Gestion des risques fournisseurs : le guide définitif

La gestion des risques fournisseurs (SRM) est de plus en plus souvent abordée au niveau du conseil d'administration, à mesure que les questions de continuité des activités et de gestion du cycle de vie des produits prennent de l'importance. Commencez par mettre en œuvre ces bonnes pratiques pour gérer les risques fournisseurs au sein de votre organisation.

Personnel de Mitratech
Personnel de Mitratech Août 1, 2024 23 min de lecture
Decorative image

Qu'est-ce que la gestion des risques fournisseurs ?

La gestion des risques fournisseurs (SRM) consiste à identifier, analyser et traiter les risques pouvant découler de la collaboration avec des fournisseurs tiers. Ces risques comprennent les violations de données, les défaillances opérationnelles et autres perturbations commerciales susceptibles d'affecter les fournisseurs d'une organisation, et donc de limiter sa capacité à fournir des produits et services à ses clients.

Une chaîne d'approvisionnement est généralement définie comme la séquence de processus nécessaires à la fabrication d'un produit ou d'une marchandise. Ces séquences peuvent être courtes et simples, comme dans le cas d'un agriculteur vendant ses produits sur un marché fermier, ou longues et complexes, comme dans le cas d'une entreprise de produits de consommation qui conçoit et commercialise ses produits, mais qui dépend de centaines de tiers, quatrièmes et Nèmes parties pour les matières premières, l'assemblage, l'emballage et la distribution.

L'objectif de la SRM est de maintenir la continuité de la chaîne d'approvisionnement en cas d'incident susceptible d'avoir un impact négatif sur les relations commerciales, le service à la clientèle et la rentabilité. Les programmes SRM efficaces donnent la priorité aux risques interdépendants susceptibles d'entraîner des perturbations de la chaîne d'approvisionnement et des temps d'arrêt grâce à des évaluations des fournisseurs, une surveillance continue, l'analyse des données et la cartographie des risques. Les programmes bien conçus comprennent également des processus d'atténuation et de transfert des risques, ainsi que la capacité de mesurer et d'analyser les indicateurs clés de performance (KPI) pour l'optimisation continue du programme.

Une bonne compréhension des risques liés aux fournisseurs permet à l'organisation de mieux se préparer et réagir aux perturbations dans la livraison des produits et la prestation des services. De plus, la planification peut aider les organisations à mettre en œuvre des solutions automatisées de gestion des risques liés aux fournisseurs afin d'alléger une partie de la charge.

Pourquoi la gestion des risques fournisseurs est-elle cruciale aujourd'hui ?

Aujourd'hui, la gestion des risques fournisseurs fait la différence entre le succès et l'échec pour de nombreuses organisations. La pandémie de COVID-19, les troubles géopolitiques, le changement climatique, les catastrophes naturelles et d'autres événements ont incité de nombreuses entreprises à revoir leur approche en matière de SRM. Si les chaînes d'approvisionnement en flux tendu et l'externalisation mondiale ont permis de réduire les coûts et d'accroître l'efficacité en période de stabilité, ces pratiques ont exposé les chaînes d'approvisionnement à des menaces existentielles ces dernières années.

Même si vous ne pouvez pas prévoir toutes les perturbations, un programme complet et efficace de gestion des risques liés aux fournisseurs aidera votre organisation à se préparer à des événements imprévus. Il aborde également des sujets relevant du conseil d'administration, tels que la résilience opérationnelle, la continuité des activités et la gestion du cycle de vie des produits.

Types et exemples de risques liés aux fournisseurs

Types de risques liés à la chaîne d'approvisionnement

Risques liés à la cybersécurité

Les violations de données et autres cyberincidents constituent certains des risques les plus importants auxquels sont confrontées les chaînes d'approvisionnement du XXIe siècle, car ils peuvent mettre en péril les fournisseurs, leurs clients et même les clients de leurs clients. Dans de nombreux cas, les grandes entreprises disposent de programmes de cybersécurité robustes, mais ceux-ci ne s'étendent pas toujours aux organisations tierces qui peuvent avoir des connaissances et des capacités nettement inférieures en matière de cybersécurité. Par exemple, en 2013, Target a subi une violation massive de données qui a exposé les informations personnelles identifiables de près de 40 millions de consommateurs. Le point d'entrée des attaquants était un sous-traitant en CVC qui avait fourni ses services à de nombreux magasins Target.

La violation de Target a exposé les informations personnelles identifiables de 40 millions de consommateurs


La violation de SolarWinds

Un autre exemple marquant est l'attaque SolarWinds de 2020, qui a compromis la plateforme Orion de l'entreprise. Il s'agit de l'une des cyberattaques les plus sophistiquées et les plus importantes de l'histoire récente. La violation de la chaîne d'approvisionnement de SolarWinds a causé des ravages chez les consommateurs d'Orion à travers le monde, malgré tous leurs efforts pour reconnaître et minimiser les risques. En effet, une étude a révélé que le coût moyen pour les entreprises touchées par l'attaque SolarWinds s'élevait à environ 12 millions de dollars.

