Les évaluations des risques liés aux fournisseurs constituent un élément essentiel des programmes de gestion des risques liés aux tiers. Lorsque vous utilisez des solutions et des services tiers, il est important de comprendre les risques potentiels qu'ils peuvent présenter pour votre organisation. Il s'agit notamment des risques liés à la cybersécurité, à la confidentialité des données, à la conformité, aux opérations, aux finances et à la réputation. La réalisation d'évaluations peut vous aider à mettre en évidence et à corriger ces risques tout au long du cycle de vie du fournisseur.
Les évaluations des risques liés aux fournisseurs permettent à votre organisation d'identifier et d'atténuer de manière proactive les risques liés aux tiers et l'aident à mieux se préparer en cas d'incident. Des évaluations bien gérées peuvent renforcer les relations avec les fournisseurs, démontrer une diligence raisonnable aux régulateurs et mettre en lumière les meilleures pratiques en matière de contrôles de sécurité.
Qu'est-ce qu'une évaluation des risques liés aux fournisseurs ?
Une évaluation des risques liés aux fournisseurs est un processus utilisé par les entreprises pour évaluer les risques potentiels lorsqu'elles travaillent avec des tiers tels que des fournisseurs, des sous-traitants ou d'autres partenaires commerciaux. Elle consiste à évaluer les risques à différentes étapes de la relation avec le fournisseur, depuis la recherche et la sélection jusqu'au départ et à la résiliation du contrat.
Les évaluations comprennent généralement la collecte d'informations sur la sécurité, les contrôles de confidentialité, les données financières et opérationnelles et les politiques du fournisseur, souvent au moyen de questionnaires. Les risques identifiés sont ensuite classés en fonction de leur gravité, de leur probabilité et d'autres facteurs. Les résultats sont souvent mis en correspondance avec les exigences réglementaires, les normes de conformité et les cadres de sécurité, tels que l'ISO et le NIST.
Les évaluations des risques liés aux fournisseurs examinent divers facteurs au cours des différentes étapes du cycle de vie de la gestion des fournisseurs, notamment :
- Au cours du processus de sourcing et de sélection, identifier et présélectionner les fournisseurs à faible risque.
- Lors de l'intégration, dans le cadre de la diligence raisonnable visant à évaluer les risques inhérents avant d'accorder l'accès aux systèmes et données critiques.
- De manière périodique, pour vérifier les accords de niveau de service (SLA), évaluer le respect des contrats ou satisfaire aux exigences d'audit.
- Lors du départ d'un employé, veillez à ce que son accès au système soit supprimé et que les données aient été protégées ou détruites conformément à la réglementation.
- Lors de la réponse à un incident, afin de déterminer la portée et l'impact potentiels des violations de sécurité.
Pourquoi les évaluations des risques liés aux fournisseurs sont-elles essentielles ?
Ces dernières années, le monde a connu d'importantes perturbations dans les activités commerciales et les chaînes d'approvisionnement en raison de la pandémie actuelle de COVID-19, des phénomènes météorologiques extrêmes, des cyberattaques de plus en plus importantes et d'autres événements. En conséquence, les organisations ont été confrontées à des pannes opérationnelles, des pertes financières et des poursuites judiciaires. Si bon nombre de ces événements étaient inévitables, les organisations disposant de programmes efficaces de gestion des risques liés aux tiers (TPRM) ont souvent pu réduire ou atténuer considérablement leurs impacts.
La mise en œuvre de workflows d'évaluation des risques liés aux tiers axés sur les risques opérationnels, la continuité des activités et les risques de sécurité peut permettre à votre organisation de rationaliser les processus d'approvisionnement, d'améliorer la résilience de la chaîne d'approvisionnement et de satisfaire aux audits de conformité. De plus, le coût de mise en place et de maintenance d'une pratique stratégique d'évaluation des tiers est bien inférieur aux dommages potentiels que peuvent causer les fournisseurs à haut risque.
Quelles sont les différentes catégories de risques liés aux fournisseurs ?
Il existe trois principaux types de risques liés aux relations avec des tiers : le risque profilé, le risque inhérent et le risque résiduel. Voici une brève description de ces trois types de risques :
- Le risque profilé est directement lié à la relation du fournisseur avec votre organisation. Certains fournisseurs présentent plus de risques que d'autres. Par exemple, une société de traitement des cartes de crédit présente probablement un risque beaucoup plus important pour votre organisation qu'une agence de publicité numérique. Les organisations présentant un niveau de risque profilé plus élevé nécessitent une attention particulière lors de la sélection des fournisseurs.
