Considérations relatives à la gestion des risques liés aux tiers pour votre stratégie GRC

Il est temps de vérifier votre programme GRC pour ces capacités TPRM essentielles.

Personnel de Mitratech
Personnel de Mitratech 17 janvier 2020 12 min de lecture
Image décorative

GRC – abréviation de Governance, Risk, and Compliance (gouvernance, risque et conformité) – désigne l'alignement des processus, des technologies et des personnes au sein d'une organisation sur un cadre reproductible pour la prise de décision basée sur les risques. Mais qu'implique le GRC, et tient-il compte des risques présentés par les tiers ? Étant donné que plus de 60 % des violations de données impliquent un tiers d'une manière ou d'une autre, comment les organisations peuvent-elles développer une stratégie de gestion des risques simplifiée et holistique qui englobe non seulement les facteurs de risque internes, mais aussi ceux introduits par les parties externes avec lesquelles elles font affaire ? Ce blog abordera ces questions et fournira un résumé des capacités à rechercher lorsque vous élaborez votre stratégie GRC à l'aide d'un cadre standard commun à l'industrie : l'OCEG.

En quoi consiste la GRC ?

La GRC commence par définir les objectifs commerciaux et organiser les processus commerciaux et la supervision organisationnelle afin de garantir que l'entreprise atteigne ces objectifs. C'est le « G » : la gouvernance. Vient ensuite le « R » : l'application des principes de gestion des risques pour défendre ces objectifs, par exemple en mettant en place des processus de gestion des risques informatiques qui fournissent un cadre permettant de visualiser les cyberrisques potentiels susceptibles d'avoir un impact sur l'entreprise et de prendre des mesures pour y remédier. Enfin, il s'agit de garantir la conformité (le « C ») avec les cadres réglementaires et industriels mis en place pour s'assurer que les facteurs « G » et « R » de votre organisation sont alignés sur des pratiques éprouvées et acceptées.

Quel est le lien entre les risques liés aux tiers et la GRC ?

Bien qu'il s'agisse intrinsèquement d'un exercice interne, les pratiques fondamentales de GRC peuvent être étendues pour inclure les relations commerciales externes/avec des tiers de l'organisation. S'appuyant sur bon nombre des mêmes principes, la gestion des risques liés aux tiers (ou TPRM ) est un sous-ensemble de la GRC tourné vers l'extérieur, dans la mesure où elle permet d'identifier et de gérer les risques informatiques dans la chaîne d'approvisionnement (par exemple, les fournisseurs, les partenaires, etc.), c'est-à-dire votre entreprise étendue, afin de garantir un niveau acceptable de risque lié aux partenaires et de mesurer le respect des obligations de conformité par les fournisseurs. L'entreprise étendue est un sujet de préoccupation dans l'environnement moderne, externalisé et flexible – une simple extension de l'activité qui soutient les activités génératrices de revenus.

Plus précisément, TPRM automatise la collecte et l'analyse des preuves fournies par les fournisseurs dans le cadre de questionnaires ; identifie et hiérarchise les risques liés aux fournisseurs ; formule des recommandations pour remédier aux risques, accompagnées de conseils concrets et spécifiques ; surveille en permanence les risques cybernétiques et commerciaux grâce à des analyses externes, à la veille économique et à des tests de pénétration ; et établit des rapports par régime de conformité ou cadre sectoriel.

Sur le plan conceptuel, la GRC et la TPRM sont similaires dans leurs approches et leurs résultats, la TPRM bénéficiant de la GRC dans la mesure où une stratégie GRC holistique contribue à rendre la TPRM plus proactive et moins réactive. De plus, la TPRM prend également en compte les deuxième et quatrième parties dans l'entreprise étendue.

Vous élaborez un programme GRC ? Tenez compte de ce cadre pour vous assurer que la gestion des risques liés aux tiers (TPRM) est prise en compte dès le départ.

Si vous souhaitez structurer votre programme GRC ou mettre en place un programme plus formel, et que vous voulez vous assurer que les risques liés aux tiers sont pris en compte dès le départ, nous vous recommandons le livre rouge OCEG (Open Compliance and Ethics Group), un cadre commun très apprécié dans le secteur pour la GRC. Nous avons répertorié les meilleures pratiques en matière de TPRM dans ce modèle dans le tableau ci-dessous.

