Nous avons récemment rencontré un leader d'opinion spécialisé dans la gestion des risques liés aux tiers afin de comprendre comment il perçoit ces risques dans le contexte d'autres considérations en matière de sécurité et de risques. Dans cet article, ce responsable de la sécurité des systèmes d'information (RSSI) nous livre son point de vue sur les éléments nécessaires à la mise en place d'un programme durable de gestion des risques liés aux tiers. En raison des opinions exprimées ici et du caractère sensible du sujet des risques et de la sécurité, ce RSSI a demandé à ce que son nom et celui de son entreprise ne soient pas divulgués.
Comment la gestion des risques liés aux tiers a-t-elle évolué ? Quel a été son impact sur votre exposition globale au risque ?
Au cours des 10 à 15 dernières années, nous avons constaté que, grâce à la numérisation, les écosystèmes se sont rapidement développés pour inclure davantage de tiers. Auparavant, ceux-ci fournissaient des biens et des services sur site. Mais aujourd'hui, le modèle a évolué vers une approche davantage axée sur les « services » dans le cloud, ce qui augmente votre exposition au risque. Vous finissez par renoncer à une partie de votre contrôle au nom de l'expertise et de la réduction des coûts. Mais vous devez faire attention à ne pas tomber dans le piège : externaliser le risque ne signifie pas nécessairement externaliser la responsabilité.
Quel est le plus grand défi auquel vous êtes confronté dans l'évaluation de vos fournisseurs et autres tiers ?
Ce que je recherche, c'est à savoir si mes tiers adhèrent aux mêmes principes que moi, ce qui est rarement, voire jamais, le cas. Le problème réside dans la portée. Ils répondent à une question dans leur questionnaire d'évaluation des risques, mais ne répondent pas à la question dans le cadre de la portée. Par exemple, lorsque je demande à un tiers s'il crypte les données « en mouvement et au repos » et qu'il répond « oui », c'est tout. Il faut beaucoup plus d'efforts et de contexte au-delà de cette simple question pour aller au fond du problème, et il est difficile de le valider. Cela n'est pas évolutif.
En parlant de validation, qu'en est-il des mesures externes permettant de vérifier si les contrôles sont en place ?
Cela dépend. Si vous parlez des outils d'analyse et d'évaluation, je trouve qu'ils sont généralement erronés. Ils produisent tous des données différentes, sans contexte ni transparence. Tout cela relève du « secret de fabrication ».
Quel type de rapports devez-vous fournir au conseil d'administration ? Qu'est-ce qui les intéresse ?
Cela varie selon les organisations, mais il s'agit avant tout de trouver un équilibre entre ce que vous voulez qu'ils prennent en compte et ce qui les intéresse réellement. Abordez chaque conversation au niveau du conseil d'administration sous l'angle commercial, en identifiant les risques pour l'entreprise, non pas les risques ou incidents de sécurité en eux-mêmes, mais les implications réelles en aval de ces risques ou incidents.
Le problème est qu'il existe toujours un fossé entre la réalité des risques et la manière de les communiquer de manière significative. Ce problème trouve son origine dans la responsabilité ; d'un point de vue conceptuel, cela n'est pas différent de la communication financière. Il faut appliquer la même rigueur et la même approche à la communication des risques de sécurité qu'à celle des risques financiers. Je pense que la plupart des conseils d'administration ne l'ont pas encore compris et, tant qu'ils ne l'auront pas compris, ces organisations souffriront d'un manque de compréhension. Vous vous souvenez de ce qu'Enron a fait pour l'information financière ? J'espère sincèrement qu'il ne faudra pas un incident de type « cyber-Enron » pour réveiller les conseils d'administration. Cependant, si vous ne pouvez pas définir le préjudice, vous n'obtiendrez pas l'adhésion.
Qu'en est-il de la confidentialité ? Outre la « résilience » ou la « continuité » des activités en réponse à la crise du COVID-19, la « confidentialité » a récemment dominé les conversations avec les tiers.