- Les risques inhérents désignent les risques que présente le fournisseur en raison de ses propres pratiques en matière de sécurité de l'information, d'exploitation, de finances et autres pratiques commerciales avant la mise en œuvre des contrôles requis par votre organisation. Pour déterminer le score de risque inhérent d'un fournisseur potentiel, il faut combiner des questionnaires d'évaluation détaillés et une surveillance des menaces externes.
- Le risque résiduel correspond au niveau de risque restant une fois que l'organisation concernée a mis en œuvre les contrôles obligatoires de votre organisation. Le risque résiduel ne peut jamais être éliminé, mais il peut être ramené à un niveau jugé acceptable par l'organisation.
Comment évaluez-vous les risques liés aux fournisseurs ?
Le calcul de base pour évaluer le risque lié à un fournisseur est le suivant : probabilité x impact = risque. Par exemple, supposons qu'un fournisseur hospitalier traite de grandes quantités d'informations médicales protégées (PHI), mais ne se conforme pas à la loi HIPAA. En vertu de la loi HIPAA, il serait classé comme partenaire commercial et soumis au même contrôle réglementaire que le prestataire de soins de santé. Dans ce cas, l'impact est une amende importante pour le prestataire de soins de santé et le partenaire commercial (c'est-à-dire un impact majeur ou grave), et la probabilité est le risque que leur non-conformité soit découverte par les autorités de réglementation (c'est-à-dire probable ou extrêmement probable). Cela représenterait un risque inacceptable pour tout organisme de santé et entraînerait probablement la résiliation du contrat.
L'exemple ci-dessus souligne l'importance de mener des évaluations approfondies des risques liés aux fournisseurs. Cela est encore plus important pour les organisations qui traitent de grandes quantités de données sensibles, telles que les prestataires de services gouvernementaux et les prestataires de soins de santé. Dans de nombreux cas, des réglementations telles que la loi HIPAA tiendront l'organisation principale responsable de la non-conformité des fournisseurs.
Étapes de l'évaluation des risques liés aux fournisseurs
1. Réunir les parties prenantes internes
Les programmes d'évaluation des risques liés aux fournisseurs les plus efficaces impliquent la contribution et/ou la participation des parties prenantes, représentant plusieurs rôles avec des priorités différentes. Il peut s'agir notamment :
| Rôle | Exemples de priorités |
|---|---|
| Gestion des risques | Harmonisation des évaluations des fournisseurs avec les initiatives plus larges de gestion des risques organisationnels et intégration des données sur les risques liés aux tiers dans les plateformes GRC. |
| Approvisionnement et sourcing | Rechercher des fournisseurs à faible risque, effectuer des vérifications préalables à la signature du contrat, évaluer les performances des fournisseurs et veiller au respect des obligations contractuelles. |
| Sécurité et informatique | Identifier, analyser et remédier aux risques liés à la cybersécurité associés aux tiers. |
| Audit et conformité | Comprendre et signaler les risques liés aux fournisseurs dans le contexte des réglementations gouvernementales et des cadres réglementaires sectoriels. |
| Confidentialité des données | Identifier les fournisseurs qui traitent des données à caractère privé, réaliser des évaluations d'impact sur la vie privée et établir des rapports sur le respect des exigences en matière de confidentialité. |
La constitution d'une équipe interfonctionnelle chargée de planifier et de diriger votre programme d'évaluation contribuera à garantir son adoption par l'organisation et son succès à long terme.
2. Définissez votre niveau acceptable de risque résiduel
Dans un monde idéal, le risque pourrait être totalement éliminé. Malheureusement, lorsqu'on travaille avec un tiers, il y a toujours un certain degré de risque. Avant d'évaluer les fournisseurs potentiels pour un projet, vous devez définir le niveau de risque acceptable. Cela peut accélérer et uniformiser le processus de sélection des fournisseurs et de gestion des risques liés aux tiers. Vous pouvez ainsi identifier facilement les fournisseurs qui ne répondent manifestement pas à vos objectifs commerciaux et à votre tolérance au risque. En outre, cela peut vous aider à clarifier les contrôles que vous devez exiger des fournisseurs avant de travailler avec eux.
