Une évaluation adéquate des risques potentiels posés par des tiers est un élément crucial de la stratégie de gestion des risques d'une organisation. Les risques liés aux tiers peuvent inclure les menaces liées à la cybersécurité, les préoccupations relatives à la confidentialité des données, les problèmes de conformité et les risques opérationnels, ainsi que les risques environnementaux, sociaux et de gouvernance (ESG), les risques financiers et les risques de réputation. En effectuant des évaluations approfondies des risques liés aux tiers, adaptées à un profil de risque spécifique, votre organisation peut identifier et atténuer les risques inacceptables tout au long du cycle de vie de ses relations avec ses fournisseurs et prestataires.
Les évaluations des risques liés aux tiers permettent non seulement à votre organisation de détecter et de réduire les risques de manière proactive, mais aussi de se préparer à d'éventuels incidents. De plus, la réalisation d'évaluations complètes des risques liés aux tiers renforce la confiance des clients, fournit des preuves supplémentaires de conformité aux organismes de réglementation et permet à votre organisation de découvrir et de comprendre les risques tout au long de sa chaîne d'approvisionnement distribuée.
Qu'est-ce qu'une évaluation des risques liés aux tiers ?
Des évaluations des risques liés aux tiers sont menées tout au long du cycle de vie des risques liés aux fournisseurs afin d'évaluer de manière globale les risques organisationnels posés par des fournisseurs et prestataires spécifiques. Les organisations procèdent généralement à des évaluations à plusieurs moments au cours de la relation avec les tiers, notamment :
-
Au cours de la phase initiale de sélection et d'approvisionnement visant à identifier et à hiérarchiser les fournisseurs et prestataires potentiels présentant des profils de risque acceptables
-
Avant d'accorder l'accès à des systèmes et données sensibles pendant le processus d'intégration, dans le cadre d'une diligence raisonnable visant à évaluer les risques potentiels.
-
Périodiquement tout au long du partenariat afin de vérifier le respect des accords de niveau de service, d'évaluer le respect des contrats et de satisfaire aux exigences d'audit.
-
Au cours du processus de départ, afin de garantir que l'accès au système est résilié et que les données sont protégées ou supprimées conformément à la réglementation.
-
En cas d'incident de sécurité, déterminer l'étendue et l'impact de la violation.
Les évaluations des risques liés aux tiers s'appuient sur des questionnaires qui recueillent des informations sur les contrôles de sécurité et de confidentialité mis en place par ces tiers. Elles peuvent également recueillir des informations sur les données financières et opérationnelles des tiers, ainsi que sur leurs politiques en matière environnementale, sociale et de gouvernance (ESG). Les risques identifiés au cours du processus d'évaluation sont généralement évalués en fonction de facteurs tels que la gravité du problème et la probabilité qu'il se produise. Les résultats sont souvent mis en correspondance avec les exigences clés définies dans les cadres industriels ou réglementaires tels que ISO, HIPAA, PCI DSS, UK Modern Slavery ACT, GDPR, NIST CSF et d'autres réglementations fondamentales. Cela aide les organisations à adopter une approche proactive pour identifier et atténuer les risques liés à la collaboration avec des partenaires externes.
Pourquoi les évaluations des risques liés aux tiers sont-elles essentielles ?
Ces dernières années, les activités commerciales et les chaînes d'approvisionnement mondiales ont été gravement perturbées par des événements tels que la pandémie actuelle de COVID-19, des conditions météorologiques extrêmes, des cyberattaques importantes et d'autres crises. Ces perturbations ont entraîné des défaillances opérationnelles, des pertes financières et des défis juridiques pour de nombreuses organisations. Bien que bon nombre de ces événements aient été inévitables, les organisations dotées de programmes solides de gestion des risques liés aux tiers (TPRM) ont souvent été en mesure d'en minimiser ou d'en atténuer les effets.
En mettant en œuvre un processus rigoureux d'évaluation des risques liés aux tiers, votre organisation peut approfondir sa compréhension de sa chaîne d'approvisionnement tierce et évaluer de manière holistique les risques difficiles à détecter, tels que le risque de concentration, le risque ESG lié aux quatrièmes parties et le risque de réputation. Cela renforce sa résilience en cas de crise tout en lui permettant de prendre des décisions commerciales intelligentes et éclairées concernant les risques liés à l'engagement de nouveaux fournisseurs.
