Développer une politique de gestion des risques liés aux tiers : Guide de bonnes pratiques

Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.

Personnel de Mitratech
Personnel de Mitratech Novembre 8, 2024 10 min de lecture
Decorative image

Les relations avec des tiers sont essentielles, mais elles peuvent également entraîner des risques importants qui ont un impact sur les opérations, la sécurité des données et la conformité réglementaire de votre organisation. Une politique solide de gestion des risques liés aux tiers (TPRM) jette les bases nécessaires pour identifier, surveiller et atténuer ces risques. Ce blog explique l'importance d'une politique TPRM bien définie, en décomposant ses éléments clés et en fournissant des recommandations sur les meilleures pratiques pour l'élaboration et la mise en œuvre de cette politique.

Qu'est-ce qu'une politique de gestion des risques liés aux tiers ?

Une politique de gestion des risques liés aux tiers (TPRM) est un ensemble de directives documentées sur la manière dont les organisations gèrent les risques liés aux fournisseurs, prestataires et partenaires. Elle les aide à mettre en place des procédures pour évaluer, surveiller, atténuer et signaler ces risques. Ces politiques constituent la base d'un programme TPRM solide et efficace.

Pourquoi les politiques TPRM sont importantes

De nombreuses organisations ont été confrontées à des perturbations majeures et à des conséquences juridiques en raison de violations commises par des tiers, des quatrièmes parties ou même des N-ièmes parties. Des pratiques TPRM insuffisantes peuvent constituer une menace existentielle pour les données et la chaîne d'approvisionnement de votre entreprise. Les politiques de gestion des risques liés aux tiers définissent des procédures claires, standardisées et applicables afin de soutenir des pratiques de gestion des risques plus solides. Un processus bien défini pour gérer et atténuer les risques liés aux fournisseurs est une mesure essentielle pour protéger vos opérations contre les menaces actuelles.

Données tierces et menaces pesant sur la chaîne d'approvisionnement

À mesure que les risques liés aux tiers deviennent plus complexes et plus répandus, les organisations ont besoin de politiques pour minimiser les risques liés aux fournisseurs et de procédures pour gérer les incidents lorsqu'ils surviennent. Avec de vastes réseaux de fournisseurs et des relations avec des tiers s'étendant à plusieurs départements, les politiques de gestion des risques doivent être pratiques, alignées sur les objectifs organisationnels et applicables à divers types de risques et à différentes étapes du cycle de vie des tiers.

Éléments clés des politiques de gestion des risques liés aux fournisseurs tiers

Un ensemble de politiques claires renforce vos pratiques de gestion des risques liés aux tiers et hiérarchise les risques tout au long du processus de diligence raisonnable et du cycle de vie des fournisseurs. Une politique TPRM complète doit aborder les points suivants :

  • Objectif – Indiquez l'objectif visé par la mise en place ou la restructuration d'un programme de gestion des risques liés aux tiers.
  • Rôles et responsabilités — Définissez vos principales parties prenantes, les décideurs et les personnes chargées de mettre en œuvre et de gérer les activités liées aux risques fournisseurs.
  • Exigences de conformité – Assurez-vous que vos politiques tiennent compte des principales réglementations en matière de conformité aux risques liés aux tiers et du cadre réglementaire de votre réseau de fournisseurs.
  • Tolérance au risque ou appétit pour le risque – Définissez le niveau de risque acceptable et inacceptable pour votre organisation. Envisagez d'inclure une déclaration d'appétit pour le risque tiers comme élément fondamental des politiques TPRM. Lisez notre guide sur cette mesure ici.
  • Processus et procédures de gestion des risques – Décrivez les éléments clés de votre programme de gestion des risques liés aux tiers, tels que :
    • Identification des risques
    • Diligence raisonnable et évaluation
    • Évaluation des risques
    • Gestion des contrats
    • Contrôle continu
    • Gestion des incidents
    • Procédures de résiliation

Répondre aux exigences de conformité dans les politiques de gestion des risques liés aux tiers

Avant de commencer à rédiger vos politiques de gestion des risques liés aux tiers, passez en revue vos mesures de conformité internes et les exigences réglementaires. Lors de la rédaction de vos politiques, tenez compte des réglementations régionales pertinentes telles que la CCPA et le RGPD, des cadres internationalement reconnus tels que les normes NIST et ISO, et des réglementations spécifiques à votre secteur telles que la HIPAA et la PCI DSS.