3. Élaborez votre processus d'évaluation des risques liés aux fournisseurs
Mettez en place un processus avec des contrôles et des exigences standardisés. Cependant, il n'existe pas d'approche unique en matière d'évaluation des risques liés aux fournisseurs. Les différents fournisseurs présentent des niveaux de risque variables pour votre organisation, en fonction de facteurs tels que :
- Leur importance pour votre chaîne d'approvisionnement, en particulier s'il s'agit d'un fournisseur unique ou exclusif.
- Leur accès à des données sensibles, telles que les informations personnelles identifiables (PII), les informations médicales protégées (PHI) ou les informations commercialement sensibles (CSI).
- Leur vulnérabilité aux perturbations, telles que les catastrophes naturelles ou les conflits géopolitiques.
Commencez par une évaluation interne du profilage et de la hiérarchisation afin de classer vos fournisseurs et de déterminer le type, la portée et la fréquence des évaluations nécessaires pour chaque groupe. Par exemple, les fournisseurs essentiels à votre entreprise et présentant un risque potentiel élevé (par exemple, les cabinets comptables ou les fournisseurs uniques) nécessitent une diligence raisonnable plus approfondie que ceux dont le profil de risque est plus faible (par exemple, les agences de publicité).
Disposer d'un processus structuré pour chaque catégorie de fournisseurs rend votre programme de gestion des risques tiers plus efficace et vous aide à prendre de meilleures décisions fondées sur les risques concernant vos relations avec vos fournisseurs.
4. Envoyer les questionnaires d'évaluation des risques liés aux fournisseurs
L'étape suivante consiste à sélectionner et à envoyer des questionnaires d'évaluation des risques à chaque fournisseur ou catégorie de fournisseurs. Les questionnaires constituent une approche basée sur la confiance pour recueillir des informations sur les contrôles internes de chaque fournisseur. Ils peuvent couvrir divers sujets, notamment les pratiques en matière de sécurité de l'information, les exigences de conformité, la stabilité financière et les données relatives aux fournisseurs de quatrième et n-ième rang.
Sélection d'un questionnaire
L'un des choix les plus importants auxquels les entreprises sont confrontées lorsqu'elles sélectionnent des questionnaires pour leurs évaluations de risques primaires est de savoir s'il convient d'utiliser un questionnaire standardisé, tel que le questionnaire SIG (Standard Information Gathering), ou un questionnaire propriétaire. Dans certains cas, vos tiers peuvent déjà disposer d'une certification en matière de sécurité de l'information, telle que CMMC ou SOC 2. Vous pouvez accepter ces certifications au lieu d'exiger une réponse à l'évaluation ou les compléter par des évaluations propriétaires et/ou ad hoc afin de recueillir des informations sur des contrôles spécifiques ou des risques potentiels en dehors de la cybersécurité. Pour en savoir plus sur les avantages et les inconvénients de chaque approche d'évaluation, lisez notre article sur la sélection d'un questionnaire d'évaluation des risques des fournisseurs.
Choisir un cadre
De nombreuses organisations choisissent d'utiliser des cadres de référence pour concevoir leurs questionnaires d'évaluation des fournisseurs, tels que le cadre de référence NIST Cybersecurity Framework, la norme ISO 27001 et la norme NIST 800-30, afin de garantir que les questionnaires sont standardisés tout au long de la chaîne d'approvisionnement et reflètent les meilleures pratiques. Si vous exigez de vos fournisseurs qu'ils se conforment à des réglementations spécifiques telles que le RGPD ou la norme PCI DSS, il peut être utile d'intégrer directement des questions relatives à ces normes dans votre programme de gestion des risques fournisseurs.
5. Compléter les évaluations par une surveillance continue des risques
Les vulnérabilités en matière de cybersécurité, les défis liés à la chaîne d'approvisionnement et les exigences de conformité évoluent en permanence. Veillez donc à effectuer une surveillance continue des risques afin de détecter tout risque cybernétique, commercial ou de réputation qui pourrait survenir entre vos évaluations périodiques des fournisseurs. Vous pouvez également utiliser les données relatives aux risques pour vérifier que les réponses fournies par les tiers lors des évaluations correspondent bien à leurs activités commerciales réelles.
