Le quatrième sommet annuel de Compliance Week a été une excellente occasion de rencontrer des collègues spécialisés dans la gestion des risques liés aux tiers et d'échanger des points de vue sur les nouvelles tendances et les nouveaux défis. Il y a certainement une multitude de nouvelles questions à prendre en compte, notamment la sous-traitance des fournisseurs (quatrièmes parties), l'IoT et les nouvelles réglementations en matière de confidentialité des données. Cependant, ce qui m'a le plus intéressé, ce n'est pas ce qui a changé, mais ce qui n'a pas changé.
L'efficacité (et donc la normalisation) fait encore défaut.
En discutant avec d'autres personnes qui s'occupent activement de la gestion des risques liés aux fournisseurs depuis plus d'une décennie, nous avons tous été frappés par le manque d'évolution de cette pratique. Jusqu'à récemment, nous collections encore les informations relatives à la diligence raisonnable des fournisseurs de la même manière qu'en 2004 : nous envoyions des questionnaires par e-mail aux fournisseurs, puis nous les examinions et les analysions manuellement, sans vraiment centraliser les rapports. Étant donné qu'environ 50 % du temps nécessaire à l'évaluation des fournisseurs est consacré à l'envoi, à la collecte et à la vérification des questionnaires, pourquoi n'avons-nous pas travaillé en groupe pour améliorer l'efficacité ? L'utilisation de questionnaires standardisés (comme le Shared Assessments SIG) aide certainement grâce à la normalisation, mais nous devons vraiment faire plus.
La collaboration au sein des industries progresse…
Le bulletin de l'OCC (OCC 2020-10) fait spécifiquement référence aux mesures que nous devrions prendre. La section 4 de leurs directives encourage spécifiquement les entreprises qui partagent des fournisseurs pour des services similaires à collaborer au processus d'évaluation de la diligence raisonnable. En fait, les directives vont jusqu'à affirmer que la collaboration est un « outil utile » pour aider les banques à s'acquitter de leurs responsabilités en matière de gestion des risques liés aux fournisseurs en vertu de l'OCC 2013-29. Ces « outils utiles » comprennent l'utilisation d'un processus standard pour « effectuer une diligence raisonnable et un suivi continu » des contrôles de sécurité des fournisseurs. Tant que chaque banque effectue sa propre analyse et tire ses propres conclusions sur les risques, l'OCC nous encourage à collaborer dans le cadre du processus de diligence raisonnable et de surveillance des menaces.
Prevalent est à l'avant-garde de ces efforts depuis plusieurs années. De grands cabinets d'avocats nous ont demandé de concevoir et de gérer un réseau qui recueille et partage les évaluations des fournisseurs et la surveillance des menaces pour les fournisseurs de droit commun. Nous avons donc développé le premier réseau partagé d'évaluation de la diligence raisonnable. Ce réseau a permis d'améliorer considérablement les coûts et les délais liés à l'évaluation des fournisseurs. Nous gérons désormais un réseau similaire pour H-ISAC (fournisseurs de soins de santé).
… mais les organisations doivent comprendre que leurs exigences sont plus similaires que différentes.
Les opposants aux réseaux de partage des risques fournisseurs affirment que leurs contrôles de sécurité sont différents de ceux des autres et que le partage ne fonctionnera donc pas. Mais est-ce vraiment le cas ? La plupart d'entre nous ne se référons-nous pas au cadre de cybersécurité du NIST ? Nos normes en matière de mots de passe et nos exigences en matière d'authentification multifactorielle sont-elles vraiment propres à notre entreprise ? Ne sommes-nous pas tous soumis aux mêmes exigences réglementaires ? Outre les exigences réglementaires propres à notre secteur, nous sommes désormais soumis à une réglementation basée sur les données que nous collectons (RGPD, CCPA, etc.). Je dirais que, si l'on considère les exigences réglementaires, 75 % des contrôles de sécurité que nous exigeons tous de nos fournisseurs offrant des services similaires sont identiques.
Alors, qu'attendons-nous ? Récupérons ensemble une partie des 50 % de temps que nous consacrons à des activités non qualifiées et concentrons-nous sur le partage des risques fournisseurs. Si vous êtes d'accord, contactez-nous dès aujourd'hui et nous organiserons une brève démonstration ou une session stratégique.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