Les exigences réglementaires à prendre en compte dans vos politiques de gestion des risques liés aux tiers peuvent inclure :

Loi californienne sur la protection de la vie privée des consommateurs (CCPA): réglemente la collecte et la vente des données des consommateurs afin de protéger les informations personnelles sensibles des résidents californiens et de leur donner le contrôle sur leur utilisation.

Cloud Security Alliance CAIQ: questionnaire standardisé destiné à documenter les contrôles de sécurité et à faciliter les évaluations de sécurité des fournisseurs IaaS, PaaS, SaaS et autres fournisseurs de services cloud.

Certification du modèle de maturité en matière de cybersécurité (CMMC): cadre mis en place par le département américain de la Défense afin de protéger la base industrielle de défense contre les cyberattaques et de garantir la résilience de la chaîne d'approvisionnement de la défense nationale.

Lignes directrices de l'Autorité bancaire européenne (ABE) sur les accords d'externalisation: définit des exigences spécifiques en matière de gouvernance et de surveillance pour l'externalisation dans le secteur bancaire européen.

FCA FG 16/5: directives britanniques visant à aider les entreprises financières à superviser toutes les étapes des accords d'externalisation.

Manuel d'examen informatique de la FFIEC: définit des principes et des normes uniformes pour l'examen fédéral des institutions financières, y compris les questions informatiques.

Règlement général sur la protection des données (RGPD): réglemente l'utilisation, la circulation et la protection des données à caractère personnel des citoyens de l'UE, applicable aux organisations du monde entier qui traitent des données de l'UE.

HIPAA: garantit la protection des informations médicales sensibles (PHI) et leur non-divulgation sans le consentement du patient.

Normes ISO: Il s'agit notamment des normes ISO 27001, 27002 et 27036-2, qui définissent les normes internationales en matière de gestion et d'amélioration de la sécurité de l'information.

Directives interagences sur les relations avec des tiers: directives américaines émises par les agences bancaires fédérales afin d'harmoniser la gestion des risques liés aux relations avec les fournisseurs et les prestataires dans le secteur bancaire.

NERC CIP: Normes de cybersécurité destinées aux services publics d'électricité afin de maintenir la fiabilité du réseau électrique (BES).

NIST: fournit des publications telles que NIST 800-53, NIST 800-161 et le Cybersecurity Framework (CSF) afin d'aider les organisations à gérer les risques liés à la chaîne d'approvisionnement.

Loi NY SHIELD: Oblige les organisations traitant les données personnelles des résidents de New York à améliorer leurs procédures en matière de cybersécurité et de notification des violations.

NY CRR 500: définit les exigences en matière de cybersécurité pour les services financiers à New York, en mettant l'accent sur la protection des données des clients et l'intégrité des systèmes informatiques.

PCI DSS: norme mondiale pour la sécurisation des données des titulaires de cartes, applicable à toutes les entités qui stockent, traitent ou transmettent ces données.

SOC 2: cadre standard de l'industrie permettant de démontrer la confidentialité, l'intégrité et la disponibilité des systèmes et des données. Les audits SOC 2 sont utilisés pour les rapports de contrôle interne et les rapports sur les mesures de protection des infrastructures, des logiciels, des personnes, des procédures et des données.

Comprendre votre environnement réglementaire

Lors de la conception des politiques et procédures, tenez compte des exigences générales de conformité qui ont une incidence sur les activités commerciales. Par exemple, si votre entreprise traite des informations médicales protégées (PHI), vos politiques de gestion des risques liés aux tiers doivent préciser comment et quand ces informations peuvent être partagées avec d'autres organisations. En vertu de la loi HIPAA, les tiers, ainsi que toute autre partie impliquée, doivent appliquer les mêmes mesures de protection que votre organisation lors du traitement des PHI. Le non-respect de ces mesures peut entraîner des amendes substantielles pour votre organisation et vos partenaires commerciaux.

De nombreuses exigences en matière de sécurité de l'information limitent strictement les types de données que vous pouvez partager avec des tiers. Veillez également à tenir compte des exigences spécifiques à chaque unité commerciale. Par exemple, le RGPD impose des règles strictes en matière de stockage, de protection et de transfert des données des ressortissants européens. Dans de nombreux cas, un seul service peut être habilité à traiter les données européennes. Plutôt que de vous fier aux hypothèses du secteur, évaluez les types et les volumes de données collectées au sein de votre organisation afin de déterminer avec précision les besoins en matière de conformité.

