Gestion des risques liés aux fournisseurs : 8 clés pour réussir

Qu'est-ce que la gestion des risques fournisseurs ?

La gestion des risques liés aux fournisseurs (VRM) est le processus qui consiste à identifier, évaluer et atténuer les risques associés à l'engagement de fournisseurs tiers qui fournissent des biens ou des services à une organisation. La VRM est un aspect important de la gestion des risques d'entreprise, car les fournisseurs peuvent introduire des risques susceptibles d'avoir un impact négatif sur les opérations, la réputation ou la conformité d'une organisation. Les activités de VRM doivent être menées à toutes les étapes du cycle de vie des fournisseurs, y compris l'approvisionnement et la sélection, l'intégration et l'accueil, l'évaluation des risques inhérents, l'évaluation et la correction des risques, la surveillance continue des risques, la gestion des performances et des accords de niveau de service, ainsi que le départ et la résiliation.

Pourquoi la gestion des risques liés aux fournisseurs est-elle importante ?

La gestion des risques liés aux fournisseurs est importante pour plusieurs raisons, notamment :

Dépendance vis-à-vis des fournisseurs

De nombreuses organisations dépendent de fournisseurs externes pour des services, des produits ou des composants essentiels. Toute perturbation ou défaillance dans les opérations du fournisseur peut avoir un impact direct sur la capacité de l'organisation à fournir ses propres produits ou services. La gestion des risques liés aux fournisseurs permet d'identifier et d'atténuer les risques potentiels associés à ces dépendances.

Sécurité et confidentialité des données

Les fournisseurs ont souvent accès à des données ou à des systèmes sensibles de l'organisation. Des mesures de sécurité inadéquates ou des violations de données chez le fournisseur peuvent compromettre des informations précieuses, notamment les données des clients. La gestion des risques liés aux fournisseurs permet d'évaluer les pratiques de sécurité de ces derniers et de s'assurer qu'ils ont mis en place des mesures robustes pour protéger les données.

Conformité réglementaire

Les organisations sont soumises à diverses exigences réglementaires, telles que les lois sur la protection des données ou les réglementations spécifiques à leur secteur d'activité. Les fournisseurs qui traitent des données ou des processus réglementés doivent également se conformer à ces exigences. Une gestion efficace des risques liés aux fournisseurs garantit que ces derniers respectent les réglementations applicables, réduisant ainsi l'exposition de l'organisation aux manquements en matière de conformité et aux sanctions associées.

Continuité et résilience des activités

Les fournisseurs jouent un rôle crucial dans le maintien de la continuité des activités. Si un fournisseur subit des perturbations, telles que des catastrophes naturelles, une instabilité financière ou des défaillances opérationnelles, cela peut avoir un impact sur les activités de l'organisation. La gestion des risques liés aux fournisseurs permet d'identifier les vulnérabilités potentielles et d'établir des plans d'urgence afin d'atténuer l'impact des perturbations liées aux fournisseurs.

Réputation et protection de la marque

Les actions ou les manquements d'un fournisseur peuvent avoir un impact significatif sur la réputation et l'image de marque d'une organisation. Par exemple, si un fournisseur est impliqué dans des pratiques contraires à l'éthique, des violations environnementales ou des controverses publiques, cela peut nuire à l'image de l'organisation qui s'est associée à lui. La gestion des risques liés aux fournisseurs permet d'évaluer la réputation du fournisseur, de garantir l'alignement avec les valeurs de l'organisation et de protéger sa marque.

Optimisation des coûts et performances

Une gestion efficace des risques liés aux fournisseurs permet aux organisations d'évaluer la stabilité financière et les performances de ces derniers. En évaluant les capacités des fournisseurs, les organisations peuvent prendre des décisions éclairées quant aux fournisseurs avec lesquels elles souhaitent travailler, négocier des conditions avantageuses et éviter d'éventuelles pertes financières ou des performances insuffisantes.

Dans l'ensemble, la gestion des risques liés aux fournisseurs permet aux organisations d'identifier et de traiter de manière proactive les risques associés aux relations avec les fournisseurs, protégeant ainsi leurs opérations, leur réputation, leurs données et leur conformité tout en optimisant les coûts et en assurant la continuité des activités.

Quels sont les types de risques liés aux fournisseurs tiers ?

Un programme de gestion des risques liés aux fournisseurs peut permettre à votre organisation de faire face à un large éventail de menaces et de risques :

Risque cybernétique

de la cybersécurité est essentielle dans l'évaluation des fournisseurs. Les ransomwares, les dénis de service distribués et autres attaques peuvent paralyser votre organisation, empêchant ainsi votre entreprise de remplir ses obligations commerciales. Selon les dernières recherches d'IBM, près de 25 % de toutes les violations de données ont été causées par des ransomwares ou des cyberattaques malveillantes qui ont rendu les systèmes de l'organisation inopérants.

Risque de conformité

La plupart des organisations sont soumises à une multitude d'exigences réglementaires en constante évolution concernant la protection des données et des systèmes sensibles. Bon nombre de ces réglementations, notamment la loi HIPAA, la loi californienne sur la protection de la vie privée des consommateurs (CCPA), la loi SHIELD de New York et le règlement général sur la protection des données (RGPD) de l'Union européenne, obligent les organisations à protéger les informations privées de leurs consommateurs, clients et employés. D'autres réglementations concernent la protection des informations financières non publiques. Toute violation peut entraîner des amendes et nuire à la réputation de l'entreprise.

