Face à la menace persistante des cyberattaques menées par des tiers, aux défaillances continues de la chaîne d'approvisionnement liées à la pandémie et au renforcement de la surveillance réglementaire des relations avec les tiers, de nombreuses organisations accordent une importance croissante à la gestion des risques liés aux fournisseurs. Cependant, les données issues de l'étude annuelle de Prevalent sur les meilleures pratiques en matière de gestion des risques liés aux tiers montrent que, mis à part les équipes informatiques et de sécurité habituelles, peu d'équipes commerciales participent aux discussions sur la gestion des risques liés aux fournisseurs. Sans l'adhésion de l'organisation aux pratiques TPRM, les entreprises verront leurs coûts d'évaluation augmenter, leur complexité s'accroître inutilement et passer à côté de risques qui pourraient entraîner des perturbations dans leurs activités.
Il est clair que les organisations doivent élargir leurs initiatives TPRM afin d'inclure des équipes autres que celles chargées de l'informatique et de la sécurité. Cet article identifie les rôles au sein de l'entreprise que les équipes informatiques et de sécurité devraient jouer dans les décisions relatives au TPRM. Cette liste n'est en aucun cas exhaustive, mais elle comprend certains des principaux acteurs impliqués dans la réussite du programme TPRM.
Rôles liés à la gestion des risques liés aux tiers
Approvisionnement et sourcing
Peu d'équipes au sein d'une entreprise jouent un rôle aussi central dans la gestion des risques liés aux tiers que l'équipe chargée des achats. Après tout, cette équipe est généralement responsable de la recherche de fournisseurs et des évaluations associées, de la négociation des tarifs et des renouvellements de contrats (et de la vérification du respect des conditions contractuelles), des tâches d'intégration, de la résiliation des contrats, et bien plus encore.
Un facteur essentiel à la réussite de la gestion des risques liés aux fournisseurs pour l'équipe achats consiste à maintenir l'accès à des données cohérentes sur les fournisseurs, qu'il s'agisse des indicateurs de performance, des accords de niveau de service (SLA) contractuels ou des mesures financières et réputationnelles. En outre, les équipes achats auront besoin d'un référentiel centralisé pour les contrats et autres documents qui simplifie la gestion des relations avec les fournisseurs, et qui s'intègre à leurs outils achats existants.
Pour de nombreux professionnels des achats, l'essentiel est le temps : réduire le temps nécessaire tout au long du cycle d'achat (P2P) afin de ne pas ralentir l'activité, qu'il s'agisse d'évaluer de nouveaux fournisseurs ou de déterminer les risques liés au renouvellement. Impliquez l'équipe des achats dès le début du développement du projet afin de vous assurer que ses besoins sont satisfaits dès le départ.
Gestion des risques
Les équipes chargées de la gestion des risques interagissent avec plusieurs services d'une entreprise, car leur rôle consiste à rassembler les risques liés à l'ensemble des activités afin de déterminer les niveaux acceptables. Pour atteindre cet objectif, les équipes chargées de la gestion des risques doivent évaluer plusieurs types de risques au sein de l'organisation, y compris ceux provenant de tiers.
Une frustration courante pour les équipes de gestion des risques est la création de silos lorsque chaque service traite les risques différemment. Sans une fonction permettant de tout regrouper, les pratiques de gestion des risques peuvent être incohérentes et laisser des failles de sécurité.
En raison de leur fonction centrale en matière de risques, les équipes de gestion des risques utilisent des outils de gouvernance, de gestion des risques et de conformité (GRC) pour gérer les risques dans l'ensemble de l'entreprise. Ces équipes doivent donc être informées des risques autres que ceux liés à la cybersécurité qui pourraient avoir une incidence sur la capacité d'un tiers à fournir ses prestations. Par exemple, les équipes de gestion des risques voudront connaître les notes attribuées aux fournisseurs en matière d'environnement, de social et de gouvernance (ESG), de lutte contre la corruption (ABAC), d'esclavage moderne et de mesures financières, ainsi que les processus mis en place par les fournisseurs pour gérer la résilience de leur propre entreprise afin d'éviter les perturbations.
Comme pour les équipes chargées des achats, les équipes chargées de la gestion des risques doivent être impliquées dès le début d'un projet TPRM (à condition qu'elles ne soient pas à l'origine du projet) afin de pouvoir définir des paramètres de risque qui s'alignent sur les efforts globaux de gestion des risques de l'entreprise.
Protection des données
Les données sont vitales pour la plupart des entreprises, et les méthodes de protection de l'accès aux données constituent les contrôles informatiques à la mode. Sans contrôles adéquats en matière de protection des données, des tiers peuvent devenir des participants involontaires à des violations visant les informations personnelles identifiables (PII) de leurs clients. En fait, les violations de Kaseya, Colonial Pipeline et Microsoft Exchange ont été motivées par des ransomwares ou comportaient des éléments de ransomware destinés à bloquer l'accès aux systèmes et aux données.
Les régulateurs en sont conscients et ont élaboré des mesures et des références pour garantir la mise en place des contrôles les plus élémentaires en matière de protection des données (pensez au RGPD
ou au CCPA). Les équipes chargées de la confidentialité des données ont besoin d'une vision précise de la manière dont les tiers interagissent avec les données d'une entreprise afin d'atténuer le risque d'accès indésirable. La cartographie des flux d'informations entre les tiers,les quatrièmes parties et les Nèmes parties est un élément clé pour les équipes chargées de la confidentialité des données, tout comme la découverte et la propriété des données internes. Les rapports de conformité et les contrôles internes évaluant les mesures de protection des données sont primordiaux.
Veillez à impliquer les équipes chargées de la confidentialité des données lors de l'élaboration de votre stratégie d'évaluation des risques liés aux tiers afin de vous assurer que vous posez les questions qui permettent de clarifier les contrôles de protection des données mis en place par le fournisseur.
Audit et conformité
Les réglementations gouvernementales et les cadres industriels à travers le monde exigent des entreprises qu'elles démontrent la mise en place de contrôles relatifs à l'accès de tiers aux systèmes et aux données. Cependant, la plupart des équipes d'audit et de conformité tentent d'obtenir des rapports de contrôle significatifs à partir d'une multitude d'outils différents (par exemple, des tableurs) au sein de l'organisation.
Comme pour l'équipe chargée de la confidentialité des données, l'équipe d'audit et de conformité aura besoin de modèles simples de rapports et de cartographie des contrôles qui permettent de transmettre les bonnes données aux bonnes parties prenantes, afin qu'elles puissent démontrer leur conformité ou définir une voie de remédiation. Veillez à vous mettre en relation avec l'équipe d'audit et de conformité dès le début afin de comprendre quelles réglementations exigent quel type de rapports, et si celles-ci peuvent être satisfaites en s'alignant sur un cadre de contrôle industriel tel que le NIST
ou l'ISO.
Prochaines étapes
Prevalent unifie les équipes chargées des achats, de l'approvisionnement, de la gestion des risques, de la confidentialité des données, de l'audit et de la sécurité informatique grâce à une solution unique qui évalue plusieurs types de risques liés aux fournisseurs, fournit des rapports et des analyses centralisés, et offre un processus programmatique pour gérer les tiers et remédier aux risques tout au long du cycle de vie des fournisseurs.
Pour obtenir davantage de conseils sur la manière d'impliquer les principales parties prenantes dans l'élaboration de votre programme TPRM, téléchargez le livre blanc intitulé « 10 étapes pour élaborer un programme efficace de gestion des risques liés aux tiers » ou contactez-nous dès aujourd'hui pour organiser une session stratégique.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
