Dans un monde des affaires de plus en plus connecté, il n'est plus acceptable d'ignorer les risques que représentent pour votre organisation les pratiques de sécurité insuffisantes de vos partenaires, fournisseurs ou prestataires. Les cybercriminels savent que le moyen le plus simple de pirater une organisation est de passer par ses tiers.
En effet, l'étude Prevalent 2023 Third-Party Risk Management Study a révélé que 41 % des entreprises ont subi une violation de données tierces importante au cours des 12 derniers mois. Par conséquent, les équipes chargées de la sécurité de l'information s'impliquent de plus en plus dans les programmes de gestion des risques tiers (TPRM).
Avantages de la maturation de votre programme de gestion des risques liés aux tiers
Il est essentiel de perfectionner continuellement votre programme TPRM afin de rester à la pointe des risques liés aux tiers en constante évolution. Un programme TPRM perfectionné présente plusieurs avantages :
- Les programmes matures protègent mieux une organisation en garantissant que les fournisseurs, prestataires et partenaires tiers sont correctement contrôlés et surveillés dès le début et tout au long de la relation commerciale.
- Les programmes TPRM plus matures sont également plus efficaces et performants. En mettant en place des processus reproductibles, votre organisation peut évaluer et surveiller les risques avec moins de processus manuels et ponctuels susceptibles d'entraîner des perturbations, des violations ou des amendes.
- Un programme TPRM mature améliore la prise de décision en offrant une meilleure visibilité sur les relations avec les tiers. Cela permet aux équipes de prendre des décisions plus éclairées quant au choix de leurs partenaires, aux questions à poser pour entretenir ces relations et au moment opportun pour y mettre fin.
Malgré ces avantages évidents, la mise en place et le développement d'un programme TPRM peuvent sembler intimidants. Pour relever ce défi, cet article :
- Passe en revue les défis auxquels les équipes sont confrontées pour mettre en place et développer des processus plus matures, ainsi que les types de risques qui doivent être gérés.
- Définit la maturité du programme TPRM dans le contexte du modèle de maturité des capacités, un cadre commun pour mesurer la maturité.
- Examine chaque étape du modèle de maturité TPRM et les mesures nécessaires pour passer à des niveaux plus avancés.
Les défis liés à la maturation de votre programme de gestion des risques liés aux tiers
Avant de définir à quoi ressemble un programme TPRM mature, examinez les défis courants auxquels sont confrontées les organisations et qui freinent leur maturité.
Maintenir les silos
Dans de nombreuses organisations, la gestion des risques liés aux tiers (TPRM) relève de la responsabilité de l'équipe chargée de la sécurité informatique, mais c'est le service des achats qui gère les relations. D'autres équipes au sein de l'entreprise, telles que le service juridique, ont généralement leur mot à dire dans les relations avec les tiers. Si les différentes équipes de votre organisation ne partagent pas leurs données ou n'utilisent pas de processus communs, il sera difficile de mettre en place et de développer votre programme.
Utilisation de processus manuels
Le suivi des exigences, des réponses des fournisseurs et des mesures d'atténuation dans des feuilles de calcul ou des documents partagés est source d'erreurs et d'incohérences dans les données. Cette approche n'est pas non plus vérifiable en cas de modification. Plus important encore, les processus manuels ne sont tout simplement pas évolutifs. S'il est possible de suivre un seul fournisseur à l'aide d'une feuille de calcul, il est impossible de gérer manuellement des centaines ou des milliers de fournisseurs.
Se concentrer uniquement sur l'intégration
Dans la plupart des cas, les évaluations des risques liés aux tiers sont réalisées avant l'intégration d'un nouveau fournisseur. Si les évaluations initiales sont évidemment importantes, les programmes TPRM matures incluent une surveillance continue de tous les facteurs de risque pour tous les fournisseurs. Après tout, le risque n'est pas statique. Il peut augmenter si un fournisseur change de direction, vend une branche d'activité, subit une violation de la cybersécurité ou échoue à un audit réglementaire. Le risque peut également diminuer avec l'introduction d'un nouveau produit ou un changement de fournisseur qui améliore la qualité ou réduit les coûts.