Prevalent a constaté que 37 % des parties concernées ne disposaient d'aucune politique documentée de gestion des incidents pour répondre à la violation de SolarWinds. Cette intrusion a pris de nombreuses organisations au dépourvu, révélant des lacunes dans les procédures internes concernant les rapports aux clients et un manque de planification appropriée en matière de réponse aux incidents.

37 % des parties touchées par la violation de SolarWinds n'avaient aucune politique de gestion des incidents.

La violation de SolarWinds est un exemple frappant de la manière dont les organisations peuvent subir les effets en cascade des risques liés à la cybersécurité de la chaîne d'approvisionnement. Même si les fournisseurs directs d'une organisation n'utilisaient pas SolarWinds, leurs sous-traitants pouvaient le faire. Il s'agit également d'un exemple de risque de quatrième partie, où les lacunes en matière de cybersécurité de sous-traitants inconnus peuvent avoir un impact négatif sur une chaîne d'approvisionnement existante (et même soigneusement gérée). Ces risques soulignent l'importance de bien comprendre votre chaîne d'approvisionnement, y compris les sous-traitants, de prendre en compte avec précision les risques potentiels et de créer de manière proactive un plan d'intervention en cas d'incident.

Risques de non-conformité

Les récentes perturbations des chaînes d'approvisionnement mondiales ont accru l'attention portée à la SRM, non seulement au niveau des conseils d'administration, mais aussi parmi les régulateurs et les législateurs. Si plusieurs réglementations incluent des exigences régissant les risques liés à la sécurité informatique des fournisseurs, la plupart des organisations basent leurs programmes de conformité sur les meilleures pratiques définies par le NIST ou l'ISO.

NIST

Les organisations qui traitent des informations du gouvernement américain sont tenues de respecter les directives du NIST (National Institute of Standards and Technology). Étant donné que le NIST publie des ressources pour la gestion des risques applicables à toute entreprise, près de 50 % des organisations du secteur privé ont également adopté ses directives. Plusieurs publications spéciales du NIST décrivent les contrôles relatifs à la sécurité informatique des fournisseurs, notamment les publications SP 800-53, SP 800-161 et le cadre de cybersécurité du NIST.

ISO

L'Organisation internationale de normalisation (ISO) est un organisme composé d'experts qui élabore des normes volontaires, fondées sur le consensus, afin de relever les défis mondiaux. Les normes ISO relatives à la gestion de la sécurité de l'information font partie de la famille ISO 2700, les normes ISO 27001 et ISO 27002 étant les plus connues. La section 15 des normes ISO 27001 et ISO 27002 résume les exigences relatives à la sécurité des relations avec divers types de tiers. Elle complète la norme ISO 270036-2, qui traite spécifiquement des exigences en matière de sécurité de l'information dans les relations entre fournisseurs et acquéreurs.

Réglementations en dehors de la sécurité informatique

La sécurité informatique n'est pas la seule catégorie de risque de conformité en matière de relations avec les fournisseurs. Par exemple, plusieurs réglementations ESG exigent la surveillance des pratiques des fournisseurs dans des domaines tels que le changement climatique et la durabilité (E), la justice sociale, l'équité salariale, la protection des travailleurs (S), la gouvernance, la lutte contre la corruption et la diversité (G).

Risques commerciaux et financiers

Les risques liés à la chaîne d'approvisionnement des entreprises peuvent prendre plusieurs formes. Par exemple, un fournisseur clé pourrait déclarer faillite et se trouver dans l'incapacité d'honorer ses contrats. En fait, certaines études montrent que 25 % des entreprises ont été touchées par la faillite financière d'un fournisseur au cours de l'année écoulée.

25 % des entreprises touchées par les défaillances financières de leurs fournisseurs

Les fusions et acquisitions peuvent également signaler un changement de stratégie ou une consolidation du marché qui pourrait avoir une incidence sur la prestation de services, les prix ou les conditions contractuelles. En outre, la rotation des dirigeants ou les problèmes juridiques peuvent avoir un impact sur la culture, la stratégie et la capacité d'une organisation à atteindre ses objectifs.

Les organisations sont également de plus en plus soumises à des sanctions réglementaires en matière de divulgation financière et d'éthique. Par exemple, le Bureau du contrôleur de la monnaie (OCC) fournit des directives spécifiques aux banques qui nouent des relations avec des tiers tels que des fournisseurs de services cloud, des agrégateurs de données, des entreprises de technologie financière et des sous-traitants.