Quelles sont les différentes catégories de risques liés aux tiers ?
Lorsque vous travaillez avec des tiers, trois principaux types de risques doivent être pris en compte : les risques profilés, les risques inhérents et les risques résiduels. Ces types de risques déterminent le niveau de détail que doit avoir votre processus d'évaluation et les mesures correctives que vous devez exiger des fournisseurs en fonction de leurs pratiques en matière de sécurité de l'information et de leurs pratiques commerciales.
-
Le risque profilé est le risque qu'un tiers représente pour votre organisation sur la base d'informations observables de l'extérieur, telles que son emplacement, son secteur d'activité, son recours à des quatrièmes parties, sa propriété ou ses politiques ESG de base. Les tiers opérant dans une région géopolitiquement instable ou qui font appel à plusieurs tiers méritent une attention particulière lors du processus d'évaluation des risques liés aux tiers.
-
Le risque inhérent est le risque que présente un tiers en fonction de ses contrôles internes et de ses pratiques commerciales. Par exemple, une organisation qui aura accès à vos données clients et qui a fait l'objet d'un audit et d'une vérification par un tiers pour s'assurer de sa conformité au RGPD peut présenter un score de risque inhérent inférieur à celui d'une organisation ne disposant pas d'un programme formalisé de sécurité de l'information ou de confidentialité des données.
-
Le risque résiduel est le niveau de risque qui subsiste après que le fournisseur a mis en œuvre les exigences de votre organisation ou s'il a mis en place les contrôles compensatoires appropriés. Le risque résiduel est parfois appelé « risque acceptable » lorsqu'une organisation accepte les risques restants associés au tiers.
Il est important de prendre en compte ces trois types de risques lors de l'évaluation et de la gestion des tiers afin d'identifier, d'atténuer et de gérer efficacement les dangers potentiels qu'ils peuvent représenter pour votre organisation.
Comment évaluez-vous les risques liés aux tiers ?
L'évaluation des risques liés aux tiers implique le calcul de scores de risque qui tiennent compte de la probabilité qu'un événement se produise et de son impact potentiel. Prenons l'exemple d'un fournisseur qui fournit des services à un hôpital et traite de grandes quantités d'informations médicales protégées (PHI), mais qui n'est pas conforme à la loi HIPAA (Health Insurance Portability and Accountability Act).
Dans ce cas, le fournisseur serait considéré comme un partenaire commercial et soumis aux mêmes exigences réglementaires que le prestataire de soins de santé. L'impact dans ce scénario serait considérable, pouvant entraîner des amendes tant pour le prestataire de soins de santé que pour le partenaire commercial. Le risque que les autorités réglementaires découvrent la non-conformité serait également élevé. Cela représenterait un risque inacceptable pour tout organisme de soins de santé et entraînerait probablement la résiliation du contrat.
Cet exemple souligne l'importance de mener des évaluations approfondies des risques liés aux tiers, en particulier pour les organisations qui traitent de grandes quantités de données sensibles, telles que les prestataires de services gouvernementaux et les prestataires de soins de santé. Dans de nombreux cas, des réglementations telles que la loi HIPAA tiennent l'organisation principale responsable de la non-conformité de ses fournisseurs, ce qui rend crucial pour les organisations d'évaluer et d'atténuer correctement les risques associés à leurs relations avec des tiers.
Étapes de l'évaluation des risques liés aux tiers
1. Réunir les parties prenantes internes
Les programmes d'évaluation des risques liés aux tiers les plus efficaces impliquent la contribution et/ou la participation des parties prenantes, représentant plusieurs rôles avec des priorités différentes. Comprendre ces priorités peut vous aider à rationaliser votre programme et à vous assurer que les étapes clés ne sont pas omises ou négligées. En constituant une équipe interfonctionnelle pour planifier et orienter votre programme d'évaluation, vous pouvez contribuer à garantir son adoption par l'organisation et son succès à long terme.