Aucune visibilité sur les quatrièmes et n-ièmes parties
Le risque ne se limite pas à vos partenaires et fournisseurs directs. Les fournisseurs de vos fournisseurs, appelés « 4e et Nth parties », peuvent également présenter un risque. La plupart des programmes TPRM, en particulier les programmes manuels, ne sont pas en mesure d'identifier et de surveiller correctement ces parties étendues.
Types de risques liés aux tiers pris en compte par les programmes TPRM matures
Un autre défi auquel votre organisation pourrait être confrontée dans le cadre de la mise en place d'un programme TPRM mature consiste à comprendre les risques opérationnels qui surviennent lorsqu'un fournisseur ou un prestataire n'est pas en mesure de respecter les accords de niveau de service (SLA) requis. Un programme plus mature vous permettra toutefois d'identifier un éventail plus large de menaces et de risques, notamment :
Risque cybernétique
La cybersécurité est essentielle dans les évaluations des risques liés aux tiers. Les ransomwares, les attaques par déni de service distribué (DDoS) et autres attaques peuvent paralyser votre organisation, empêchant ainsi votre entreprise de remplir ses obligations commerciales. Si la violation de SolarWinds en 2020, au cours de laquelle des pirates ont compromis la base de code Orion de SolarWinds pour installer des portes dérobées, a peut-être été la cyberviolation la plus importante de ces dernières années, elle n'a en aucun cas été la seule violation impliquant des tiers.
- Une attaque contre Latitude Financial Services, l'un des principaux fournisseurs australiens de prêts personnels, a exposé les informations personnelles de plus de 330 000 clients de deux des prestataires de services de Latitude. Les données exposées comprenaient des passeports et des numéros de passeport. Les pirates ont piraté un fournisseur pour obtenir les identifiants de connexion des employés de Latitude.
- Les informations confidentielles relatives au réseau (CPNI) de plus de 9 millions de clients mobiles d'AT&T ont été volées après que des pirates aient piraté un fournisseur marketing d'AT&T.
- Les données personnelles de millions de retraités de l'United Auto Workers ont été volées à l'administrateur de prestations NationBenefits, notamment les identifiants des régimes de santé, les informations Medicare et les numéros de sécurité sociale. Les pirates ont exploité une faille de cybersécurité dans le logiciel de transfert de fichiers utilisé par NationBenefits pour y accéder.
Risque de conformité
La plupart des organisations sont soumises à une multitude d'exigences réglementaires en constante évolution concernant la protection des données et des systèmes sensibles. Bon nombre de ces réglementations, notamment la loi HIPAA, la loi californienne sur la protection de la vie privée des consommateurs (CCPA), la loi virginienne sur la protection des données des consommateurs et le règlement général sur la protection des données (RGPD) de l'Union européenne, obligent les organisations à protéger les informations privées de leurs consommateurs, clients et employés. D'autres réglementations concernent la protection des informations financières non publiques. Toute violation peut entraîner des amendes et nuire à la réputation.
Risque financier
Les équipes chargées des achats doivent avoir une bonne visibilité sur la stabilité financière de leurs fournisseurs et prestataires tiers, notamment sur les dettes de ces derniers et les crédits qu'ils accordent à leurs clients. Une déclaration de faillite peut entraîner une perte d'activité et perturber la chaîne d'approvisionnement.
Responsabilité sociale des entreprises
Les préoccupations des investisseurs concernant les pratiques environnementales, sociales et de gouvernance (ESG) continuent de croître. Par exemple, à la suite de l'invasion de l'Ukraine par la Russie, de nombreuses entreprises ont jugé inacceptable de faire affaire avec des sociétés affiliées au gouvernement russe. Les organisations doivent également se protéger contre les accusations selon lesquelles leur chaîne d'approvisionnement serait impliquée dans des violations des droits humains, recourrait au travail des enfants ou causerait des dommages environnementaux.