Définissez clairement dans vos politiques les informations que vous partagez avec des tiers, quand vous les partagez et les protocoles mis en place pour les protéger. Exiger des organisations tierces qui traitent des données sensibles qu'elles se conforment à des normes telles que SOC 2 ou HIPAA peut renforcer la sécurité. Sans ces mesures de protection, vous risquez de ne pas respecter les exigences réglementaires et de nuire à votre réputation en cas de violation des données par un tiers. Effectuez toujours une vérification préalable approfondie avant de partager des informations sensibles avec un tiers.

Défaillances en matière de diligence raisonnable de la part de tiers

Fondez vos politiques de gestion des risques liés aux tiers sur des normes largement acceptées.

Heureusement, vous n'avez pas besoin de développer vous-même tous les contrôles. Lorsque vous planifiez votre programme de gestion des risques liés aux tiers, vous pouvez vous inspirer de cadres de gestion des risques liés aux tiers largement acceptés, tels que NIST SP 800-161 ou Shared Assessments TPRM Framework.

Les cadres préétablis offrent d'excellentes recommandations sur les contrôles à inclure dans vos politiques de gestion des risques liés aux tiers. Les risques liés aux tiers peuvent prendre différentes formes. En adhérant à un cadre éprouvé, vous pouvez vous assurer que votre gestion des risques liés aux fournisseurs est exhaustive.

En outre, vous pouvez utiliser d'autres cadres, tels que NIST CSF 2.0 et ISO 27036, pour vous aider à concevoir vos questionnaires d'évaluation des risques liés aux fournisseurs. Les questionnaires sont essentiels au cycle de vie de la gestion des risques liés aux fournisseurs et devraient être obligatoires pour tous les nouveaux prestataires de services. Les politiques de gestion des risques liés aux tiers doivent préciser comment et quand les unités commerciales doivent administrer les questionnaires de sécurité et définir les niveaux acceptables de risque résiduel.

Nous vous recommandons de consulter les évaluations partagées et la norme NIST 800-161 pour vous aider à planifier l'apparence de votre programme et les types de contrôles qu'il convient d'inclure. Vous pouvez ensuite choisir des contrôles spécifiques parmi les cadres standard de sécurité de l'information. Souvent, les organisations basées aux États-Unis s'appuient sur la norme NIST, tandis que les entreprises en Europe, en Asie et en Afrique ont tendance à choisir la norme ISO.

Exiger des documents standardisés provenant de tiers

Assurez-vous que votre organisation utilise un ensemble de documents standardisés lorsqu'elle traite avec des tiers. Les accords de confidentialité, les questionnaires sur les risques liés aux tiers et les accords de niveau de service (SLA) doivent être uniformes tout au long du cycle de vie des achats. La normalisation est particulièrement importante lors de la création du questionnaire d'évaluation des risques liés aux fournisseurs de votre organisation. Sans un processus d'évaluation des fournisseurs normalisé, vous ne pouvez pas comparer différents fournisseurs en fonction du niveau de risque qu'ils représentent pour votre organisation.

Documentation relative au TPRM

Les politiques relatives aux risques liés aux tiers doivent exiger l'évaluation des fournisseurs tiers en fonction de leur niveau de risque et imposer des mesures correctives aux fournisseurs à haut risque avant qu'ils ne rejoignent la chaîne d'approvisionnement. Surveillez en permanence les fournisseurs afin de détecter les risques liés à la cybersécurité, aux opérations et à la conformité tout au long de la relation commerciale. Ce n'est pas parce qu'une organisation présentait un faible risque au moment de son intégration qu'elle le restera nécessairement.

Prenez en compte les quatrièmes parties dans vos politiques de gestion des risques

Les grandes entreprises disposant de vastes réseaux de sous-traitants tiers sont particulièrement vulnérables aux risques de sécurité. Lorsqu'un tiers sous-traite à un quatrième, des pratiques de sécurité insuffisantes à n'importe quel niveau peuvent exposer les données de votre organisation à des acteurs malveillants. Les groupes criminels exploitent souvent les vulnérabilités de ces réseaux étendus, passant par les sous-traitants pour accéder à des informations sensibles.