2. Définissez votre niveau acceptable de risque résiduel
Il est important de comprendre que, même en déployant tous les efforts possibles, un certain niveau de risque sera toujours présent lorsque vous travaillez avec des tiers. Avant d'évaluer des partenaires potentiels, vous devez déterminer le niveau de risque acceptable pour votre organisation. Cela vous aidera à rendre la sélection des fournisseurs et la gestion des risques plus efficaces et plus uniformes. Cette méthode peut également vous aider à identifier rapidement les tiers qui ne correspondent pas à vos objectifs commerciaux et à votre tolérance au risque.
3. Élaborez votre processus d'évaluation des risques liés aux tiers
Pour gérer efficacement les risques liés aux tiers, il est essentiel de mettre en place un processus standardisé. Cependant, le processus d'évaluation des risques peut varier en fonction du tiers, de son niveau de criticité pour votre chaîne d'approvisionnement, de son accès à des données sensibles et de sa vulnérabilité aux événements pouvant affecter la continuité des activités. Par exemple, les tiers présentant un niveau de criticité et un risque potentiel élevés nécessiteront une diligence raisonnable plus approfondie que ceux présentant un risque moindre. Un processus structuré permettra à votre programme de fonctionner plus efficacement et vous aidera à prendre de meilleures décisions, fondées sur les risques, concernant vos relations avec les tiers.
Commencer par une évaluation interne du profilage et de la hiérarchisation peut vous aider à classer vos fournisseurs et à déterminer le type, la portée et la fréquence des évaluations requises pour chaque groupe.
4. Envoyer des questionnaires d'évaluation des risques liés aux tiers
Pour gérer efficacement les risques liés aux tiers, il est important de recueillir des informations sur les contrôles internes du fournisseur. L'un des moyens d'y parvenir consiste à envoyer des questionnaires. Ces questionnaires peuvent couvrir un large éventail de sujets, tels que les pratiques en matière de sécurité de l'information, les exigences de conformité, la stabilité financière et les données relatives aux fournisseurs de quatrième et n-ième rang.
Lorsqu'elles choisissent des questionnaires pour les évaluations primaires des risques, les entreprises doivent décider si elles utilisent un questionnaire standardisé ou s'ils créent leur propre questionnaire. Les questionnaires standardisés tels que le questionnaire SIG (Standard Information Gathering), le questionnaire H-ISAC pour les organismes de santé et le questionnaire PCF (Prevalent Compliance Framework) sont largement acceptés et connus de la plupart des fournisseurs et prestataires. Toutefois, si un tiers dispose déjà d'une certification en matière de sécurité de l'information, telle que CMMC ou SOC 2, celle-ci peut être acceptée à la place d'une réponse à l'évaluation. Vous pouvez également les compléter par des évaluations propriétaires et/ou ad hoc afin de recueillir des informations sur des contrôles spécifiques ou des risques potentiels en dehors de la cybersécurité.
Une autre option consiste à utiliser des cadres lors de la conception des questionnaires d'évaluation des fournisseurs. Des cadres tels que le NIST Cybersecurity Framework, ISO 27001 et NIST 800-30 peuvent aider à garantir que les questionnaires sont standardisés tout au long de la chaîne d'approvisionnement et reflètent les meilleures pratiques. De plus, si des réglementations spécifiques telles que le RGPD ou PCI-DSS s'appliquent, il peut être utile d'intégrer directement dans le programme des questions liées à ces normes.
5. Compléter les évaluations par une surveillance continue des risques
Les vulnérabilités en matière de cybersécurité, les défis liés à la chaîne d'approvisionnement et les exigences de conformité évoluent en permanence. Par conséquent, effectuez une surveillance continue des risques afin de détecter tout risque cybernétique, commercial, financier ou de réputation survenant entre vos évaluations périodiques des fournisseurs. Vous pouvez également utiliser les données relatives aux risques pour vérifier que les réponses fournies par les tiers lors des évaluations correspondent bien à leurs activités commerciales réelles.