Entre la CCPA
et d'autres projets de loi connexes, la confidentialité sera au cœur des discussions sur la responsabilité. C'est le résultat le plus prometteur de toute législation : la responsabilité. Ce niveau d'application doit renforcer la surveillance et obliger les entreprises à prendre la question plus au sérieux, au lieu de se contenter de « cocher la case ».
Le problème est que les lois sont élaborées à l'intérieur des frontières, mais qu'Internet a aboli les frontières. Quelle loi régit Internet à l'échelle mondiale ? Elle ne s'applique pas aux frontières physiques. Conceptuellement, c'est différent de la façon dont ce pays a été construit.
À quoi ressemble pour vous le programme idéal de gestion des risques liés aux tiers ? Quels sont les composants ou éléments appropriés ?
Tout d'abord, rendez-vous dans l'entreprise et documentez ce qui est important pour elle. Déterminez si ses besoins correspondent à la mission et aux objectifs de votre entreprise. Plus important encore, considérez les conseils de l'entreprise dans leur globalité. Ensuite, dressez la liste des X éléments les plus importants, classez-les par ordre de priorité et retournez voir l'entreprise avec une série de risques qu'elle est prête à tolérer. C'est le début de la gouvernance.
Une fois ce cadre de gouvernance défini, examinez les tiers et évaluez-les par rapport au niveau de risque que l'entreprise est prête à tolérer. Ensuite, et c'est là que réside généralement la partie la plus laborieuse, trouvez un moyen de le faire de manière continue. Déterminez les informations nécessaires pour y parvenir, si cela s'applique à tous les tiers, et comment elles seront gérées au fil du temps.
La mise en place d'une structure de gouvernance adéquate, assortie d'une transparence constante en matière d'éducation, est essentielle pour assurer le succès à long terme.
Lorsque vous discutez avec d'autres organisations, quels conseils leur donnez-vous ? Par où commencer, comment établir les priorités, etc.
Vous devez commencer par comprendre ce qui est important pour l'entreprise, comme je l'ai mentionné dans la question précédente. Une fois que vous savez ce qui est important et que la communication est fluide entre vous et l'entreprise, vous disposez d'une base plus solide sur laquelle vous appuyer et vous pouvez effectuer une vérification préalable et prendre des décisions fondées sur les risques en vous appuyant sur cette base.
N'oubliez pas non plus qu'il ne s'agit pas seulement d'évaluer les risques financiers pour votre entreprise, mais aussi de prendre en compte la confidentialité des données. Ces discussions doivent avoir lieu au plus haut niveau. La décision et la responsabilité incombent à l'entreprise, et non à la sécurité. Le rôle de la sécurité n'est pas d'accepter les risques, mais d'évaluer ceux-ci. Vous devez sensibiliser l'entreprise à la signification du risque, examiner les données, poser des questions et informer les dirigeants afin qu'ils puissent accepter un niveau de risque adapté à l'entreprise.
Qu'est-ce qui vous empêche de dormir la nuit ?
Je suis RSSI. Je n'ai pas dormi depuis des années 😊. Mais sérieusement, je me demande régulièrement si j'ai fait tout ce qui était raisonnablement en mon pouvoir pour mener à bien ma mission. Par exemple, si quelque chose se produit, suis-je capable de me rendre dans l'entreprise et de rendre compte en toute confiance de ce qui s'est passé, comment cela s'est produit et ce que nous faisons pour y remédier ? J'ai accepté depuis longtemps qu'il n'y a pas de sécurité de l'emploi en tant que RSSI, mais je dois être en paix avec moi-même, sachant que j'ai fait tout ce que je pouvais et que je contrôle ce que je peux contrôler. Maintenant, mes fournisseurs extravagants, c'est une toute autre histoire...
Pour en savoir plus sur la manière dont Prevalent peut vous aider à relever vos défis en matière de gestion des droits des tiers, contactez-nous dès aujourd'hui, téléchargez notre guide des meilleures pratiques ou effectuez une rapide évaluation en ligne pour vous aider à déterminer le niveau de maturité de votre programme TPRM.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
