faciles à utiliser, mais ils ne sont pas évolutifs et n'offrent pas les capacités analytiques nécessaires pour évaluer, noter ou corriger les risques liés aux tiers.
- Les outils d'évaluation des risques liés à la cybersécurité sont utilisés pour hiérarchiser les risques liés à la cybersécurité par rapport à d'autres catégories de risques.
- Les suites Source-to-Pay offrent une solution à ceux qui souhaitent intégrer la gestion des risques dans leurs processus d'approvisionnement.
- Les prestataires spécialisés dans la gestion des risques liés aux tiers proposent des solutions avancées et spécialisées, idéales pour les organisations fortement exposées à ce type de risques. Ces solutions font souvent partie de solutions globales de gestion des risques d'entreprise.
En comprenant les forces et les limites de chaque approche, votre organisation peut prendre des décisions éclairées pour gérer efficacement ses risques liés aux tiers et protéger ses activités commerciales.
Pour plus d'informations sur la manière dont Prevalent peut aider votre organisation à abandonner définitivement les feuilles de calcul et à mettre en œuvre un programme TPRM agile et complet, téléchargez notre guide de démarrage « 10 étapes pour mettre en place un programme efficace de gestion des risques liés aux tiers » ou demandez une démonstration dès aujourd'hui.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
