La menace omniprésente des cyberattaques par des tiers mérite une diligence raisonnable importante lors de l'évaluation des nouveaux fournisseurs, partenaires et sous-traitants, ainsi que de ceux déjà existants. Cependant, les professionnels de la sécurité et de la gestion des risques ne doivent pas négliger les risques importants qui existent en dehors du domaine informatique, tels que ceux liés à la réputation, aux finances, aux aspects juridiques, à la conformité et aux perturbations ESG.
Bon nombre d'entre eux sont des risques « moins évidents » pour lesquels il n'existe pas de directives claires permettant d'évaluer les fournisseurs, mais qui peuvent nuire tout autant à la réputation, à l'image de marque, à la valeur et à la capacité d'une entreprise à respecter ses engagements contractuels. Cet article passe en revue cinq des catégories de risques non informatiques les plus importantes.
5 risques non informatiques à surveiller
Les cinq principales catégories de risques non informatiques suivantes peuvent avoir une incidence sur la capacité de votre entreprise à remplir ses obligations.
1. Risque opérationnel : perturbations de la chaîne d'approvisionnement
La pandémie de COVID-19 et les perturbations de la chaîne d'approvisionnement qui en ont résulté ont clairement démontré que les entreprises peuvent être affectées par des événements non liés aux technologies de l'information. Par exemple, Armstrong Flooring et le géant des cosmétiques Revlon ont tous deux invoqué des perturbations de la chaîne d'approvisionnement dans leurs déclarations de faillite.
Les risques opérationnels continueront d'exister dans le monde post-COVID. Dans un environnement politique instable, les risques sont omniprésents. Outre son impact sur l'approvisionnement en céréales, en engrais et en gaz naturel, l'invasion russe de l'Ukraine a interrompu la production de deux entreprises ukrainiennes responsables de 45 % à 54 % de l'approvisionnement mondial en néon de qualité semi-conductrice utilisé dans la fabrication de puces. Les attaques continues contre le transport maritime dans la mer Rouge par les rebelles houthis
menacent de perturber le transport maritime mondial. En outre, des catastrophes imprévues peuvent avoir un impact significatif sur les opérations de la chaîne d'approvisionnement, commel'
effondrementdu pont Francis Scott Key, qui a effectivement détourné 80 millions de dollars de fret maritime et routier de l'un des plus grands ports américains.
Pour les professionnels de la gestion des risques, il est essentiel de comprendre la résilience de leur chaîne d'approvisionnement. Cela inclut l'évaluation des plans d'intervention en cas d'incident, de continuité des activités et de reprise après sinistre. Grâce à une compréhension globale des capacités de vos fournisseurs, votre organisation peut mieux se préparer à réduire les risques opérationnels liés aux pandémies, aux catastrophes environnementales et à d'autres crises potentielles.
2. Risque de conformité entraînant des amendes et des poursuites judiciaires
Les cadres réglementaires deviennent chaque année plus complexes. La plupart, y compris HIPAA, PCI-DSS, GDPR, PDPA, le Loi sur le secteur privé du Québec, et CCPA/CPRA, visent à protéger les informations personnelles des clients et des employés. Elles ont toutes en commun d'exiger des organisations qu'elles identifient les risques (généralement par le biais d'une évaluation des risques), qu'elles mettent en place un plan pour atténuer ces risques et qu'elles rendent compte aux autorités de réglementation. Cela s'étend aux risques présentés par les fournisseurs, les associés commerciaux, les sous-traitants et les partenaires.
Perry Johnson & Associates (PJ&A), un prestataire de services de transcription médicale, a été victime d'une violation de données en mars 2023, exposant les informations personnelles de plus de 9 000 000 personnes. Cet incident a attiré l'attention du ministère américain de la Santé et des Services sociaux (HHS) et a donné lieu à des recours collectifs contre plusieurs de ses clients médicaux et anciens clients. Même si un accord de partenariat commercial était très certainement en vigueur entre PJ&A et ses clients, cet accord n'a pas protégé l'entreprise contre les atteintes à sa réputation et les poursuites judiciaires dont elle a fait l'objet.
À mesure que les organisations poursuivent leur transformation numérique, les exigences de conformité s'étendent à de nouveaux services et fournisseurs, notamment l'hébergement web, le traitement des paiements et les fournisseurs de services cloud. Pour atténuer ce risque, vous devez comprendre quelles normes réglementaires
s'appliquent à votre organisation et à ses fournisseurs, mais aussi évaluer de manière exhaustive les opérations et les contrôles de vos fournisseurs. Après tout, les sanctions et les poursuites judiciaires peuvent être coûteuses, perturber les opérations et nuire à la réputation.
3. Risque lié à la responsabilité sociale des entreprises découlant d'un comportement ESG inadéquat
Le concept de « bonne citoyenneté d'entreprise » existe depuis un certain temps, mais il évolue à mesure que la prise de conscience s'accroît. À une certaine époque, les organisations pouvaient répondre à la définition de la responsabilité sociale des entreprises (RSE) en redonnant à la communauté par le biais de dons en temps et en argent. Cependant, la RSE est de plus en plus associée aux pratiques environnementales, sociales et de gouvernance (ESG). Celles-ci comprennent les approches de votre entreprise en matière de durabilité environnementale, ses relations avec ses clients, ses employés et les communautés, ainsi que la manière dont elle gère la rémunération des dirigeants, les contrôles internes et les droits des actionnaires.
