Je suis toujours fasciné par les personnes qui affirment qu'il suffit de 200, 250, 300 {remplissez le blanc} questions pour évaluer un fournisseur. Je fais cela depuis plusieurs décennies maintenant et je n'ai toujours pas trouvé de chiffre magique qui satisfasse l'évaluation/l'analyse des risques requise. Avant de vous lancer dans une diatribe sur la complexité et le temps nécessaire à l'évaluation des risques liés aux fournisseurs, prenons un instant pour faire le point.
- Avons-nous posé trop de questions au cours de l'histoire ? Oui.
- Avons-nous échoué à adapter correctement les questionnaires d'évaluation au type de service fourni ? Absolument.
- Cherchons-nous une solution rapide pour éviter d'effectuer le travail de fond nécessaire à l'établissement des exigences en matière d'évaluation des fournisseurs ? Toujours.
Mais ne laissons pas les échecs du passé faire basculer le pendule dans l'autre sens au point de ne plus évaluer correctement les risques liés aux fournisseurs. Certainement pas à un moment où le recours à l'externalisation continue d'augmenter, tout comme les risques qui y sont associés.
Tant de questions, si peu de temps
Ma réponse standard à la remarque « cela fait beaucoup trop de questions » est de demander quels domaines de risque ne sont pas essentiels à évaluer en fonction de ce que ce fournisseur fait pour vous. Vous intéressez-vous à la sécurité des applications, à la résilience de l'entreprise, au contrôle d'accès ou à une multitude d'autres domaines de contrôle des risques ? Ce sont ces domaines de contrôle qui doivent être évalués pour déterminer quelles questions sont nécessaires, et non un nombre aléatoire.
J'ai toujours été un fervent défenseur des évaluations correctement définies. Une évaluation mal définie impose une charge inutile à tout le monde. Les fournisseurs doivent remplir un questionnaire qui n'a que peu de rapport avec leurs services, ce qui augmente souvent le temps nécessaire pour fournir une réponse et réduit les chances que celle-ci soit prête lorsque vous en avez besoin (sans parler de l'impact que cela peut avoir sur votre relation avec ce fournisseur).
Cela augmente également la charge de travail liée à l'examen des évaluations. Chaque question posée et chaque réponse donnée doivent être examinées. Supposons que vos évaluations comprennent 30 questions inutiles. Vos analystes doivent alors évaluer 30 questions supplémentaires. Cela peut sembler peu, mais multipliez ce chiffre par le nombre d'évaluations réalisées chaque année et vous obtenez rapidement des centaines, voire des milliers de questions supplémentaires. Cela réduit considérablement le nombre d'évaluations qu'un évaluateur peut réaliser.
Des évaluations correctement ciblées ont un impact considérable
Évitez donc de vous lancer dans un jeu de chiffres et prenez le temps d'évaluer correctement les risques en fonction du type de données, de l'accès au système et de la résilience de l'entreprise (ou de tout autre critère correspondant à votre appétit pour le risque). Vous constaterez que vous pouvez trouver un bon équilibre entre la gestion des risques liés aux fournisseurs et la charge imposée à toutes les parties concernées pour mener à bien les évaluations.
Découvrez l'approche globale de Prevalent en matière de gestion des risques liés aux tiers.
Brad Keller développe et dirige des programmes de gestion des risques depuis plus de 25 ans. Il est actuellement directeur principal de la stratégie relative aux tiers chez Prevalent, Inc., où il se concentre sur la mise en œuvre des solutions de gestion et d'évaluation des risques pour les tiers de Prevalent.
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