Pour atténuer ces risques, les contrats avec les fournisseurs doivent inclure des dispositions relatives aux quatrièmes parties. Si un fournisseur tiers est autorisé à sous-traiter, le SLA doit exiger de la quatrième partie qu'elle respecte les mêmes directives en matière de cybersécurité que l'organisation principale. Les régulateurs peuvent toujours tenir une entreprise responsable et lui infliger des amendes si une quatrième partie est à l'origine d'une fuite de données, même si l'entreprise n'en avait pas connaissance.

Liste de contrôle relative à la politique en matière de risques liés aux fournisseurs

Voici quelques contrôles recommandés à inclure dans votre politique de gestion des risques liés aux tiers :

Général

  • Exiger des fournisseurs qu'ils remplissent un questionnaire standardisé d'évaluation des risques avant leur intégration.

  • Utilisez le profilage et la hiérarchisation pour établir une méthodologie cohérente d'évaluation des fournisseurs.

  • Évaluez et suivez les risques inhérents et résiduels afin d'identifier les fournisseurs présentant le plus grand risque.

  • Surveillez les fournisseurs en permanence après leur intégration.

  • Réévaluer périodiquement les fournisseurs afin d'évaluer les changements dans le niveau de risque.

  • Automatisez les communications grâce aux workflows et à la gestion des tickets.

  • Utilisez des pondérations de risque flexibles pour préciser l'importance des risques individuels.

Conformité

  • Évaluer les fournisseurs tiers pour les questions de conformité avant leur intégration.

  • Documenter et conserver les enregistrements de toutes les données partagées avec des tiers.

  • Exiger des tiers détenant des données organisationnelles qu'ils corrigent les pratiques non conformes avant d'accéder à des informations sensibles.

  • Surveillez l'évolution des activités à partir de sources multiples afin d'identifier les risques réglementaires, réputationnels ou juridiques.

  • Recommandation : exiger des fournisseurs qu'ils obtiennent des certifications en matière de sécurité de l'information avant leur intégration.

Sécurité de l'information

  • Surveillez en permanence les fournisseurs afin de détecter les risques liés à la cybersécurité tout au long de la durée du contrat.

  • Exiger contractuellement des fournisseurs qu'ils informent l'organisation de toute violation de sécurité ou suspicion de violation.

  • Examinez attentivement les politiques de sécurité des fournisseurs et vérifiez-les par rapport aux réponses au questionnaire.

  • Veiller à ce que les fournisseurs suppriment toutes les données organisationnelles à la fin du contrat.

  • Inclure des clauses claires relatives à la protection des données dans tous les contrats conclus avec des tiers.

  • Déclenchez des actions telles que des notifications, des tâches, des ajustements de la note de risque et des mesures d'atténuation accélérées.

  • Transformez les données relatives aux cyberévénements et aux événements commerciaux des fournisseurs en risques exploitables pour une visibilité en temps réel.

  • Tenir à jour un registre des risques unifié afin de mettre en corrélation les risques cybernétiques et commerciaux avec les résultats des évaluations, en validant les données de contrôle des fournisseurs.

  • Utilisez la cyber-surveillance du deep web/dark web pour obtenir des informations en temps réel sur les risques.

Opérations

  • Exiger des fournisseurs qu'ils fournissent des informations actualisées sur leur personnel clé, leurs finances et d'autres facteurs ayant une incidence sur la chaîne d'approvisionnement.

  • Demandez à chaque service de soumettre les données relatives aux fournisseurs à un référentiel central.

  • Les fournisseurs à haut risque sont tenus de réduire les risques à des niveaux acceptables afin de maintenir leur engagement.

  • Obliger contractuellement les fournisseurs tiers à suivre les procédures de départ, notamment le retour du matériel et des badges et la suppression des informations sensibles.

  • Tenez compte des quatrièmes parties et au-delà lors de la rédaction des SLA et autres contrats importants.

Politiques et pratiques en matière de gestion des risques liés aux tiers Prochaines étapes

En adoptant des stratégies et des procédures de contrôle des risques liés aux tiers, votre organisation peut gérer les complexités liées aux risques fournisseurs, mettre en place des pratiques de sécurité plus strictes et maintenir la conformité à toutes les étapes du cycle de vie des fournisseurs. Tirez parti d'une solution TPRM dédiée pour rationaliser et automatiser ces processus critiques.

Découvrez comment simplifier la gestion des risques liés aux tiers grâce à Prevalent. Planifiez dès aujourd'hui un appel stratégique ou une démonstration.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.