Lors de l'évaluation des fournisseurs potentiels, il est essentiel de comprendre la situation financière de l'organisation, les obligations contractuelles existantes et d'autres facteurs qui pourraient l'empêcher d'exécuter efficacement votre contrat. Moins il y a de diligence raisonnable avant l'intégration d'un fournisseur, plus vous risquez de subir une perturbation importante de vos activités.

Une stratégie formelle et documentée de gestion des risques liés aux tiers peut aider à gérer ces risques. Les fournisseurs doivent être évalués de manière uniforme, sur la base d'un ensemble prédéfini de critères qui facilitent la comparaison entre les fournisseurs concurrents et permettent d'identifier ceux qui pourraient avoir des difficultés à remplir leurs obligations contractuelles.

Risques liés aux événements

La mondialisation a considérablement complexifié les chaînes d'approvisionnement. Par exemple, une catastrophe naturelle telle qu'un ouragan, un incendie de forêt, un tremblement de terre ou un tsunami dans un pays peut avoir des répercussions sur les chaînes d'approvisionnement à l'échelle mondiale. Le risque de perturbation des chaînes d'approvisionnement en raison de catastrophes naturelles devrait augmenter en raison des changements climatiques.

Un changement dans la situation politique ou sécuritaire du pays d'un fournisseur clé peut également entraîner des chocs d'approvisionnement négatifs. Citons par exemple les conflits tels que les guerres, les changements de politique fiscale, les problèmes de stabilité interne et les embargos commerciaux. Il est donc essentiel de surveiller la situation politique, sociale et économique dans les régions où se trouvent vos fournisseurs et d'analyser leur impact potentiel sur votre chaîne d'approvisionnement. La visibilité sur les violations de l'Office of Foreign Assets Control (OFAC), les entreprises publiques et les personnes politiquement exposées (PPE) est essentielle pour comprendre les risques géopolitiques.

Voici quelques exemples significatifs de risques liés aux événements :

Exemples récents de risques liés aux événements chez les fournisseurs


La pandémie de COVID-19

La pandémie de COVID-19 illustre parfaitement comment une crise sanitaire peut perturber les chaînes d'approvisionnement à l'échelle mondiale. En janvier et février 2020, la Chine était au cœur de la crise du COVID-19, ce qui a entraîné des perturbations généralisées des chaînes d'approvisionnement, exacerbées par des changements drastiques dans la demande de certains produits. Par exemple, les chaînes d'approvisionnement ont été perturbées pour les équipements de protection individuelle essentiels tels que les masques respiratoires N95 et les visières de protection, alors que la demande explosait. Les perturbations se sont étendues aux chaînes d'approvisionnement en biens de consommation à mesure que la pandémie progressait, et de nouveaux variants ont déclenché de nouveaux confinements à l'échelle mondiale.

La guerre en Ukraine

L'invasion de l'Ukraine par la Russie en 2022 a contraint plusieurs fabricants mondiaux à suspendre leur production
et a menacé l'approvisionnement mondial en blé. Des entreprises telles que Carlsberg, Coca-Cola, Mondelez International, Nestlé et le fabricant d'acier et mineur ArcelorMittal ont jusqu'à présent suspendu leurs activités. L'Ukraine est également l'un des principaux producteurs de métaux rares tels que le cuivre, qui est un intrant important pour de nombreux produits manufacturés et électroniques. Ces perturbations ont obligé les entreprises à recueillir des informations auprès de leurs fournisseurs opérant en Ukraine et à ajuster leurs calendriers et processus de production en conséquence.

Les sanctions constituent un autre élément à prendre en considération. Dans le cas de l'invasion russe en Ukraine, plusieurs pays ont imposé des restrictions à l'exportation et des sanctions au gouvernement russe, ce qui a eu un impact sur la capacité des entreprises russes à mener des activités internationales. En réponse, les experts prévoient une augmentation des cyberattaques russes contre les gouvernements occidentaux et les entreprises basées en Occident.

L'obstruction du canal de Suez

Un autre exemple récent de perturbation imprévue de la chaîne d'approvisionnement est celui du blocage du canal de Suez par un porte-conteneurs géant pendant 6 jours en mars 2021, qui a entraîné un retard estimé à 9,6 milliards de dollars par jour dans les échanges commerciaux.

Il est impossible de prédire longtemps à l'avance les pandémies, les guerres ou les catastrophes, mais il est possible d'atténuer les risques et d'en réduire l'impact sur votre organisation. En plus d'élaborer un plan, les organisations peuvent également effectuer des simulations sur leurs chaînes d'approvisionnement. Ces simulations peuvent vous aider à comprendre les maillons les plus vulnérables de votre chaîne d'approvisionnement et l'impact que les catastrophes naturelles pourraient avoir sur vos activités commerciales.

