La mise en place d'un programme de gestion des risques liés aux tiers est un processus complexe qui implique la gestion de centaines, voire de milliers de fournisseurs répartis sur plusieurs continents et juridictions. Les entreprises doivent faire face à divers risques liés aux tiers, notamment les risques financiers, les expositions à la cybersécurité, les actions en justice, les défaillances de performance et les perturbations opérationnelles potentielles pour chaque fournisseur ou prestataire. Alors que les organisations externalisent de plus en plus une part importante de leur charge de travail, la mise en place d'un programme complet de gestion des risques liés aux tiers (TPRM) est devenue plus cruciale que jamais.
Bien qu'il n'existe pas d'approche unique en matière de gestion des risques liés aux tiers qui convienne à toutes les organisations, certains cadres couramment utilisés constituent un point de départ solide. Il s'agit notamment des cadres de contrôle informatique et de cybersécurité de la chaîne d'approvisionnement du National Institute of Standards and Technology (NIST) et de l'Organisation internationale de normalisation (ISO), ainsi que des cadres alignés sur d'autres types de risques tels que les risques environnementaux, sociaux et de gouvernance (ESG). Les politiques de gestion des risques liés aux tiers guident les organisations dans l'élaboration, l'application, la gestion et la mise en œuvre des meilleures pratiques dérivées de ces cadres.
Qu'est-ce qu'un cadre de gestion des risques liés aux tiers ?
Les cadres de gestion des risques liés aux tiers offrent aux organisations une feuille de route pour élaborer leurs programmes TPRM sur la base des meilleures pratiques standard du secteur. Ces cadres peuvent servir de base à un programme TPRM et fournir des exigences de contrôle de référence pour les fournisseurs et prestataires tiers en fonction des types de risques que votre organisation juge importants d'évaluer.
Les cadres TPRM se répartissent généralement en deux catégories : sécurité et non-sécurité :
- Cadres de gestion des risques liés aux tiers (TPRM) ou de gestion des risques liés à la chaîne d'approvisionnement (SCRM): ils sont conçus comme des cadres fondamentaux pour l'élaboration de votre programme. Citons par exemple le cadre TPRM de Shared Assessments et la norme NIST 800-161.
- Cadres auxiliaires de sécurité de l'information: ceux-ci peuvent compléter un programme TPRM ou aider à concevoir des questionnaires d'évaluation des risques liés aux fournisseurs, tels que NIST CSF v2.0, ISO 27001 et ISO 27036.
- Cadres non informatiques et ESG : il s'agit de cadres plus larges axés sur les contrôles non cybernétiques, les réglementations ESG et les politiques. Citons par exemple la directive sur le reporting extra-financier (CSRD) et le Carbon Disclosure Project (CDP).
Pourquoi les cadres de gestion des risques liés aux tiers sont-ils importants ?
Le risque lié aux tiers est un aspect de plus en plus crucial de la gestion des risques d'entreprise. Aujourd'hui, les entreprises dépendent d'un large éventail de fournisseurs et de distributeurs internationaux, ce qui les rend vulnérables à des perturbations pouvant aller de légères à graves. Ces perturbations peuvent résulter de faillites, d'événements géopolitiques ou de violations de données affectant des tiers.
Les cadres TPRM et de sécurité de l'information fournissent des contrôles et des conseils précieux aux organisations qui souhaitent atténuer les risques liés aux relations avec des tiers. Par exemple, le cadre TPRM de Shared Assessments couvre l'ensemble du cycle de vie de la gestion des risques liés aux fournisseurs et offre un guide complet pour la mise en place d'un programme TPRM robuste.
Des cadres tels que NIST 800-161, ISO 27036 et Shared Assessments fournissent une base solide pour développer un programme TPRM. Les cadres de sécurité de l'information tels que ISO 27001, NIST CSF et NIST 800-37 guident le processus d'évaluation des risques liés aux fournisseurs et aident à créer des questionnaires
qui évaluent avec précision la maturité d'une entreprise en matière de cybersécurité.