Risque de réputation
Une couverture médiatique défavorable ou des informations négatives concernant un fournisseur peuvent nuire à la réputation de ses clients. Cela peut se produire lorsque le fournisseur est impliqué dans des pratiques d'embauche contraires à l'éthique, des problèmes de qualité de ses produits, des activités criminelles ou des catastrophes environnementales.
Définir la maturité TPRM à l'aide du modèle de maturité des capacités
En général, les programmes moins matures se caractérisent par des processus imprévisibles ou mal contrôlés, tandis que les programmes plus matures sont proactifs, prévisibles, mesurés et contrôlés. Un modèle de maturité peut fournir un plan directeur pour évaluer et faire progresser les pratiques commerciales de votre organisation à un moment donné et aider à définir une voie vers une plus grande maturité des processus. Dans cet article, nous nous appuyons sur le modèle de maturité des capacités développé par Watts Humphries et d'autres chercheurs du Software Engineering Institute de l'université Carnegie Mellon à la fin des années 1980 comme base pour examiner la maturité des programmes TPRM.
Le modèle de maturité des capacités reconnaît que les processus évoluent au fil du temps et que, à mesure que les organisations acquièrent de l'expérience et des connaissances, elles peuvent améliorer leurs processus pour devenir plus efficaces, performantes et prévisibles. Le modèle de maturité peut être appliqué à tout type de processus organisationnel, y compris le développement de logiciels, la gestion de projets, l'assurance qualité ou le support client.
Les 5 piliers de la maturité en matière de TPRM
Le modèle de maturité des capacités pour la gestion des risques liés aux tiers examine cinq piliers clés nécessaires pour soutenir le succès actuel et continu d'un programme TPRM. Au sein de chaque pilier, nous examinons des approches moins matures et plus matures.
1. Couverture des entités
La plupart des organisations commencent leurs programmes TPRM en évaluant leurs fournisseurs les plus importants. C'est une approche logique, mais le risque peut provenir de n'importe quelle entité. Les organisations plus matures disposent d'une méthode cohérente pour classer les fournisseurs par niveau ou par risque afin de s'assurer que tous sont inclus dans le programme, y compris les fournisseurs de quatrième et n-ième rang.
2. Contenu
Les questionnaires d'évaluation des risques commencent souvent par des initiatives ponctuelles. Les questions sont soumises aux fournisseurs, qui y répondent librement, puis les réponses sont évaluées. Les programmes plus aboutis révisent régulièrement les questions d'évaluation afin de comprendre ce que chacune d'entre elles cherche à déterminer en termes de risques pour l'organisation et de leur attribuer un poids approprié. Les programmes plus aboutis veillent également avec diligence à ce que les fournisseurs fournissent les preuves de conformité demandées.
3. Rôles et responsabilités
Les programmes moins matures peuvent suivre les lignes directrices, mais manquent de documentation sur les procédures et de rôles et responsabilités clairs. Les programmes matures formeront les participants à l'évaluation et publieront et suivront un manuel opérationnel afin de garantir la normalisation des processus. Les programmes plus matures disposeront de tableaux RACI documentés établissant les personnes responsables, redevables, consultées et informées dans toute l'organisation.
4. Remédiation
Les indicateurs de remédiation sont axés sur l'efficacité, la normalisation et la qualité de l'approche de gestion des risques après l'identification des risques. Les programmes moins matures identifient les risques et demandent aux fournisseurs de prendre des mesures correctives. Les programmes plus matures mettent en œuvre des mécanismes de notation pour pondérer les risques et les mesures correctives et prescrivent des lignes directrices normalisées en matière de remédiation aux fournisseurs.
5. Gouvernance
La gouvernance comprend la manière dont le programme est évalué et dont son succès est démontré. Les programmes moins matures ne disposent pas de rapports d'évaluation suffisants ni d'audits de programmes par des tiers. Les programmes plus matures agrègent les données d'évaluation de tiers afin de fournir aux équipes les informations nécessaires pour mesurer les risques et orienter la prise de décision, et évaluent les fournisseurs et prestataires tiers sur la base d'indicateurs de performance clés (KPI) et d'indicateurs de risque clés (KRI).