Responsabilité sociale des entreprises et risques ESG

Le concept de « bonne citoyenneté d'entreprise » existe depuis un certain temps, mais il évolue à mesure que la prise de conscience s'accroît. À une certaine époque, les organisations pouvaient répondre à la définition de la responsabilité sociale des entreprises (RSE) en redonnant à la communauté par le biais de dons en temps et en argent. Cependant, la RSE est de plus en plus associée aux pratiques environnementales, sociales et de gouvernance (ESG). Celles-ci comprennent les approches de votre entreprise en matière de durabilité environnementale, ses relations avec ses clients, ses employés et les communautés, ainsi que la manière dont elle gère la rémunération des dirigeants, les contrôles internes et les droits des actionnaires.

En outre, l'utilisation du travail forcé et du travail des enfants est un problème croissant dans plusieurs secteurs, par exemple :

  • Le sort de la minorité ouïghoure a mis sous pression les organisations qui fabriquent des produits en Chine. Un rapport publié en 2020 a cité 83 marques mondiales qui font appel à des usines recourant au travail forcé en Chine, notamment Nike, Gap, Target, Apple et H&M. Outre la pression croissante exercée sur les consommateurs pour qu'ils boycottent ces marques, le Congrès américain a adopté en 2021 la loi sur la prévention du travail forcé des Ouïghours afin de bloquer l'importation de marchandises liées au travail forcé en Chine.
  • Les informations faisant état du recours au travail des enfants dans les mines de cobalt utilisé dans les batteries ont attiré l'attention sur les pratiques de la chaîne d'approvisionnement d'Apple, Microsoft, Tesla, Samsung et d'autres entreprises. Outre l'atteinte à leur réputation, plusieurs de ces entreprises ont fait l'objet de poursuites judiciaires pour leurs pratiques.
  • En mars 2024, un fabricant de pièces détachées du Tennessee, qui fournit de grandes entreprises telles que John Deere et Yamaha, a été contraint de restituer 1,5 million de dollars de bénéfices après que le ministère du Travail ait découvert que des enfants étaient employés à des tâches dangereuses. De plus, l'entreprise a été condamnée à une amende de 296 951 dollars pour avoir soumis « 10 enfants à un travail oppressif », selon le ministère.

La pression réglementaire s'intensifie également. La Securities and Exchange Commission (SEC) américaine a récemment adopté des amendements qui exigeront « certaines informations liées au climat dans leurs déclarations d'enregistrement et leurs rapports annuels », y compris « les chaînes de valeur en amont et en aval ». Le Parlement européen a présenté des mandats exigeant des entreprises de l'UE qu'elles « identifient et, si nécessaire, préviennent, mettent fin ou atténuent les effets négatifs de leurs activités sur les droits de l'homme, tels que le travail des enfants et l'exploitation des travailleurs, et sur l'environnement, par exemple la pollution et la perte de biodiversité ».

Risques liés à la capacité

Qu'ils soient motivés par des événements commerciaux, des conditions économiques ou des catastrophes naturelles, les fournisseurs peuvent ne pas être en mesure de respecter leurs délais de livraison. C'est pourquoi il est important de mesurer en permanence la capacité des fournisseurs, notamment en suivant l'état actuel des commandes, les performances par rapport à l'historique des commandes, les réponses des fournisseurs et les accusés de réception. Une vision proactive de la capacité des fournisseurs peut aider votre organisation à être plus agile en cas de perturbation.

Risques liés à la performance

La mesure des risques liés à la performance des fournisseurs, également appelés indicateurs clés de performance (KPI), est étroitement liée aux risques liés à la capacité. Ces indicateurs peuvent inclure des mesures de qualité, la ponctualité des livraisons et d'autres risques liés au respect des niveaux de service convenus. Pour gérer efficacement la performance des fournisseurs, il est essentiel de disposer d'un tableau de bord clair offrant une visibilité au niveau de l'entreprise et de définir des clauses contractuelles assorties d'accords de niveau de service (SLA) exécutoires.

Préoccupations spécifiques à l'industrie en matière de gestion des risques liés aux fournisseurs

Chaque secteur d'activité est confronté à des défis uniques dans ses relations avec ses fournisseurs tiers, quatrièmes et Nèmes. Il est essentiel de tenir compte des facteurs spécifiques à votre secteur d'activité et de procéder à des examens réguliers et détaillés afin de déterminer si les changements dans votre secteur peuvent compromettre votre chaîne d'approvisionnement.