Modèle de capacités OCEG GRC

Pratiques

Meilleures pratiques en matière de capacités TPRM
L – Apprendre : Examiner et analyser le contexte, la culture et les parties prenantes afin de déterminer ce que l'organisation doit savoir pour établir et soutenir ses objectifs et ses stratégies.

Contexte externe : Comprendre le contexte commercial externe dans lequel l'organisation évolue.
  • Analyser le contexte externe
  • Analyser les besoins des parties prenantes externes et des influenceurs
  • Surveiller le contexte externe
  • Services-conseils pour aider à mettre en place un programme TPRM flexible et adaptable
  • Plusieurs options de questionnaire pour recueillir des informations auprès des fournisseurs
  • Surveillance continue des risques cybernétiques et commerciaux des fournisseurs
  • Intégration avec plusieurs fournisseurs différents de données sur les risques cybernétiques pour une couverture étendue

Contexte interne : Comprendre le contexte commercial interne dans lequel l'organisation évolue.
  • Analyser le contexte interne
  • Surveillez le contexte interne
  • Pondérations flexibles pour fournir le contexte approprié aux risques liés aux fournisseurs
  • Mettre en correspondance les processus opérationnels avec les contrôles clés afin de gérer les risques.

Culture : Comprendre la culture existante, notamment la manière dont les dirigeants façonnent la culture, le climat organisationnel et les mentalités individuelles en matière de gouvernance, d'assurance et de gestion de la performance, des risques et de la conformité.
  • Analyser la culture de gouvernance
  • Analyser la culture de gestion
  • Analyser la culture du risque
  • Analyser la culture éthique
  • Analyser l'engagement du personnel
  • Regarder la culture

Interface flexible et facile à utiliser pour garantir que tous les niveaux de l'organisation tirent profit de la solution

Parties prenantes : interagir avec les parties prenantes afin de comprendre leurs attentes, leurs exigences et leurs perspectives qui ont une incidence sur l'organisation.
  • Comprendre les parties prenantes
  • Analyser les besoins des parties prenantes externes et des influenceurs
  • Élaborer des plans de relations avec les parties prenantes
  • Rapports spécifiques aux parties prenantes afin de garantir que les besoins sont satisfaits dans l'ensemble de l'organisation
  • Processus défini pour la gestion des risques
A – Aligner : Aligner les objectifs, les stratégies, les critères décisionnels, les mesures et les contrôles en matière de performance, de risque et de conformité avec le contexte, la culture et les exigences des parties prenantes.

Orientation : Fournir une orientation en établissant clairement la mission, la vision et les valeurs, les objectifs généraux, ainsi que des directives sur la manière dont les décisions seront prises.
  • Définir la mission, la vision et les valeurs
  • Analyser les opportunités, les menaces et les exigences
  • Définir des objectifs généraux
  • Définir les limites de gestion
  • Définir les critères de prise de décision
  • Inventaire centralisé des fournisseurs
  • Classez ou hiérarchisez les fournisseurs en fonction de leur importance pour l'entreprise.
  • Surveillez les cybermenaces et les menaces commerciales provenant de tiers.
  • Des pondérations de risque flexibles pour clarifier ce qui est important pour l'entreprise

Objectifs : Définir un ensemble équilibré d'objectifs mesurables qui soient cohérents avec les critères décisionnels et adaptés au cadre de référence établi.
  • Appliquer les critères décisionnels
  • Élaborer des critères décisionnels supplémentaires
  • Tenir compte de l'effet cumulatif ou concurrentiel des objectifs
  • Objectifs du document
  • Identifier les risques pour l'entreprise, les pondérer, les noter et définir des plans d'action pour les ramener à un niveau acceptable.
  • Workflow cible du niveau de service pour optimiser la gestion du workflow et la rapidité de l'assurance de l'évaluation

Identification : Identifier les forces susceptibles d'avoir des effets souhaitables (opportunités) ou indésirables (menaces) sur la réalisation des objectifs, ainsi que celles qui peuvent contraindre l'organisation à se comporter d'une manière particulière (exigences).
  • Capacité d'examen
  • Identifier les forces
  • Identifier les opportunités, les menaces et les exigences
  • Identifier les interdépendances et les tendances
  • Services consultatifs pour établir des étapes réalisables et des objectifs de programme
  • Surveiller la concentration des risques et/ou la réduction du paysage des risques à l'aide de données afin de mieux comprendre les fournisseurs de type « point de défaillance unique » par rapport à un éventail de fournisseurs similaires à différents niveaux de maturité physique et sécuritaire.