Questions clés à poser
Aperçu des piliers du programme contribuant à la maturité du TPRM.
Niveaux de maturité en matière de gestion des risques liés aux tiers
Dans le modèle de maturité des capacités, la maturité des programmes dans chacun des cinq piliers est classée sur cinq niveaux, allant de « immature » (1) à « visionnaire » (5). La notation est standardisée afin de garantir que tous les programmes TPRM sont évalués et notés de manière cohérente. Vous pouvez ainsi comparer le score de maturité d'un fournisseur à celui de ses pairs ayant une échelle, une complexité et un secteur verticaux similaires. .
Le modèle de maturité des capacités TPRM.
Niveau 1 : Immature
Les organisations situées au premier niveau du modèle de maturité ne donnent pas la priorité à la gestion des risques liés aux fournisseurs technologiques. La gestion des risques est cloisonnée. Les activités sont ponctuelles et réactives, et ne sont mises en œuvre que lorsqu'un problème survient ou lorsque des signaux d'alerte concernant un fournisseur sont évidents. Les processus n'étant pas documentés et mal définis, il est peu probable qu'une évaluation réussie pour un seul fournisseur puisse être reproduite.
Le TPRM de niveau 1 est un processus manuel destiné à un nombre limité de fournisseurs. Les questionnaires destinés aux fournisseurs sont incohérents et distribués sous forme de feuilles de calcul distinctes. Les réponses peuvent être rédigées sous forme narrative et difficiles à évaluer en termes de risque. Il n'existe aucune norme en matière de contrôles d'atténuation des risques. Les équipes ne surveillent pas la conformité continue des fournisseurs ni les nouveaux risques.
Conditions requises pour passer au niveau 2 : au niveau 1, les organisations ne se sont pas engagées à comprendre ou à mesurer les risques liés aux tiers. Les équipes naissantes n'ont pas défini ni documenté de processus permettant leur reproduction. Pour passer au niveau 2, il faut faire preuve d'une discipline supplémentaire afin de définir des politiques et des processus permettant d'assurer la cohérence entre les évaluations.
Niveau 2 : Développement
Au niveau 2, certaines équipes (mais pas toutes) ont défini et documenté des processus qui permettent d'obtenir des résultats reproductibles. Par exemple, les équipes de sécurité peuvent avoir standardisé les questionnaires et les exigences en matière de tests de pénétration, ou le service financier peut avoir standardisé les paramètres de divulgation financière. D'autres équipes, cependant, continuent de fonctionner de manière ponctuelle. Cette approche cloisonnée conduit à des évaluations incohérentes et empêche les programmes de se développer.
Sans approche standardisée, les fournisseurs ne peuvent pas être classés en fonction de leur niveau de risque. Cela entraîne un risque plus élevé si les fournisseurs critiques sont évalués de manière superficielle et des inefficacités si les fournisseurs à faible risque sont soumis à un examen trop minutieux. Les organisations de niveau 2 continuent d'utiliser des tableurs et des documents partagés, ce qui rend impossible la mise en place d'un TPRM fiable, vérifiable et complet.
Conditions requises pour passer au niveau 3 : les organisations de niveau 2 manquent d'informations, de documentation et de cohérence. Elles ont besoin du soutien de la direction pour définir les exigences en matière de TPRM dans toutes les fonctions et mettre en place un moyen de signaler les risques et les mesures d'atténuation. La mise en place d'un programme évolutif nécessite une automatisation.
Niveau 3 : Évolutif
Au niveau 3, le TPRM dispose des ressources nécessaires et les processus sont cohérents au sein des différentes fonctions d'une organisation. La plupart des silos ont été démantelés et les équipes ont normalisé, documenté et intégré les activités d'identification et d'évaluation des risques. La surveillance des risques s'est étendue au-delà des risques commerciaux et informatiques pour inclure la gouvernance d'entreprise, la conformité et les risques de réputation. Hiérarchisation des risques
est normalisée, et les organisations commencent à mettre en place une gestion du cycle de vie des contrats et des procédures formelles de départ.