Risques liés à la chaîne d'approvisionnement spécifiques à l'industrie

Préoccupations relatives à la gestion des relations fournisseurs dans le secteur de la santé

La pandémie de COVID-19 a mis en évidence de nombreuses lacunes dans la chaîne d'approvisionnement des soins de santé aux États-Unis. Les pénuries d'équipements de protection individuelle (EPI) et d'autres dispositifs médicaux essentiels ont duré des mois. Le secteur des soins de santé est confronté à de nombreux risques spécifiques liés à la chaîne d'approvisionnement en raison de la nature imprévisible des crises sanitaires et de l'ampleur mondiale des pénuries induites par la demande.

Les organismes de santé basés aux États-Unis doivent également accorder une attention particulière aux lois sur la confidentialité des données et à la cybersécurité de la chaîne d'approvisionnement. Dans de nombreux cas, les fournisseurs tiers seront tenus de respecter les mêmes normes de cybersécurité que les organismes de santé en vertu de réglementations telles que la clause « business associate » (partenaire commercial) de la loi HIPAA. Pour plus d'informations sur l'amélioration de la gestion des relations fournisseurs (SRM) tout au long de la chaîne d'approvisionnement des soins de santé, nous vous recommandons de consulter la présentation PowerPoint du HHS intitulée « HPH Cyber Supply Chain Risk Management » (C-SCRM, gestion des risques liés à la chaîne d'approvisionnement cybernétique).

Problèmes liés à la fabrication et à la vente au détail SRM

Les entreprises manufacturières et les détaillants doivent prêter une attention particulière à l'importance croissante accordée par la société aux pratiques ESG (environnementales, sociales et de gouvernance). Les investisseurs et les gouvernements examinent de plus en plus attentivement la manière dont les fabricants et les détaillants s'approvisionnent en matériaux, non seulement par l'intermédiaire de tiers, mais aussi par le biais de la chaîne d'approvisionnement étendue des quatrièmes et Nèmes parties.

Les exigences de conformité ESG, telles que la directive européenne sur la diligence raisonnable des entreprises, imposent d'examiner de manière proactive la chaîne d'approvisionnement afin de détecter tout recours au travail forcé ou à d'autres pratiques contraires à l'éthique, et les amendes en cas de non-conformité peuvent être lourdes. Nous recommandons aux entreprises manufacturières et de vente au détail de veiller de manière proactive à ce que les critères ESG soient pris en compte à chaque étape du cycle de gestion des risques liés aux fournisseurs, pour des raisons de conformité, d'éthique et de réputation. La réglementation va sans aucun doute se durcir dans ce domaine, et une approche ESG proactive permettra sans aucun doute de réduire les défis futurs pour votre organisation.

Services informatiques, logiciels et cybersécurité de la chaîne logistique

À première vue, les entreprises de services informatiques et de logiciels ne semblent pas être exposées aux mêmes niveaux de risque fournisseur que les autres entreprises d'autres secteurs. La plupart des éditeurs de logiciels n'ont pas besoin de s'approvisionner en produits et matières premières dans des pays politiquement instables, et la plupart n'ont pas à s'inquiéter outre mesure des catastrophes naturelles affectant les fournisseurs tiers. Cependant, ils sont exposés à un risque important de cyberattaques.

Ces dernières années, les acteurs malveillants ont de plus en plus souvent recours à la compromission de tiers, notamment des éditeurs de logiciels et des entreprises informatiques, pour diffuser des logiciels malveillants et nuire aux clients. Ces attaques illustrent l'importance cruciale pour les entreprises informatiques et autres sociétés d'évaluer rigoureusement les pratiques de sécurité informatique des éditeurs de logiciels tiers et autres organisations ayant accès à des infrastructures informatiques sensibles.

Ces problèmes sont particulièrement aigus pour les MSP et autres fournisseurs de services informatiques dont les clients sont issus de multiples secteurs verticaux. Par exemple, la violation de Kaseya en 2021 a exploité une vulnérabilité dans une solution utilisée par les fournisseurs de services gérés (MSP). L'exploitation de cette vulnérabilité a permis aux attaquants de distribuer un ransomware aux clients des MSP utilisant la solution Kaseya.

Comprendre les risques profilés, inhérents et résiduels dans la chaîne d'approvisionnement

Le risque fournisseur peut être classé en trois grandes catégories : le risque inhérent, le risque profilé et le risque résiduel. Comprendre ces catégories de risque vous permettra de hiérarchiser efficacement les ressources et d'atténuer les risques tout au long de la chaîne logistique étendue.