Évaluation : analyser l'approche actuelle et prévue pour traiter les opportunités, les menaces et les exigences à l'aide de critères décisionnels et de méthodes quantitatives et qualitatives.
  • Analyser les risques/récompenses
  • Analyser la conformité
  • Donner la priorité à la gestion des menaces, des opportunités et des exigences
  • Mesurez le risque résiduel après la mise en place des contrôles et des mesures correctives, à l'aide de rapports prédictifs indiquant la réduction des risques.
  • Rapports spécifiques à la réglementation et au cadre réglementaire montrant les progrès accomplis vers la conformité totale, avec une notation prédictive basée sur la mise en œuvre des mesures correctives recommandées.
  • Des pondérations de risque flexibles permettent de se concentrer sur les risques les plus importants pour l'entreprise.
  • Combinaison de la surveillance des activités cybernétiques et de l'analyse qualitative des risques commerciaux
  • Rapports spécifiques aux parties prenantes afin que les bonnes données soient entre les mains des bonnes personnes pour une prise de décision fondée sur les risques

Conception : Élaborer des plans stratégiques et tactiques pour atteindre les objectifs, tout en tenant compte des incertitudes et en agissant avec intégrité, conformément aux critères décisionnels.
  • Explorer les options pour répondre aux exigences
  • Explorer les options pour gérer les risques et les avantages
  • Stratégies de transfert de conception et de financement des risques
  • Déterminer le risque/rendement résiduel prévu et la conformité
  • Risque intrinsèquement élevé
  • Développer des indicateurs clés
  • Développer la structure de gestion de l'information
  • Mettre en place une architecture technologique
  • Élaborer un plan intégré
  • Activer l'exécution
  • Les mesures réglementaires et spécifiques au cadre évaluent le niveau de conformité, avec la possibilité de montrer comment celui-ci évolue avec l'application des mesures correctives recommandées.
  • Identifier les contrôles compensatoires en place pour mesurer la maturité du contrôle du domaine.
  • Appliquer des questionnaires supplémentaires pour clarifier les indicateurs de risque résiduel.
  • Plusieurs options de questionnaire et importation des scores de cyber-surveillance pour une vue complète des risques
  • Évaluation multivariée des risques basée sur la probabilité et l'impact
  • Intégrez-le aux outils IRM/GRC existants pour maintenir le flux de travail et améliorer l'adoption.
P – Exécuter : Traiter les menaces, les opportunités et les exigences en encourageant les comportements et les événements souhaités, et en empêchant ceux qui ne le sont pas, grâce à la mise en œuvre de mesures et de contrôles proactifs, préventifs et réactifs.

Contrôles : mettre en place un ensemble de mesures et de contrôles en matière de gestion, de processus, de capital humain, de technologie, d'information et d'actions physiques qui répondent aux besoins en matière de gouvernance, de gestion et d'assurance.
  • Mettre en place des mesures et des contrôles proactifs
  • Mettre en place des mesures et des contrôles d'enquête
  • Mettre en place des mesures et des contrôles réactifs
  • Profilage des risques pour comprendre où se situent les risques inhérents
  • Vérification visant à comparer les réponses fournies par les fournisseurs par rapport aux contrôles observés
  • Examiner les contrôles compensatoires pour mesurer l'acceptabilité
  • Rapports centralisés – personnalisables par les parties prenantes internes ou externes – présentant les risques existants et leur score, les domaines à améliorer et les progrès réalisés au fil du temps dans le cadre des efforts d'atténuation des risques.
  • Recommandations configurables en matière de risques afin de fournir une vision unique sur la manière d'atténuer les vulnérabilités en fonction des risques connus ou identifiés.
  • Workflow de remédiation bidirectionnel avec piste d'audit complète pour garantir que toutes les parties sont informées de manière transparente des efforts de réduction des risques.