Violations des données des fournisseurs, identifiants exposés et autres cyberrisques
Dans le paysage cybernétique en constante évolution d'aujourd'hui, les organisations doivent surveiller de manière proactive les risques externes liés à la cybersécurité dans l'ensemble de leur écosystème de fournisseurs, plutôt que d'adopter une approche ponctuelle pour évaluer les risques liés aux fournisseurs. Les risques potentiels à surveiller comprennent :
-
Exposition des identifiants
-
Violations de données et incidents confirmés
-
Applications Web mal configurées et vulnérabilités
-
Typosquatting et autres menaces pour les marques.
Pour plus d'informations sur l'identification de ces risques et d'autres, consultez notre article sur les meilleures pratiques en matière de gestion des risques liés à la chaîne d'approvisionnement informatique (C-SCRM).
Finances, pratiques commerciales et réputation des tiers
Outre les risques liés à la cybersécurité, il est essentiel de surveiller la stabilité financière, les pratiques commerciales et la réputation des fournisseurs. Une faillite financière, des perturbations opérationnelles ou une mauvaise presse peuvent avoir des répercussions importantes sur votre entreprise et sur les défis environnementaux, sociaux et de gouvernance (ESG), tels que l'esclavage moderne, la corruption et les questions de protection des consommateurs. Pour atténuer ces risques, examinez les pratiques commerciales des fournisseurs, l'approvisionnement en matières premières et d'autres processus clés susceptibles de poser des problèmes en matière de réputation ou d'éthique. Demandez également des références à leurs clients et partenaires afin d'obtenir des informations supplémentaires sur la capacité de ces tiers à respecter les accords de niveau de service (SLA) et autres obligations contractuelles.
Choisir une stratégie de surveillance
Il est important de disposer d'une stratégie complète et efficace lors de la mise en place d'un programme de surveillance. De nombreuses entreprises utilisent des logiciels automatisés de surveillance des menaces provenant des fournisseurs pour identifier et évaluer les risques. Cela peut aider les organisations à recueillir efficacement des renseignements provenant de diverses sources, telles que les renseignements open source.
6. Catégoriser et remédier aux risques
Lors de l'évaluation des risques liés aux tiers, il est essentiel de les classer comme acceptables ou inacceptables. Les risques inacceptables doivent être traités avant de travailler avec le fournisseur. La correction de ces risques peut prendre différentes formes, telles que l'exigence d'une certification de sécurité comme SOC 2, la fin des relations avec les fournisseurs de quatrième et n-ième rang, ou la modification des pratiques commerciales susceptibles d'entraîner des perturbations de la chaîne d'approvisionnement ou autres.
Il est également essentiel de disposer d'une stratégie définie de réponse aux incidents en cas de violation de données ou d'autres perturbations causées par un fournisseur. Grâce à un plan préétabli, vous pouvez réduire considérablement le temps de réponse et minimiser l'impact sur votre organisation.
Comment mettre en place un programme d'évaluation des risques liés aux tiers
De nombreuses entreprises commettent l'erreur d'utiliser à la fois des e-mails et des tableurs lorsqu'elles lancent un programme d'évaluation. Cette approche manuelle peut être chronophage et difficile à gérer, en particulier lorsqu'il faut collaborer avec de nombreux fournisseurs. Elle aboutit également souvent à des données limitées et peu fiables.
Pour créer un programme d'évaluation efficace, envisagez d'utiliser un réseau de renseignements sur les fournisseurs qui donne accès à une bibliothèque de rapports sur les risques liés aux fournisseurs basés sur des données d'évaluation standardisées. Une autre option consiste à utiliser une solution automatisée d'évaluation des risques liés aux tiers, qui permet une plus grande personnalisation et un meilleur contrôle du processus d'évaluation. Si vous préférez une approche plus passive, vous pouvez également faire appel à un fournisseur de services gérés qui effectuera les évaluations à votre place.
Prochaines étapes
Prevalent propose des solutions et des services d'évaluation des risques liés aux tiers dans le cadre de notre plateforme complète de gestion des risques liés aux tiers. Pour discuter de vos besoins spécifiques avec un expert Prevalent, demandez dès aujourd'hui une démonstration personnalisée.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