Les processus de niveau 3 sont semi-automatisés. Par exemple, l'intégration peut s'appuyer sur des questionnaires automatisés, tandis que le suivi des mesures correctives et de la conformité continue aux exigences reste manuel. Cela permet aux équipes d'adapter modérément le TPRM, mais peut encore laisser des lacunes en matière de visibilité.
Conditions requises pour passer au niveau 4 : des processus, des rapports et une automatisation standardisés sont requis dans tous les services. Au niveau 3, les rapports sont généralement établis par chaque service individuellement. Pour passer au niveau supérieur, les organisations doivent s'attacher à éliminer les cloisonnements et à mettre en place un système de rapports centralisé.
Niveau 4 : Optimisé
Les organisations de niveau 4 considèrent la gestion des risques liés aux fournisseurs (TPRM) comme une exigence stratégique et ont standardisé leurs politiques et procédures dans tous leurs départements. Les équipes TPRM effectuent une évaluation automatisée et standardisée des risques liés aux fournisseurs, avec un suivi des risques, un workflow d'évaluation et une gestion des mesures correctives tout au long du cycle de vie des fournisseurs. Les contrôles d'atténuation des risques sont formalisés et la surveillance des fournisseurs est pleinement mise en œuvre. L'automatisation permet également au programme d'être entièrement auditable.
Les organisations de niveau 4 peuvent étendre le TPRM à tous les fournisseurs tout au long du cycle de vie des fournisseurs. Les rapports sur les KPI et les KRI sont automatisés et les initiatives d'amélioration continue sont basées sur les données. Les communications avec les tiers se concentrent sur les avantages mutuels d'un programme TPRM.
Conditions requises pour passer au niveau 5 : institutionnaliser un programme visant à examiner chaque partie du programme TPRM afin d'apporter des améliorations progressives au fil du temps. Réexaminer au moins une fois par an les risques informatiques et non informatiques ainsi que les stratégies d'atténuation.
Niveau 5 : Visionnaire
Le niveau 5 est un niveau de maturité ambitieux que peu d'organisations parviennent à atteindre. Il correspond à un programme TPRM entièrement automatisé qui anticipe les risques, met en place des contrôles efficaces et surveille les fournisseurs en matière de risques cybernétiques, opérationnels, financiers, environnementaux, de conformité, de réputation, ESG et de performance. Une organisation visionnaire travaille de manière proactive avec ses fournisseurs afin d'améliorer leurs activités tout en réduisant les risques.
Au niveau 5, le risque résiduel demeure, mais il peut être traité rapidement, si nécessaire, grâce à des procédures formelles et éprouvées, puis accepté par l'entreprise.
Critères de maturité du TPRM par pilier et par niveau.
La prochaine étape dans votre parcours vers la maturité de votre programme TPRM : passez l'évaluation gratuite
Un programme TPRM mature peut aider à identifier et à atténuer les risques potentiels associés aux relations avec des tiers, réduisant ainsi le risque d'impacts négatifs sur l'organisation. Anticiper les risques liés aux tiers aide les organisations à éviter des perturbations coûteuses ainsi que des dommages financiers et réputationnels. En automatisant l'identification et le contrôle des risques et en intégrant les besoins de toutes les parties prenantes, un programme TPRM mature fournit aux organisations des informations plus précises et plus complètes sur les relations avec les tiers, ce qui leur permet de prendre de meilleures décisions.
Calculez la maturité de votre programme TPRM
Que vous veniez de lancer votre programme de gestion des risques liés aux tiers ou que vous cherchiez à perfectionner un programme existant, Prevalent peut vous aider. Prevalent automatise la gestion des risques liés aux tiers à l'aide d'une plateforme unique qui permet de collecter des informations sur ces risques, de les quantifier, de recommander des mesures correctives et de fournir des modèles de rapports. La plateforme Prevalent comprend une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, une surveillance continue des risques, ainsi que des workflows et des mesures correctives intégrés.
Pour déterminer où vous en êtes dans la maturité de votre programme TPRM à l'aide du modèle de maturité des capacités, demandez dès aujourd'hui une évaluation gratuite de la maturité de votre programme.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