Violations des données des fournisseurs, identifiants exposés et autres cyber-risques
Les violations de données par des tiers, les attaques par ransomware et autres cyberincidents constituent aujourd'hui des menaces constantes et omniprésentes pour les organisations. Il est donc essentiel de mettre en place une surveillance externe des risques liés à la cybersécurité dans l'ensemble de votre écosystème de fournisseurs. Les principaux risques à surveiller sont les suivants :
- exposition des identifiants
- violations de données et incidents confirmés
- mauvaise configuration et vulnérabilités des applications web
- typosquatting et autres menaces pour les marques
Finances, pratiques commerciales et réputation des fournisseurs
Si les violations de données par des tiers et les incidents de cybersécurité ont tendance à monopoliser les gros titres, la faillite financière d'un fournisseur, les perturbations opérationnelles ou la mauvaise presse peuvent avoir de graves répercussions sur votre entreprise. Ces risques « non informatiques » s'étendent également aux défis environnementaux, sociaux et de gouvernance (ESG), tels que l'esclavage moderne, la corruption et les questions de protection des consommateurs.
Recherchez les actualités, les informations financières et les relations avec des tiers qui pourraient signaler des problèmes. Examinez les pratiques commerciales des fournisseurs, l'approvisionnement en matières premières et d'autres processus commerciaux clés qui pourraient poser des problèmes de réputation ou d'éthique à votre entreprise. Demandez également des références de clients et de partenaires qui utilisent les produits et services du tiers. Discutez avec ces références afin d'obtenir des informations supplémentaires sur la capacité du tiers à respecter les accords de niveau de service (SLA) et autres obligations contractuelles.
Choisir une stratégie de surveillance
Des sources d'informations ouvertes aux sites Web publics, les sources d'informations sur vos tiers ne manquent pas. Cependant, il peut être difficile de mettre en place un programme de surveillance complet et efficace à partir de zéro. De nombreuses entreprises utilisent des logiciels automatisés de surveillance des menaces liées aux fournisseurs pour identifier et évaluer les risques.
6. Catégoriser et remédier aux risques
Les risques peuvent être classés comme acceptables ou inacceptables. Les risques inacceptables doivent être corrigés avant de travailler avec le fournisseur. La correction des risques liés aux tiers peut prendre différentes formes. Une organisation peut choisir de demander à un fournisseur potentiel d'obtenir une certification de sécurité telle que SOC 2, de mettre fin à ses relations avec des fournisseurs de quatrième et n-ième rang, ou de modifier ses pratiques commerciales susceptibles de perturber la chaîne d'approvisionnement ou d'autres processus.
En outre, les organisations doivent disposer d'une stratégie de réponse aux incidents impliquant des tiers au cas où un fournisseur serait victime d'une violation de données ou d'une autre perturbation. Le fait de disposer d'une stratégie définie pour faire face aux risques qui se concrétisent peut réduire considérablement le temps nécessaire pour mettre en place une réponse efficace et limiter les perturbations au sein de votre organisation.
Comment mettre en place un programme d'évaluation des risques liés aux fournisseurs
Une erreur que commettent de nombreuses entreprises lorsqu'elles lancent un programme d'évaluation est de s'appuyer sur les e-mails et les feuilles de calcul pour accomplir cette tâche. À moins que vous ne travailliez qu'avec une poignée de fournisseurs, cette approche manuelle des évaluations peut être un cauchemar pour les auditeurs et les fournisseurs, tout en fournissant peu de données utiles.
Si vous souhaitez lancer un programme d'évaluation, un bon point de départ consiste à vous abonner à un réseau d'informations sur les fournisseurs, qui vous donnera accès à une bibliothèque de rapports sur les risques liés aux fournisseurs basés sur des données d'évaluation standardisées. Ensuite, pour plus de personnalisation et de contrôle, envisagez une solution automatisée d'évaluation des risques liés aux fournisseurs qui vous permettra de mener et de gérer vos initiatives d'évaluation. Si vous préférez une approche plus passive, un fournisseur de services gérés peut effectuer les évaluations à votre place.
Prochaines étapes
Prevalent propose des solutions et des services d'évaluation des risques liés aux fournisseurs dans le cadre de notre plateforme complète de gestion des risques tiers. Pour discuter de vos besoins spécifiques avec un expert Prevalent, demandez dès aujourd'hui une démonstration personnalisée.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
