Essayer de gérer la sécurité des données des fournisseurs, la sécurité de l'information et, plus généralement, les risques liés aux tiers peut s'avérer une lourde tâche. La mise en œuvre d'un programme efficace de surveillance des tiers (TPM) réduit considérablement les risques tout en vous permettant de gérer les fournisseurs en toute confiance.
La surveillance des tiers ne cesse de gagner en importance. Les acteurs de la menace ont commencé à cibler massivement les organisations de la chaîne d'approvisionnement cybernétique en cherchant à compromettre les entreprises en amont et en aval. Dans le même temps, les risques géopolitiques, les risques ESG et les exigences de conformité ne cessent de croître.
Une solution de surveillance continue des tiers devrait être incluse dans tout programme de gestion des risques liés aux tiers afin de garantir une analyse des risques et une réaction en temps réel. Un programme complet de surveillance des tiers peut vous aider à atténuer l'impact des violations de données des fournisseurs, des perturbations de la chaîne d'approvisionnement et de la presse négative sur votre organisation. Dans cet article, nous présentons une vue d'ensemble de la méthodologie de surveillance des risques liés aux tiers et des termes clés. Nous abordons également les nombreux avantages liés à la mise en œuvre d'un programme efficace.
Qu'est-ce que la surveillance des risques par des tiers et comment fonctionne-t-elle ?
La surveillance des risques par des tiers consiste à recueillir et à analyser en permanence des données observables de l'extérieur sur la position des fournisseurs en matière de cybersécurité, d'éthique commerciale, de situation financière et de contexte géopolitique, afin d'identifier les risques potentiels liés à la chaîne d'approvisionnement. La surveillance des tiers est essentielle pour préserver la stabilité de l'écosystème des fournisseurs et garantir la sécurité des données, en particulier dans les domaines à haut risque tels que les soins de santé ou les services financiers.
Les organisations et les parties prenantes peuvent obtenir une vision continue du niveau de conformité des fournisseurs en intégrant la collecte et l'analyse de données de sécurité approfondies à une approche de gestion des risques par un tiers, en contribuant à la défense des systèmes internes, en effectuant des visites sur place et en examinant les dossiers.
Pourquoi la surveillance des risques par des tiers est-elle importante ?
Les chaînes d'approvisionnement internationales étant de plus en plus connectées, le risque lié aux tiers s'est accru de manière exponentielle. Pour garantir la stabilité et la résilience de la chaîne d'approvisionnement de votre entreprise, il est essentiel de surveiller activement les risques de cybersécurité, financiers, éthiques, opérationnels et d'atteinte à la réputation des tiers. La surveillance des tiers garantit la durabilité, la confiance et la transparence des relations avec les fournisseurs. Voici quelques exemples marquants de cas où une meilleure surveillance des tiers aurait pu aider les organisations à éviter des problèmes.
- Violation de Marriott - En 2018, Marriott a été victime d'une violation de données à la suite de sa fusion avec Starwood. Début 2020, Marriott a annoncé qu'une autre violation de données avait entraîné la fuite de 5,2 millions de comptes clients, y compris des adresses, des anniversaires, des numéros de téléphone et des informations sur les détenteurs de cartes de fidélité. Cette violation de données a été causée par deux propriétaires de franchises Marriott dont l'accès aux systèmes de l'entreprise a été piraté. Même dans le cas d'un partenaire de confiance comme un franchisé, nous recommandons de surveiller de près tous les tiers qui ont accès à l'infrastructure de votre entreprise. Souvent, ces franchisés n'appliquent pas les mêmes normes de cybersécurité que leurs sociétés mères, ce qui entraîne des vulnérabilités pour l'ensemble de l'organisation.
- Magecart - Magecart, un groupe de cybercriminels, a mené de nombreuses attaques contre de grands détaillants dans le monde entier depuis 2015. Les récentes attaques contre Ticketmaster, British Airways, Newegg, Feedify et d'autres entreprises seraient l'œuvre du groupe. Les pirates de Magecart infectent généralement les serveurs web tiers utilisés par leurs victimes afin de voler des informations sensibles, telles que les données de carte de crédit.
- Brèche de sécurité chez Atrium Health - En 2018, Atrium Health a connu une br èche de données qui a exposé les données confidentielles de plus de 2,65 millions de patients. Une compromission des serveurs utilisés par le fournisseur de facturation d'Atrium Health, AccuDoc Solutions, est à l'origine de la fuite.