L'utilisation d'esclaves et de main-d'œuvre enfantine est un problème croissant dans plusieurs secteurs. Par exemple, les informations faisant état du recours à des enfants dans les mines de cobalt utilisé dans les batteries ont attiré l'attention sur les pratiques de la chaîne d'approvisionnement d'Apple, Microsoft, Tesla, Samsung et d'autres entreprises. Outre l'atteinte à leur réputation, plusieurs entreprises ont fait l'objet de poursuites judiciaires pour leurs pratiques.
La pression réglementaire s'intensifie également dans les domaines du climat, de la gouvernance et de la lutte contre la corruption. Le Parlement européen a adopté la loi sur la diligence raisonnable des entreprises et la directive sur la durabilité des entreprises, qui obligent les entreprises de l'UE à « identifier et, si nécessaire, prévenir, mettre fin ou atténuer les effets négatifs de leurs activités sur les droits de l'homme, tels que le travail des enfants et l'exploitation des travailleurs, et sur l'environnement, par exemple la pollution et la perte de biodiversité ». La loi allemande sur la diligence raisonnable dans la chaîne d'approvisionnement exige des garanties similaires.
Il peut être difficile pour les responsables de la gestion des risques, habitués à se concentrer uniquement sur les questions liées aux technologies de l'information, de s'y retrouver dans les exigences ESG. Comprendre les directives réglementaires et sectorielles en matière d'ESG peut vous aider à évaluer les fournisseurs, prestataires ou autres tiers potentiels par rapport aux politiques de votre organisation et aux attentes de vos clients.
4. Risque financier lié aux préoccupations concernant la viabilité des fournisseurs
La santé financière des fournisseurs et des partenaires stratégiques est essentielle lors de l'évaluation des risques liés aux tiers. Après tout, un fournisseur ne peut soutenir ses clients que s'il est financièrement solide, et il peut être trop tard pour apporter des ajustements après l'annonce d'un dépôt de bilan. Un risque financier peut également survenir si l'un des concurrents de votre entreprise acquiert un revendeur ou un distributeur clé, ce qui pourrait fermer un marché géographique ou vertical pendant que d'autres canaux sont mis en place.
Pour comprendre le risque financier d'un fournisseur, il ne suffit pas d'examiner le bilan de l'année précédente. Par exemple, la perte de clients ou de partenaires de distribution, ou encore le manque à gagner, peuvent entraîner une restructuration ou l'arrêt de certaines offres. De plus, la perte de cadres clés peut être le signe d'une baisse des revenus ou d'un procès imminent.
Alors que de nombreuses organisations évaluent les risques financiers avant d'intégrer un nouveau fournisseur, les responsables de la gestion des risques doivent surveiller en permanence leurs fournisseurs et partenaires afin d'atténuer et de gérer les risques tout au long de la relation.
5. Risque de réputation lié à la collaboration avec des entreprises peu éthiques
Que cela soit juste ou non, les organisations sont jugées en fonction de leurs partenaires. Il est donc logique que vous prêtiez attention aux pratiques de vos partenaires. Une atteinte à votre réputation due à une collaboration avec des fournisseurs ou des prestataires peu scrupuleux peut nuire à votre entreprise. La divulgation soudaine d'actions contraires à l'éthique peut perturber les chaînes d'approvisionnement, car les fournisseurs déménagent ou reconstruisent leurs opérations et intentent des actions en justice.
Les gestionnaires de risques doivent surveiller les sources publiques et privées d'informations relatives à la réputation, aux poursuites judiciaires et aux sanctions imminentes, telles que celles de l'Office of Foreign Assets Control (OFAC) du département du Trésor américain, la liste des sanctions du Royaume-Uni et la liste consolidée des sanctions de l'UE tout au long du cycle de vie de l'entreprise.
Prochaines étapes : apprendre à gérer les risques liés aux tiers de manière globale
Les processus de gestion des risques liés aux tiers doivent évoluer pour permettre aux organisations de garder efficacement une longueur d'avance sur les menaces informatiques et non informatiques. Découvrez comment obtenir une vue d'ensemble des fournisseurs, prestataires et partenaires tout au long du cycle de vie des tiers dans notre livre blanc intitulé « Comment gérer les risques liés aux tiers informatiques et non informatiques ». Ce document contient des conseils essentiels sur la manière de :
- Associer les types de risques liés aux tiers aux domaines informatiques et non informatiques
- Alignez les équipes internes sur les risques liés aux tiers qui leur importent le plus.
- Cartographiez les types de risques liés aux tiers et les équipes à chaque étape du cycle de vie des fournisseurs.
Grâce à ces conseils complets, votre organisation peut maîtriser les risques liés aux tiers, qu'ils soient informatiques ou non. Vous souhaitez savoir comment Prevalent peut vous aider ? Demandez une démonstration et un entretien stratégique pour discuter de votre projet avec l'un de nos experts.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