Politiques : mettre en œuvre des politiques et des procédures associées pour répondre aux opportunités, aux menaces et aux exigences, et définir des attentes claires en matière de conduite pour l'autorité dirigeante, la direction, le personnel et l'entreprise élargie.
  • Élaborer des codes de conduite
  • Établir une structure politique
  • Identifier et élaborer des politiques
  • Mettre en œuvre et gérer les politiques
  • Politiques des champions
  • Élaborer et mettre en œuvre des lignes directrices en matière de prise de décision éthique

Les services de conseil et d'évaluation contribuent à définir et à affiner les politiques TPRM.

Communication : Fournir et recevoir des informations pertinentes, fiables et opportunes aux publics concernés, conformément aux mandats ou selon les besoins pour exercer ses responsabilités et influencer efficacement les attitudes.
  • Élaborer un plan de reporting
  • Architecture des processus
  • Élaborer un plan de communication

Rapports spécifiques aux parties prenantes – internes et externes – présentant les risques inhérents, résiduels et réels tout au long du cycle de vie de la gestion des fournisseurs afin de prendre des mesures en fonction des risques identifiés ou traités.

Formation : former les instances dirigeantes, les cadres, les employés et l'ensemble des collaborateurs de l'entreprise aux comportements attendus, et renforcer les compétences et la motivation nécessaires pour aider l'organisation à saisir les opportunités, à faire face aux menaces et à répondre aux exigences.
  • Définir un plan de sensibilisation et d'éducation
  • Définir un plan de programme
  • Développer ou acquérir du contenu
  • Mettre en œuvre l'éducation
  • Fournir une ligne d'assistance téléphonique
  • Fournir un soutien intégré

Grâce aux services de conseil, utilisez l'habilitation adaptative et les indicateurs clés de performance et de risque pour améliorer les talents, les outils et les techniques.

Mesures incitatives : mettre en place des mesures incitatives qui encouragent les comportements souhaités et récompensent ceux qui contribuent à des résultats positifs afin de renforcer les comportements souhaités.
  • Définir le comportement souhaité
  • Embaucher et promouvoir en fonction des attentes en matière de conduite
  • Élaborer et mettre en œuvre des programmes de rémunération, de récompense et de reconnaissance

Services consultatifs pour définir le programme, aider à former les parties prenantes internes et favoriser l'adoption

Notification : Fournir plusieurs moyens de signaler les progrès accomplis dans la réalisation des objectifs, ainsi que la survenue réelle ou potentielle de comportements, de conditions et d'événements indésirables ou souhaitables.
  • Capturer les notifications
  • Filtrer et acheminer les notifications
  • Respecter les exigences en matière de protection des données
  • Cartographier les résultats des évaluations selon plusieurs cadres sectoriels ou régimes de conformité
  • Hiérarchisation flexible des risques en fonction de leur importance pour l'entreprise
  • Workflow intégré permettant de transmettre des résultats spécifiques ou des risques identifiés aux parties prenantes concernées pour analyse, enquête approfondie ou correction.
  • Traçabilité entièrement vérifiée des communications entre les parties internes et externes

Enquête : analyser périodiquement les données et recueillir des informations sur les progrès accomplis dans la réalisation des objectifs, ainsi que sur l'existence de comportements, de conditions et d'événements indésirables.
  • Établir plusieurs voies pour obtenir des informations
  • Mettre en place une approche intégrée à l'échelle de l'organisation pour les enquêtes
  • Mettre en place une approche intégrée de l'auto-évaluation
  • Recueillir des informations par le biais d'observations et de conversations
  • Informations et conclusions du rapport
  • Automatiser la collecte et l'analyse des preuves fournies par les fournisseurs sous forme de questionnaires
  • Évitez la lassitude liée aux enquêtes en mettant en place un modèle « remplir une seule fois, partager plusieurs fois » à l'aide d'un contenu standard.
  • Encouragez l'auto-évaluation des fournisseurs en remplissant un questionnaire standard et en le partageant sur un réseau afin qu'il puisse être utilisé par plusieurs organisations.
  • Mises à jour en temps réel des fournisseurs avec ajustement des risques en temps réel
  • Importer plusieurs entrées pour l'évaluation des risques
  • Rapports spécifiques aux parties prenantes – internes et externes – présentant les progrès réalisés en matière de conformité, les risques existants et les mesures d'atténuation prévues après la mise en œuvre des mesures correctives.