Considérations relatives au choix d'un cadre TPRM
Chaque cadre peut donner à votre organisation un certain contrôle pour atteindre de manière exhaustive les objectifs en matière de réglementation, de gestion des risques et de diligence raisonnable. De nombreuses organisations choisissent de travailler exclusivement avec le NIST ou l'ISO et s'inspirent de plusieurs cadres et documents d'orientation de ces organisations pour élaborer leur programme. Par exemple, une organisation peut baser son programme de gestion des risques liés à la chaîne d'approvisionnement sur la norme NIST 800-161 et s'inspirer des éléments de la norme NIST 800-53, du NIST CSF v2.0 et du NIST RMF pour développer pleinement son programme et son approche d'évaluation des fournisseurs. Tenez compte des besoins et des exigences de votre organisation avant de choisir un cadre.
Comprenez votre profil de risque
Lorsqu'elles mettent en œuvre un cadre de gestion des risques liés aux tiers, les entreprises doivent examiner la nature des risques encourus et faire face à l'évolution de l'environnement commercial, réglementaire et juridique. Comprendre les risques organisationnels est la première étape pour choisir le cadre approprié à votre entreprise. Ces catégories de risques comprennent (sans s'y limiter) :
- Risques liés à la cybersécurité et à la confidentialité des données
- Marché/Réputation
- Financier
- Juridique et réglementaire
- Stratégique
- Technologie
- Personnes/Culture
- Fraude
- Risque opérationnel
- Propriété intellectuelle
- Géopolitique
- Environnement, social et gouvernance
Prendre en compte l'impact opérationnel potentiel
Le TPRM ne consiste pas seulement à s'assurer qu'un partenariat n'expose pas votre organisation à un risque potentiel intolérable ; il s'agit également de récompenser les fournisseurs qui réduisent les risques de votre organisation grâce à leurs pratiques. C'est pourquoi il est essentiel de choisir le bon cadre TPRM et de comprendre son impact sur votre écosystème de fournisseurs externes. Lorsque vous choisissez les cadres qui vous aideront à élaborer votre programme TPRM, tenez compte des éléments suivants :
- Comment le cadre s'intègre-t-il à vos flux de travail existants ?
- Comment ce cadre s'aligne-t-il sur le cadre global de gestion des risques d'entreprise de votre organisation ?
- Le cadre dispose-t-il ou publie-t-il des critères de référence disponibles ?
- Le cadre est-il fréquemment mis à jour afin de tenir compte des risques en constante évolution, tels que les risques liés à la cybersécurité, les changements géopolitiques et les modifications de l'environnement juridique ?
- Existe-t-il des définitions standard des risques élevés, moyens et faibles ?
- Quels cadres TPRM vos clients utilisent-ils et vous demandent-ils de respecter ?
- Existe-t-il dans la littérature des processus de remédiation standard associés au cadre TPRM ?
- Y a-t-il des exigences réglementaires spécifiques à l'industrie qui doivent être prises en compte ? (par exemple pour les institutions financières ou les prestataires de soins de santé)
- Dans quelle mesure le cadre TPRM est-il largement adopté ? Autrement dit, peut-il être utilisé pour répondre aux préoccupations liées aux risques liés aux quatrièmes parties ?
Une fois que vous avez identifié les problèmes commerciaux spécifiques auxquels vous devez faire face, examinez les cadres individuels de gestion de la sécurité de l'information, de la chaîne d'approvisionnement et des risques non cybernétiques. Shared Assessments, NIST 800-161 et ISO 27036 peuvent fournir des exemples spécifiques de contrôles SCRM et TPRM importants, tandis que les cadres de sécurité de l'information tels que NIST CSF peuvent guider vos processus de gestion des risques liés aux tiers.