Risque profilé, inhérent et résiduel

Risque lié aux fournisseurs profilés

L'
des risques profilés tient compte des risques liés aux services fournis par le fournisseur, aux types de données et de systèmes auxquels il a accès, ainsi qu'au secteur dans lequel il opère. Par exemple, si une entreprise manufacturière s'approvisionne à 90 % auprès d'un seul fournisseur situé dans un pays politiquement instable, ce fournisseur présentera un risque profilé élevé. À l'inverse, un fournisseur d'un seul composant mineur et facilement remplaçable présenterait un profil de risque faible. Lorsque vous examinez les risques liés au profil des fournisseurs, vous devez tenir compte des éléments suivants :

  • Exigences de conformité : les prochaines réglementations telles que le projet de directive européenne sur le devoir de diligence des entreprises sont susceptibles d'imposer de lourdes amendes aux organisations qui ne parviennent pas à intégrer les meilleures pratiques ESG dans leur chaîne d'approvisionnement. Les fournisseurs présentant un risque élevé en matière d'ESG ou ayant de mauvais antécédents en matière de gestion ESG représentent un risque plus important.
  • Accès aux données et aux systèmes informatiques : le profil de risque d'un fournisseur tiers est directement lié à l'étendue et au type des données et des systèmes informatiques auxquels il a accès. Les organisations qui ont un niveau d'accès élevé à des informations confidentielles présentent un profil de risque plus élevé. Si un fournisseur stocke, traite ou interagit avec les données de votre entreprise, son programme de sécurité devient en fait votre programme de sécurité.
  • Emplacement : les organisations qui opèrent dans des environnements politiquement instables présentent un risque plus élevé que celles qui n'y opèrent pas. L'instabilité politique peut rapidement perturber les chaînes d'approvisionnement, compromettre des données sensibles et entraîner d'autres conséquences négatives difficiles à prévoir.

Les responsables de la gestion des risques fournisseurs doivent tenir compte de nombreux facteurs lorsqu'ils évaluent le profil de risque des fournisseurs potentiels. Ne commettez pas l'erreur de négliger l'étape de profilage des risques, car elle fournit un contexte essentiel pour sélectionner les questionnaires adaptés à chaque niveau de fournisseur dans votre écosystème tiers. Sans une bonne compréhension du profil de risque, vous poserez inévitablement les mauvaises questions, obtiendrez des données non pertinentes et aboutirez à des scores de risque inhérent inexacts.

Risque inhérent au fournisseur

Le risque inhérent indique le niveau de risque d'un fournisseur avant la mise en place des contrôles spécifiques requis par votre organisation. Par exemple, si un établissement de santé recherche des sociétés d'analyse de données pour l'aider à traiter les données des patients, une société qui ne dispose pas de documentation démontrant la conformité de ses politiques à la loi HIPAA représenterait un risque inhérent inacceptable. L'hôpital aurait le choix entre exiger du fournisseur qu'il mette en œuvre des politiques et des procédures conformes à la loi HIPAA ou résilier le contrat. Lorsque vous analysez le risque inhérent d'un fournisseur potentiel, tenez compte des éléments suivants :

  • Si le fournisseur subissait une cyberattaque majeure qui l'empêchait d'honorer son contrat, votre chaîne d'approvisionnement subirait-elle une perturbation importante ?
  • Le fournisseur satisfait-il actuellement à toutes les exigences de conformité imposées par votre organisation ? (par exemple, HIPAA, CCPA, RGPD)
  • Le fournisseur dispose-t-il de son propre programme de gestion des risques fournisseurs qui lui permet de continuer à livrer en cas de perturbation chez un fournisseur de quatrième ou de n-ième rang ?

Poser ces questions et d'autres questions pertinentes peut vous aider à discerner le risque inhérent qu'un fournisseur potentiel représente pour votre organisation et sa chaîne d'approvisionnement. Les réponses à ces questions vous permettront de rédiger un ensemble détaillé d'exigences pour un fournisseur en fonction d'une combinaison de son profil et de son risque inhérent.

Risque résiduel lié au fournisseur

Le risque résiduel est le risque qui subsiste après qu'un fournisseur a mis en œuvre avec succès les contrôles exigés par votre organisation. Quels que soient le profil de risque du fournisseur, le risque inhérent et les mesures correctives prises, il restera toujours un certain risque résiduel. L'objectif d'un programme efficace de gestion des risques fournisseurs est de ramener le risque résiduel à un niveau acceptable pour votre organisation tout au long de sa chaîne d'approvisionnement étendue.

Pour atteindre un niveau acceptable de risque résiduel, vous devrez vous assurer que tous les fournisseurs satisfont aux exigences « incontournables » de votre organisation afin de garantir la sécurité et la conformité des chaînes d'approvisionnement. Ces exigences peuvent inclure :

  • Programmes de sécurité de l'information robustes et documentés
  • Planification approfondie de la reprise après sinistre
  • Visibilité sur les quatrièmes et Nèmes parties
  • Un programme de conformité ESG
  • Visibilité sur l'approvisionnement en matières premières (par exemple, les minerais provenant de zones de conflit)

Gardez à l'esprit que le risque résiduel n'est pas statique tout au long du cycle de vie de la gestion des risques fournisseurs. Il est essentiel de surveiller les tiers tout au long du cycle de vie du contrat afin de rester au fait des changements dans le risque résiduel résultant de changements organisationnels ou environnementaux.