- Violation des données d'Amazon - Une importante violation des données a touché Amazon, eBay, Shopify et PayPal en 2020. Une base de données tierce contenant environ huit millions d'achats en ligne au Royaume-Uni a été rendue publique. Ce n'est pas la première fois qu'Amazon est victime d'un incident causé par un tiers. En 2017, des pirates ont piraté de nombreux vendeurs tiers affiliés à Amazon et ont utilisé leurs comptes pour publier de fausses offres.
- Violation de données chez General Electric (GE) - GE a annoncé une violation de données en 2020, causée par son fournisseur de services Canon Business Process Services. Le piratage d'un serveur de messagerie a entraîné la divulgation d'informations d'identification publique concernant des bénéficiaires et des employés actuels et anciens de GE.
- Arrêt des activités chez Toyota - En février 2022, Toyota a arrêté ses activités au Japon après qu'un important fournisseur de plastique, Kojima Industries, a été victime d'une violation de données. Kojima avait accès à distance aux usines de fabrication de Toyota, ce qui augmentait considérablement le risque pour Toyota. Suite à cet arrêt temporaire, Toyota a subi des pertes financières et opérationnelles.
Méthodologie TPM
Pour évaluer avec précision les risques liés aux tiers, il est essentiel de compléter les évaluations périodiques "internes" des fournisseurs par une surveillance continue "externe" des menaces. Ces évaluations des risques liés aux tiers, ces questionnaires et l'utilisation de la surveillance des tiers permettent aux organisations d'avoir confiance dans les relations avec les tiers pour l'avenir.
Évaluation interne par des tiers
Ce type d'approche TPM se concentre sur les questionnaires de risque du fournisseur, la diligence raisonnable et la documentation fournie par le fournisseur. L'examen attentif de la documentation et de l'approche du fournisseur en matière de sécurité peut s'avérer inestimable pour les programmes de TPM. Il faut s'assurer que les politiques de sécurité du fournisseur correspondent à ses réponses au questionnaire d'évaluation et aux exigences de conformité. En outre, il convient d'examiner non seulement l'organisation tierce, mais aussi les 4e et 4e parties avec lesquelles elle travaille.
Surveillance des risques par des tiers
Il est également essentiel d'avoir une vision extérieure de l'organisation. Ses informations d'identification sont-elles exposées sur le dark web ? S'il s'agit d'une grande entreprise, existe-t-il des documents financiers accessibles au public qui pourraient permettre à votre organisation de se faire une idée de sa solvabilité financière ? Veillez à faire preuve d'une diligence raisonnable rigoureuse, notamment en utilisant les outils de gestion des risques technologiques et les informations accessibles au public.
Types de surveillance des risques par des tiers
Évaluation et surveillance des risques liés à la cybersécurité
Les cyberdéfis abondent dans la communauté en ligne. Il ne se passe pas une semaine sans que l'on entende parler d'importantes violations de données, dont certaines passent inaperçues pendant des mois avant d'être découvertes. Les cyberattaquants perfectionnent leurs méthodes d'accès aux informations personnelles et professionnelles en se concentrant sur le point d'accès le plus faible : les fournisseurs tiers de l'entreprise. Les fournisseurs tiers peuvent être liés par des systèmes informatiques ou des intégrations, et il peut s'agir de fournisseurs SaaS ou de processeurs de données. Ces tiers peuvent ne pas bénéficier du même niveau de cyberprotection que leurs clients, ce qui en fait une cible plus facile pour les pirates informatiques. Prevalent fournit des informations sur les cyberrisques de plus de 550 000 entreprises en surveillant plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage pour les fuites d'informations d'identification, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilités.
Évaluation et suivi des risques liés à la diversité
Dans un monde plus soucieux des questions sociales, faire des affaires avec des tiers signifie s'assurer que les fournisseurs respectent non seulement les lois et les normes nationales en matière de travail, mais aussi que leur main-d'œuvre reflète fidèlement la société dans son ensemble. La plupart des produits d'évaluation des risques pour les tiers, en revanche, se concentrent principalement sur les menaces de cybersécurité, ignorant les problèmes de diversité et d'inclusion, ce qui peut entraîner une presse négative et une atteinte à la réputation. La plateforme Prevalent de gestion des risques liés aux tiers fournit des outils permettant d'évaluer les politiques de recrutement des tiers en matière de diversité et d'inclusion. Elle intègre également des informations sur la réputation et la réglementation afin de vous aider à vérifier les résultats de votre évaluation.