Aperçu des cadres de gestion des risques liés aux tiers
Cadres d'évaluation partagés
Évaluations partagées Cadre TPRM
Shared Assessments a publié un ensemble complet de bonnes pratiques en matière de TPRM. Ce cadre est conçu pour aider les organisations à établir, surveiller, optimiser et faire évoluer leur programme TPRM à l'aide d'un ensemble standardisé de contrôles. Le cadre est divisé en deux sections : les principes fondamentaux et les processus. Les principes fondamentaux comprennent quatre sections : introduction, notions de base, adhésion et gouvernance. Les processus comprennent huit familles allant de l'analyse de l'externalisation et de la diligence raisonnable à la surveillance continue.
Shared Assessments est l'un des rares cadres axés uniquement sur les risques liés aux tiers plutôt que sur des sujets plus généraux tels que la gestion des risques liés à la chaîne d'approvisionnement ou la sécurité des informations organisationnelles. Cependant, une cotisation est requise.
Questionnaire standardisé de collecte d'informations (SIG) pour les évaluations partagées
Shared Assessments publie un questionnaire standardisé de collecte d'informations qui permet aux organisations de mener des évaluations des risques liés aux tiers facilement pré-mappées à des normes telles que ISO, HIPAA, NIST, GDPR et PCI DSS. Il comprend un outil de gestion qui vous permet de sélectionner des questions prédéfinies, une liste de contrôle de mise en œuvre et des conseils sur les documents à demander aux fournisseurs tiers. SIG est utile pour les organisations qui lancent leurs programmes TPRM.
Cadres de gestion des risques liés aux tiers du NIST
Cadre de gestion des risques liés à la chaîne d'approvisionnement du NIST (NIST 800-161)
La norme NIST 800-161 est un complément à la norme NIST 800-53 Rev 5 qui vise spécifiquement à aider les entités fédérales américaines à gérer les risques liés à la chaîne d'approvisionnement. Bien qu'elle s'adresse aux entités fédérales, la norme NIST 800-161 peut également s'avérer extrêmement utile pour concevoir un programme TPRM ou SCRM pour les organisations du secteur privé. La norme NIST 800-161 divise le processus de gestion des risques liés à la chaîne d'approvisionnement en quatre phases : cadrage, évaluation, réponse et rétablissement. Elle comprend 19 familles de contrôles allant de la formation de sensibilisation à l'acquisition de systèmes et de services.
Bien que la gestion des risques liés à la chaîne d'approvisionnement et la gestion des risques liés aux tiers soient différentes, elles présentent de nombreux points communs. Les recommandations du NIST 800-161
peuvent constituer une excellente base pour élaborer un programme TPRM efficace. Le NIST 800-161 est particulièrement utile pour les grandes organisations multinationales qui ont des chaînes d'approvisionnement complexes et des besoins avancés en matière de SCRM.
Cadre de gestion des risques (RMF) 800-37 Révision 2 du NIST
Le NIST a également publié un cadre complet de gestion des risques qui permet aux entreprises de tous les secteurs d'intégrer de manière transparente la gestion des risques liés aux tiers et la gestion de la sécurité de l'information. La norme NIST 800-37 fournit une base solide pour la gestion des risques à l'échelle de l'entreprise, y compris ceux liés aux tiers et aux quatrièmes parties. La section 2.8 du NIST RMF mérite une attention particulière lorsqu'on examine les questions liées aux risques de la chaîne d'approvisionnement. La norme NIST 800-37 peut s'avérer particulièrement utile lorsqu'il s'agit d'élaborer des stratégies d'atténuation des risques pour l'intégration de nouveaux fournisseurs tiers.