Réponse : Concevoir et, si nécessaire, mettre en œuvre des mesures en réponse à des comportements, des situations, des événements ou des faiblesses identifiés ou présumés indésirables.
  • Mettre en place des processus d'enquête
  • Se préparer à faire face aux situations de crise
  • Suivre les processus de résolution
  • Améliorer les capacités
  • Discipline et recyclage
  • Déterminer les informations à divulguer
  • Alertes en temps réel sur les perturbations potentielles de l'activité liées aux cybervulnérabilités et à la veille économique
  • Visualisez les flux de données entre les relations fournisseurs, identifiez instantanément l'impact et les personnes à contacter pour trouver une solution.
  • Recommandations pour ramener le risque à un niveau acceptable
R – Révision : mener des activités visant à surveiller et à améliorer la conception et l'efficacité opérationnelle de toutes les mesures et contrôles, y compris leur alignement continu sur les objectifs et les stratégies.

Surveillance : Surveiller et évaluer périodiquement les performances de la capacité afin de s'assurer qu'elle est conçue et exploitée de manière à être efficace, efficiente et réactive au changement.
  • Conception des capacités de suivi et d'évaluation
  • Identifier les informations de surveillance
  • Effectuer des activités de surveillance
  • Analyser et rendre compte des résultats du suivi
  • Surveiller en permanence les risques cybernétiques et commerciaux des partenaires/fournisseurs/tiers.
  • Passer à un modèle d'évaluation continue
  • Rapports centralisés – personnalisables par les parties prenantes internes ou externes – présentant les risques existants et leur score, les domaines à améliorer et les progrès réalisés au fil du temps dans le cadre des efforts d'atténuation des risques.
  • Workflow de remédiation bidirectionnel avec piste d'audit complète pour garantir que toutes les parties sont informées de manière transparente des efforts de réduction des risques.

Assurance : Fournir à la direction, à l'autorité dirigeante et aux autres parties prenantes l'assurance que la capacité est fiable, efficace, efficiente et réactive.
  • Évaluation du plan d'assurance
  • Réaliser une évaluation d'assurance
  • Utilisez des questionnaires conformes aux normes de l'industrie pour évaluer les contrôles de sécurité et de confidentialité des fournisseurs afin de déterminer les faiblesses des contrôles et d'établir les risques à corriger.
  • Réaliser des tests basés sur des scénarios d'intervention en cas d'incident afin d'identifier les améliorations à apporter au contenu recueilli pour les évaluations et les connexions d'informations pendant une période de gestion de crise.
  • Calendriers d'évaluation flexibles pour répondre aux besoins des entreprises

Amélioration : examiner les informations issues des évaluations périodiques, des mesures et contrôles préventifs et correctifs, du suivi et de l'assurance, afin d'identifier les possibilités d'amélioration des capacités.
  • Élaborer un plan d'amélioration
  • Mettre en œuvre des initiatives d'amélioration
  • Identifier la concentration et les principaux risques dans l'ensemble du portefeuille et/ou de la communauté du réseau afin de réduire les risques de manière proactive.
  • Qualification et quantification des risques afin de lutter contre les risques identifiés à volume élevé

Si votre stratégie GRC ne tient pas compte de ces meilleures pratiques en matière de TPRM, agissez dès maintenant. Téléchargez notre guide des meilleures pratiques, Naviguer dans le cycle de vie des risques liés aux fournisseurs : les clés du succès à chaque étape, pour un aperçu complet des capacités requises pour prendre en compte les risques liés aux tiers dans votre programme GRC.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.