Surveillance des risques financiers et de réputation
Les vulnérabilités des tiers vont bien au-delà des questions de cybersécurité. L'incertitude financière, par exemple, peut avoir un impact sur la capacité d'un fournisseur à fournir des pièces et des services. Une visite de l'OSHA peut entraîner la fermeture d'une installation. Une conclusion défavorable d'un examen réglementaire ou éthique peut détourner l'attention de la direction et mettre en péril votre entreprise. Bien qu'il soit important de se tenir au courant de tous les incidents qui mettent les fournisseurs en danger, les atteintes à la cybersécurité éclipsent souvent d'autres types d'événements à risque dans l'actualité. Il n'est donc pas étonnant que la majorité des systèmes de gestion des risques des tiers ne parviennent pas à fournir à leurs clients des informations financières et de réputation essentielles. La plateforme de gestion des risques des tiers de Prevalent suit en permanence les bases de données publiques et privées des risques de réputation et des données financières, fournissant les informations, les données de surveillance et les rapports nécessaires pour garder une longueur d'avance sur d'éventuelles perturbations des fournisseurs.
Évaluation et suivi des risques liés à l'esclavage moderne
Les gouvernements du monde entier luttent activement contre l'esclavage moderne, qui comprend la traite et le travail forcé des adultes et des enfants. La loi britannique de 2015 sur l'esclavage moderne, la loi australienne sur l'esclavage moderne et la loi californienne sur la transparence des chaînes d'approvisionnement sont également des exemples de législation visant à mettre fin à l'esclavage moderne. Les organisations doivent veiller à ce que les politiques de travail de leurs chaînes d'approvisionnement soient conformes à ces règles, sous peine d'amendes, de sanctions judiciaires et d'une mauvaise couverture médiatique. Les entreprises doivent procéder à des évaluations des contrôles des fournisseurs basées sur des enquêtes de la chaîne d'approvisionnement, surveiller les systèmes et valider les résultats par un contrôle externe continu de leurs pratiques réelles.
Surveillance des risques géopolitiques
La surveillance des risques géopolitiques continue de gagner en importance en 2023. Les relations entre les États-Unis et la Chine continuent de se détériorer, tandis que les tensions avec des pays comme la Russie, l'Iran et la Corée du Nord augmentent. L'augmentation des tensions s'accompagne d'un risque de perturbation soudaine des activités découlant de mesures commerciales, d'APT et d'autres événements. Les mesures commerciales prises à l'encontre de la Chine à l 'automne 2022 illustrent les perturbations soudaines de l'approvisionnement qui peuvent résulter des activités d'un État-nation. Une surveillance rigoureuse des risques géopolitiques peut permettre d'alerter rapidement sur d'éventuelles mesures commerciales, tarifs douaniers, actions en justice et autres risques d'origine géopolitique.
Suivi des risques ESG
Les risques ESG sont au cœur des préoccupations de nombreuses organisations en 2023. Les nouvelles réglementations ESG, telles que le projet de directive européenne sur le devoir de diligence des entreprises et la loi allemande sur le devoir de diligence de la chaîne d'approvisionnement, obligent les entreprises à contrôler leur chaîne d'approvisionnement en fonction des préoccupations ESG. Ces dispositions contrastent avec la précédente génération de lois ESG, qui exigeaient simplement des organisations qu'elles rendent compte des mesures prises en matière d'ESG. Lors du contrôle des risques ESG, il est essentiel d'aller au-delà des tiers et de contrôler l'ensemble de la chaîne d'approvisionnement étendue. Ces dernières années, de nombreuses organisations ont subi d'énormes atteintes à leur réputation parce qu'elles n'ont pas réussi à identifier efficacement les préjudices ESG importants causés par les entreprises en aval. les fournisseurs de quatrième et de Nième rangs.
Contrôle continu par des tiers
Entre deux évaluations des risques liés aux fournisseurs, beaucoup de choses peuvent se produire. C'est pourquoi il est important de fournir une visibilité permanente sur les menaces qui pèsent sur les fournisseurs. Les risques externes pour les tiers sont constamment suivis et analysés par le Vendor Threat Monitor de Prevalent. Cette approche permet de détecter les cyber-risques et les vulnérabilités sur Internet et le dark web, ainsi que les flux publics et privés d'informations relatives à la réputation et de données financières. Le module Vendor Threat Monitor est associé à l'évaluation interne du risque fournisseur dans le cadre de la plateforme de gestion du risque tiers de Prevalent. Les données d'analyse et d'évaluation de chaque fournisseur sont consolidées dans un registre de risque unique, ce qui vous permet de comparer facilement les résultats et de rationaliser l'analyse des risques, le reporting et les initiatives de réponse.