Cadre de cybersécurité (CSF) 2.0 du NIST
Lors de la conception de questionnaires destinés aux fournisseurs, les meilleures pratiques décrites dans le cadre de cybersécurité du NIST peuvent s'avérer précieuses. Cette bibliothèque de meilleures pratiques fournit un ensemble de normes qui donne à tous les participants le même modèle de référence lorsqu'ils discutent de problèmes. Le NIST CSF est largement considéré comme la référence en matière de mise en place d'un programme de cybersécurité. Il peut vous aider à évaluer avec précision le profil de risque cybernétique d'un fournisseur potentiel dans le cadre du processus d'évaluation. L'élaboration d'un questionnaire sur les risques liés aux fournisseurs basé sur les contrôles du NIST CSF peut être particulièrement utile pour les organisations très soucieuses de la confidentialité des données ou de la conformité réglementaire.
Cadres ISO TPRM
ISO 27001 et 27002
Les normes ISO 27001 et 27002 définissent les exigences relatives à la mise en place, à la mise en œuvre, au maintien et à l'amélioration continue d'un système de gestion de la sécurité de l'information. Les exigences ISO vont bien au-delà des risques liés aux tiers et comprennent une section importante sur la gestion des risques liés aux fournisseurs dans le cadre d'un programme plus large de sécurité de l'information. Lors de la conception de votre programme TPRM, il est utile de prendre en compte les dispositions ISO relatives aux risques liés aux tiers et les contrôles de sécurité de l'information plus larges qui pourraient être appliqués à votre processus d'évaluation des risques liés aux fournisseurs.
ISO 27036-2
Si votre organisation fait appel à des fournisseurs et prestataires tiers internationaux, il peut également être judicieux de tirer parti des processus de l'Organisation internationale de normalisation spécifiques à la gestion des risques liés aux fournisseurs tiers (TPRM) et à la sécurité de l'information. La norme ISO 27036-2 spécifie les exigences fondamentales en matière de sécurité de l'information pour définir, mettre en œuvre, exploiter, surveiller, examiner, maintenir et améliorer les relations avec les fournisseurs et les acquéreurs.
Cette norme est particulièrement pertinente pour la gestion des risques liés aux tiers, car ses exigences couvrent l'approvisionnement et la fourniture de produits et de services. Les clauses 6 et 7 définissent les exigences fondamentales et de haut niveau en matière de sécurité de l'information applicables à la gestion de plusieurs relations avec les fournisseurs à tout moment du cycle de vie de ces relations. La norme inclut les risques physiques professionnels tels que les agents de sécurité, les agents d'entretien, les services de livraison, l'entretien des équipements, ainsi que des processus plus standardisés concernant les services cloud, les domiciles de données, les processus de conformité partagés et les exigences. La norme ISO 27036-2 est conçue pour gérer l'ensemble du cycle de vie des relations commerciales, notamment :
- Lancement – définition du périmètre, analyse de rentabilité/coûts-bénéfices, comparaison des options d'internalisation et d'externalisation, ainsi que des approches variantes ou hybrides telles que le co-sourcing.
- Définition des exigences, y compris les exigences en matière de sécurité de l'information
- Approvisionnement, y compris la sélection, l'évaluation et la passation de contrats avec les fournisseurs
- Transition vers les accords d'approvisionnement ou mise en œuvre de ceux-ci, avec des risques accrus pendant la période de mise en œuvre
- Opération comprenant des aspects tels que la gestion courante des relations, la conformité, la gestion des incidents et des changements, la surveillance
- Le rafraîchissement est une étape facultative visant à renouveler le contrat, éventuellement en révisant les conditions générales, les performances, les problèmes et les processus de travail.
- Résiliation et sortie
Cadres environnementaux, sociaux et de gouvernance
Les cadres ESG guident les organisations dans la divulgation de données sur leur impact environnemental, leurs pratiques sociales et leurs structures de gouvernance en fournissant un modèle standardisé pour mesurer et rendre compte de leur impact en matière de durabilité et d'éthique. Développés par des entités telles que des ONG, des gouvernements et des groupes d'entreprises, ces cadres définissent les indicateurs à suivre, le format de reporting et la fréquence de publication. Ils sont essentiels pour normaliser le reporting ESG tout au long de votre chaîne d'approvisionnement, permettant ainsi aux parties prenantes telles que les investisseurs, les régulateurs et les consommateurs d'évaluer et de comparer les performances des organisations. Si certains cadres offrent une flexibilité volontaire, d'autres sont imposés par les gouvernements et exigent une conformité stricte.
