Ayant occupé le poste de RSSI dans de grandes multinationales pendant plus de 20 ans, j'ai créé, dirigé et fait évoluer des programmes de gestion des risques tiers pour certaines organisations très complexes. Cette expérience m'a beaucoup appris, notamment ce qui fonctionnait et ce qui ne fonctionnait pas. Aujourd'hui, en tant que PDG de Cambridge Cyber Advisers, je siège de l'autre côté de la table du conseil d'administration et travaille aux côtés du président du conseil pour aider le RSSI à réduire au maximum les risques dans tous les domaines liés à la sécurité.
Dans le cadre de mes fonctions de conseiller auprès du conseil d'administration, j'observe souvent que l'équipe de sécurité communique des indicateurs et des données complexes à la direction. Trop souvent, une grande partie du message et des résultats escomptés se perdent dans la traduction, car l'équipe de sécurité doit adapter les données à un public non spécialisé dans la sécurité. Pour ce faire, l'équipe de sécurité crée son propre ensemble d'indicateurs significatifs.
Dans cet article, je vais définir les indicateurs significatifs, discuter des défis que je vois dans la détermination des bons indicateurs à communiquer au conseil d'administration et décrire une approche mature du reporting des indicateurs de risque tiers.
Que sont les indicateurs significatifs et comment s'appliquent-ils à la gestion des risques liés aux tiers ?
Les rapports de sécurité doivent être clairs et concis, et cela est particulièrement important dans le domaine de l'assurance tierce. L'assurance tierce est l'un des domaines de risque les plus difficiles à quantifier et à gérer du point de vue d'un RSSI, en raison de trois facteurs :
- la grande taille des écosystèmes tiers
- le niveau constant de changement parmi les fournisseurs
- les défis liés à la gestion simultanée de milliers de fournisseurs
Il est donc nécessaire de disposer de mesures significatives afin de présenter clairement un ensemble consolidé d'indicateurs clés de performance (KPI) et d'indicateurs clés de risque (KRI) aux dirigeants ou aux membres du conseil d'administration. Ces mesures réduisent la nécessité d'analyser des tableaux de bord de sécurité volumineux et complexes en distillant les implications réelles en matière de sécurité qui se cachent derrière les chiffres.
Un exemple de mesure significative est le temps moyen de détection (MTTD). Cette mesure montre au conseil d'administration votre efficacité dans la détection des problèmes au sein de la chaîne d'approvisionnement, les performances des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI) avancés et retardés, et inclut des informations techniques, culturelles et relatives aux processus. Les détails supplémentaires sont toujours disponibles si nécessaire, mais il est important de présenter en premier lieu une mesure consolidée et significative.
Pourquoi la gestion des risques liés aux tiers est-elle si difficile ?
Les défis liés à la gestion des risques liés aux tiers peuvent être simplifiés en trois catégories : approche, ressources et outils. Par exemple, si l'équipe de sécurité ne dispose pas de la stratégie adéquate pour garantir la sécurité des tiers, alors définir comment la fonction gérera les risques au sein de la base de fournisseurs relève purement de la tactique. L'équipe doit plutôt trouver un équilibre entre les ressources nécessaires pour gérer les risques à un niveau acceptable et la maturité du processus. Après tout, une approche immature nécessitera davantage de ressources (par exemple, budget, personnel, temps, etc.) pour fonctionner. C'est pourquoi les outils sont essentiels pour adopter l'innovation et abandonner l'utilisation de tableurs pour gérer les risques liés à vos fournisseurs.
3 étapes pour une approche mature de la gestion des risques liés aux tiers
Une approche mature pour fournir une assurance tierce et des indicateurs significatifs se présente comme suit :
- Passez du temps avec les parties prenantes de l'entreprise afin de vous assurer que vous comprenez clairement les exigences et les résultats attendus.
- Développer un programme interne qui non seulement englobe les exigences commerciales tactiques, mais adopte également une approche stratégique pour gérer les risques liés aux fournisseurs.
- Assurez-vous que vos processus sont optimaux et efficaces en utilisant des outils spécialement conçus pour l'assurance tierce partie. Les bons outils vous permettront d'avoir une vue en temps quasi réel des risques liés à vos fournisseurs, plutôt que de vous fier uniquement à des évaluations annuelles.
Il s'agit là d'améliorations pratiques que toute équipe de sécurité peut adopter pour améliorer la maturité de son processus d'assurance tiers et définir des indicateurs de risque significatifs pour l'entreprise.
Pour en savoir plus, consultez la version à la demande de mon webinaire intitulé « Distilling Useful Metrics From the Pile of Third-Party Risk Data » (Extraire des indicateurs utiles à partir d'une multitude de données sur les risques liés aux tiers). Vous pouvez également contacter Prevalent dès aujourd'hui pour en savoir plus sur leurs solutions de gestion des risques liés aux tiers.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