Aperçu de la stratégie de gestion des risques liés aux fournisseurs

Stratégie de gestion des risques liés aux fournisseurs

1. Former une équipe SRM interdépartementale

Identifier et quantifier les risques liés aux fournisseurs peut sembler intimidant à première vue. Il est donc essentiel de disposer de la bonne équipe pour gérer et superviser votre programme SRM. Les participants peuvent inclure des représentants des équipes chargées des achats et de l'approvisionnement, de la gestion des risques, de la sécurité et de l'informatique, des services juridiques et de la conformité, ainsi que de la confidentialité des données. Il est également essentiel de collaborer avec les équipes chargées de la gestion des produits et de la fabrication afin de comprendre les risques potentiels à chaque étape de la chaîne de valeur.

2. Sélectionner un cadre de gestion des risques

Baser votre programme SRM sur un cadre de gestion des risques peut vous fournir une base de bonnes pratiques et de conseils. De nombreuses organisations s'alignent sur les cadres NIST ou ISO, en fonction de leur secteur d'activité et d'autres facteurs. Les directives spécifiques du NIST
à prendre en compte comprennent le NIST CSF v2.0, le NIST SP 800-53 et le NIST SP 800-161. Pour les normes ISO, commencez par les normes ISO 27001 et ISO 27036-2.

3. Prendre en compte les risques dans les processus RFx grâce à une diligence raisonnable préalable à la signature du contrat

Lorsque vous évaluez de nouveaux fournisseurs, assurez-vous que les processus d'appel d'offres, de demande d'informations et autres processus RFx incluent la collecte d'informations sur les risques commerciaux, financiers et de réputation auprès de sources telles que :

  • Actualités commerciales (par exemple, activités de fusion-acquisition, mesures réglementaires et juridiques, changements opérationnels et changements de direction)
  • Couverture médiatique négative (par exemple, violations ESG, esclavage moderne, corruption, pots-de-vin)
  • Listes des violations de données
  • Documents financiers
  • Listes de sanctions (par exemple, OFAC, UE, ONU, BOE, FBI, BIS, etc.)
  • Listes mondiales des mesures coercitives et dépôts judiciaires (par exemple, FDA, US HHS, UK FSA, SEC, etc.)
  • Liste des entreprises publiques
  • Listes des personnes politiquement exposées (PPE)

Les réseaux d'information sur les risques et les services de profilage des risques peuvent contribuer à automatiser ce processus. Lorsque de nouveaux fournisseurs sont sélectionnés, veillez à mettre en place un processus solide de gestion du cycle de vie des contrats afin de rationaliser et de sécuriser le processus.

4. Centraliser la visibilité sur les profils des fournisseurs

La création et la maintenance d'une base de données centralisée des fournisseurs sont essentielles pour garantir l'efficacité d'un programme SRM. La base de données doit inclure des profils complets des fournisseurs et fournir un accès basé sur les rôles aux contacts de l'entreprise, aux données démographiques, aux connexionsavec les quatrièmes et n-ièmes parties, ainsi qu'aux informations sur les risques, en commençant par toutes les données de profilage des risques et les informations externes sur les risques recueillies pendant la phase d'approvisionnement et de sélection.

5. Classer et hiérarchiser les fournisseurs en fonction du risque inhérent

Pour garantir l'efficacité du programme SRM et optimiser l'utilisation des ressources limitées, vous devrez classer et hiérarchiser vos fournisseurs en fonction de leur risque inhérent. Comme indiqué précédemment, le risque inhérent est le risque lié à un fournisseur avant la mise en place des contrôles spécifiques requis par votre organisation. Une évaluation efficace du risque inhérent (voir tableau ci-dessous) peut combiner les réponses à de simples questionnaires internes et les données externes sur les risques recueillies pendant la phase d'approvisionnement.

Matrice des risques fournisseurs

Tableau simple d'évaluation des risques SRM

6. Effectuer des évaluations périodiques des risques afin d'assurer la conformité

Une fois que vos fournisseurs ont été profilés, classés et hiérarchisés, il devrait être facile de déterminer la fréquence et la portée des futures évaluations des risques pour chaque catégorie de fournisseurs. Par exemple, vous pouvez effectuer des évaluations annuelles des fournisseurs critiques en fonction des normes industrielles, des exigences réglementaires ou des exigences organisationnelles spécifiques. Les évaluations peuvent demander des informations sur les contrôles de sécurité internes, les plans de continuité des activités, les plans de reprise après sinistre, etc. Pour plus de détails sur les types d'évaluation, consultez notre article de blog intitulé « Comment sélectionner un questionnaire d'évaluation des risques fournisseurs ».