Projet de divulgation des informations relatives au carbone (CDP)
Le CDP est un cadre de référence axé sur la gouvernance et les politiques environnementales, la gestion des risques et des opportunités, ainsi que les objectifs environnementaux. Il propose des questionnaires détaillés sur le changement climatique, l'eau et les forêts, qui sont notés par des partenaires accrédités. Le CDP est particulièrement utile pour les organisations qui cherchent à améliorer la transparence et la responsabilité de leurs pratiques environnementales.
Initiative mondiale sur les rapports de développement durable (GRI)
La GRI est l'un des cadres ESG volontaires les plus largement utilisés. Elle fournit des normes complètes pour la publication d'informations sur les questions économiques, environnementales et sociales. La structure modulaire de la GRI permet aux organisations de choisir les normes les plus pertinentes pour leurs thèmes matériels, ce qui en fait un cadre flexible et largement applicable.
Directive sur le reporting extra-financier (CSRD)
Le CSRD (
) est un cadre réglementaire élaboré par l'Union européenne. Il impose aux organisations de rendre compte de divers sujets liés au développement durable, notamment les questions environnementales et sociales. Le CSRD met l'accent sur la double matérialité, exigeant des entreprises qu'elles prennent en compte les impacts financiers et sociétaux dans leurs rapports. Ce cadre est obligatoire pour les organisations opérant dans l'UE et devrait avoir un impact sur des milliers d'entreprises à travers le monde.
Conclusions sur les cadres TPRM
S'inspirer des recommandations du NIST, de l'ISO, de Shared Assessments et d'autres fournisseurs de cadres peut vous aider à réduire considérablement le travail manuel lié à la conception de votre programme TPRM. Les cadres NIST 800-161 et ISO 27036-2 peuvent fournir des informations précieuses sur les contrôles couramment adoptés dans les programmes TPRM et SCRM. D'autres cadres, tels que NIST CSF, ISO 27001 et NIST 800-37, peuvent être extrêmement utiles pour concevoir votre processus d'évaluation des risques liés aux fournisseurs, tandis que CDP, GRI et d'autres se concentrent sur les rapports ESG dans votre chaîne d'approvisionnement.
Prochaines étapes : automatisation avec Prevalent
La plateforme Prevalent Third-Party Risk Management simplifie le processus de mise en place d'un programme TPRM efficace et rationalisé. Elle vous permet de recueillir rapidement des informations sur les contrôles des fournisseurs, notamment en matière de sécurité informatique, de conformité, de performance, de respect des contrats, de continuité des activités, de situation financière, de réputation, d'éthique, de lutte contre la corruption, d'ESG, de diversité, etc. Vous pouvez ensuite corréler ces résultats avec les informations issues de la surveillance continue afin de valider l'efficacité des contrôles.
Prevalent aide à automatiser et à normaliser les évaluations des risques liés aux fournisseurs à l'aide de divers cadres et réglementations, tout en offrant une surveillance des risques liés aux fournisseurs et une gestion des mesures correctives tout au long du cycle de vie des risques liés aux tiers. Grâce à des flux de travail prédéfinis et à des questionnaires conformes aux normes du secteur, la plateforme permet de mettre en place et de gérer votre programme TPRM de manière beaucoup plus rapide et rentable. De plus, elle offre un accès à la demande à des rapports de risque complets et normalisés sur des milliers d'entreprises grâce à ses réseaux de renseignements sur les fournisseurs.
Contactez Prevalent pour obtenir une évaluation gratuite de la maturité de vos politiques TPRM actuelles, ou demandez dès aujourd'hui une démonstration de la plateforme TPRM de Prevalent.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