Les 4èmes partis et au-delà
Les fournisseurs, les détaillants, les investisseurs et les autres personnes qui font des affaires avec une entreprise sont considérés comme des tiers. Cependant, il existe une autre dimension à laquelle toutes les entreprises doivent prêter attention : les partenaires et les fournisseurs de leurs tiers, également appelés "quatrièmes parties". Les quatrièmes partenaires (ou "Nièmes parties", comme on les appelle dans la chaîne d'approvisionnement) ne sont pas liés contractuellement à une entité, mais ils sont liés à ses tiers.
Avantages de la surveillance continue des risques par des tiers
1. Informer la diligence raisonnable en matière de passation de marchés
L'analyse des risques menée sur les tiers avant l'intégration peut éclairer la sélection du fournisseur et fournir des indications sur les problèmes potentiels à venir. Elle peut également indiquer la nécessité de procéder à des évaluations supplémentaires afin de recueillir des informations complémentaires sur les contrôles de sécurité des fournisseurs, les initiatives de conformité et d'autres facteurs susceptibles d'avoir un impact sur le flux de travail opérationnel de votre organisation. Disposer d'informations en amont peut permettre de gagner beaucoup de temps et d'argent, en particulier si votre organisation dispose d'une chaîne d'approvisionnement complexe impliquant de nombreux fournisseurs.
2. Minimiser les risques pour la réputation
La surveillance continue vous permet d'obtenir des informations en temps réel sur le risque de réputation de vos fournisseurs tiers. Les informations sur les divulgations financières, les violations de l'éthique, les sanctions réglementaires, les problèmes environnementaux et les procédures judiciaires peuvent vous aider à anticiper la presse négative dans votre chaîne d'approvisionnement et l'éventuelle "culpabilité par association" de votre organisation.
3. Réduire les risques de violation des données
La surveillance continue permet aux équipes de cybersécurité de collecter rapidement des données précises et actualisées sur les vulnérabilités des tiers, les fuites d'informations d'identification et d'autres expositions. Ces informations peuvent aider votre équipe à renforcer les défenses, à fixer des limites et/ou à émettre des avertissements en réponse à un site web compromis ou à une violation de la sécurité, afin que vous puissiez agir immédiatement pour protéger vos systèmes sensibles et les données de vos clients.
4. Hiérarchiser les évaluations
Le contrôle continu permet d'établir des profils de fournisseurs et de déterminer le risque inhérent à chacun d'eux. Ces informations peuvent vous aider à hiérarchiser l'étendue et la fréquence des évaluations périodiques des risques par questionnaire, en fonction du risque potentiel et de la criticité de chaque tiers pour votre entreprise. En outre, la surveillance peut déclencher une évaluation ad hoc supplémentaire si un incident de sécurité majeur ou un événement organisationnel est identifié.
5. Valider les réponses à l'évaluation
Le contrôle des mesures de cybersécurité et des pratiques commerciales de vos tiers peut vous aider à vérifier l'exactitude des réponses aux évaluations et à boucler la boucle de l'analyse des risques. Ces entreprises recherchent-elles régulièrement des logiciels malveillants et appliquent-elles des correctifs à leurs systèmes ? Adoptent-ils des pratiques de recrutement éthiques ? La surveillance continue est un excellent moyen de déterminer si vos fournisseurs tiers respectent vos exigences en matière de sécurité, de conformité et d'éthique.
Mise en place d'un programme de surveillance des risques liés aux tiers
Avec l'augmentation des cyberattaques par des tiers et les nouvelles lois sur la protection de la vie privée, il est plus important que jamais de s'assurer que vos fournisseurs peuvent manipuler des données confidentielles en toute sécurité. En revanche, la collecte, la gestion et l'examen manuels de l'état des risques sont peu fiables, sources d'erreurs et coûteux. Grâce à sa plateforme unique et intégrée de gestion des risques liés aux tiers (TPRM), Prevalent facilite et accélère la mise en œuvre et la prévention des risques. Demandez une démonstration pour voir si Prevalent est fait pour vous.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