7. Surveiller en permanence les nouveaux risques liés aux fournisseurs

Les risques liés aux fournisseurs apparaissent constamment en réponse à l'évolution rapide de l'environnement économique, géopolitique et de cybersécurité. Il est donc important de surveiller en permanence vos fournisseurs critiques afin de détecter tout nouveau risque commercial, financier, réputationnel et cybernétique. Ces informations peuvent être utilisées pour ajuster les scores de risque des fournisseurs et déclencher des mesures d'intervention, d'atténuation et de remédiation, telles que la recherche de nouveaux fournisseurs, la modification des itinéraires d'expédition ou la demande d'évaluations supplémentaires.

8. Veiller au respect des exigences en matière de SLA et de performances

Bon nombre des mécanismes d'évaluation et de suivi évoqués dans cet article peuvent également être personnalisés afin d'évaluer les performances des fournisseurs par rapport aux accords de niveau de service (SLA) et autres exigences contractuelles. Commencez par définir des indicateurs clés de performance (KPI) pour les fournisseurs, puis attribuez des seuils et des responsables pour chaque KPI en fonction des caractéristiques du contrat. Une plateforme automatisée peut déclencher des alertes lorsque les KPI ne sont pas atteints ou lorsque les indicateurs de risque clés (KRI) sont dépassés.

9. Se protéger contre les risques liés à la fin des contrats avec les fournisseurs

Le départ des fournisseurs est souvent négligé dans la gestion des risques liés aux fournisseurs, ce qui augmente souvent les risques de sécurité après la fin d'un contrat. C'est pourquoi il est essentiel d'examiner les profils des fournisseurs dont le contrat est résilié et de procéder à des évaluations de départ. Ces évaluations peuvent être utilisées pour vérifier que les conditions finales du contrat sont respectées, que les livraisons sont effectuées, que l'accès informatique et/ou physique est révoqué, que les actifs sont restitués et que les données sensibles sont détruites. Voici une liste de contrôle pour vous aider à démarrer.

Conseils pour votre programme SRM

Reconnaître que le risque fournisseur ne se limite pas aux tiers

Le risque d'une organisation ne se limite pas à ses associés et fournisseurs directs (tiers). Des dommages peuvent également être causés par leurs partenaires, également appelés « quatrièmes parties », ainsi que par ceux qui se trouvent plus en aval dans la chaîne d'approvisionnement. Le défi consistant à identifier ces organisations, les risques associés posés par les tiers et leur capacité à gérer et à mettre en œuvre des contrôles contre ces risques est aujourd'hui une préoccupation majeure pour les entreprises. La complexité liée à l'évaluation et à la gestion de ce type de risques nécessite un programme de gestion des risques liés aux tiers solide et complet .

Créer des plans d'intervention en cas d'incident pour les principaux fournisseurs

Quelle que soit la solidité de vos programmes SRM et d'approvisionnement, des problèmes surviendront inévitablement. Pour les maillons particulièrement critiques de votre chaîne logistique, prenez le temps d'élaborer des plans d'urgence qui vous permettront de réagir rapidement en cas d'incident. Cela peut faire la différence entre des perturbations généralisées dans toute votre organisation et un simple contretemps dans vos opérations. Plus le fournisseur est important, plus il est essentiel d'élaborer des plans d'intervention spécifiques et réalisables en cas d'incident.

Mettre en place un programme de formation SRM

Pour les grandes organisations, il peut être extrêmement difficile de garantir la sécurité et la robustesse des chaînes d'approvisionnement à l'échelle de l'entreprise. Différents services peuvent disposer de systèmes distincts pour l'approvisionnement et la sélection des fournisseurs, ce qui peut compliquer l'identification et le suivi de tous les fournisseurs tiers (et, par conséquent, de leurs chaînes d'approvisionnement).

Un programme de formation à la gestion des relations avec les fournisseurs (SRM) peut aider à harmoniser les décisions prises par les responsables à tous les niveaux de l'organisation et fournir des normes claires sur la manière dont les individus et les services doivent intégrer, contrôler, gérer et désengager les tiers. Sans normes claires communiquées de manière uniforme, un programme SRM peut rapidement être compromis.

Prochaines étapes

Vous vous demandez comment vous lancer ? Découvrez nos solutions pour la gestion des risques fournisseurs, notre service de surveillance des risques fournisseurs et notre service de diligence raisonnable en matière d'approvisionnement. Vous souhaitez savoir si les solutions et services Prevalent peuvent convenir à votre organisation ? Demandez une démonstration.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.