Risque financier

Les équipes chargées des achats doivent avoir une bonne visibilité sur la stabilité financière de leurs fournisseurs tiers, notamment sur les dettes de ces derniers et les crédits qu'ils accordent à leurs clients. Une déclaration de faillite peut entraîner une perte d'activité et perturber la chaîne d'approvisionnement.

Risques ESG

Les préoccupations des investisseurs concernant les pratiques environnementales, sociales et de gouvernance (ESG) continuent de croître. Par exemple, après l'invasion de l'Ukraine par la Russie, de nombreuses entreprises ont jugé inacceptable de faire affaire avec des sociétés affiliées au gouvernement russe. Les organisations doivent également se protéger contre les accusations selon lesquelles leur chaîne d'approvisionnement serait impliquée dans des violations des droits humains, le recours au travail des enfants ou des dommages environnementaux.

Risque de réputation

Une couverture médiatique défavorable ou des informations négatives concernant un fournisseur peuvent nuire à la réputation de ses clients. Cela peut se produire lorsque le fournisseur est impliqué dans des pratiques d'embauche contraires à l'éthique, des problèmes de qualité de ses produits, des activités criminelles ou des catastrophes environnementales.

4. Corrigez ce qui est important grâce aux mesures correctives recommandées et aux rapports

Vient ensuite la partie difficile : remédier aux risques ! Les éléments clés à prendre en considération à ce stade sont les suivants :

• Votre équipe dispose-t-elle de l'expertise nécessaire pour recommander des mesures correctives en cas d'échec des contrôles ? Serait-il utile de déclencher automatiquement des mesures correctives prédéfinies lorsque les évaluations signalent des risques spécifiques ?

• Comment prévoyez-vous de projeter les risques futurs (par exemple, les risques résiduels) dans le temps après l'application ou la mise en œuvre des mesures correctives ? Cela sera important dans les rapports destinés au conseil d'administration.

• Comment démontrerez-vous la conformité d'un fournisseur à un cadre réglementaire ou sectoriel spécifique ? (Indice : recherchez des solutions qui fournissent des mesures de « conformité en pourcentage » par rapport à plusieurs réglementations.)

• Comment allez-vous atténuer les menaces cachées qui ne sont pas révélées par les réponses à l'évaluation ? (Assurez-vous de demander si votre solution VRM inclut l'apprentissage automatique pour analyser les données et révéler les tendances cachées.)

5. Adoptez une approche continue, intelligente et automatisée de la gestion des risques liés aux fournisseurs

La dernière étape vers une gestion proactive des fournisseurs consiste à intégrer une automatisation continue et intelligente à votre programme sur le long terme. Cela implique notamment de tirer parti de solutions capables d'évaluer, de surveiller et d'éliminer de manière proactive et continue les risques liés aux fournisseurs. Mais à quoi ressemble une automatisation « continue, intelligente et automatisée » ?

Évaluations continues

Une façon d'obtenir un modèle d'évaluation plus continu et moins réactif consiste à utiliser des informations de surveillance cybernétique et commerciale en temps réel pour établir votre calendrier d'évaluation. Avec les règles appropriées en place, vous pouvez corréler les vulnérabilités, les violations ou les fuites d'identifiants d'un fournisseur sur le dark web avec les réponses aux évaluations révélant des pratiques de gestion des mots de passe ou des correctifs insuffisantes. Vous pouvez ensuite utiliser ces résultats pour déclencher des évaluations. Ce niveau d'automatisation permet de boucler véritablement la boucle en matière de risques liés aux tiers et de transformer les évaluations ponctuelles en une surveillance continue des risques liés aux fournisseurs.

Des informations provenant de tous les horizons

Pour prendre des décisions éclairées et fondées sur les risques, il faut exploiter et normaliser les données provenant de plusieurs sources. Consultez notre guide des meilleures pratiques pour obtenir un diagramme illustrant les informations généralement nécessaires pour éclairer la prise de décision fondée sur les risques. En voici quelques-unes :

• Les sources publiques et privées, les informations sur les risques liés aux fournisseurs et les intégrations technologiques peuvent fournir des informations quantitatives et qualitatives sur les risques liés à la sécurité informatique, les problèmes financiers et d'autres indicateurs de la santé cybernétique et commerciale d'un fournisseur.

• La communauté des fournisseurs, les évaluations réalisées et les partenariats industriels jouent également un rôle. Ils fournissent des documents et des informations fournis par les membres ou issus du crowdsourcing qui permettent d'avoir un aperçu des risques que présentent les fournisseurs dans des secteurs spécifiques.

• La surveillance réglementaire fournit des informations sur les défaillances des contrôles dans les secteurs réglementés et peut aider à anticiper les mesures correctives nécessaires pour réduire le risque résiduel d'un fournisseur.

Guides d'automatisation pour rationaliser la réponse aux risques

Une façon d'automatiser davantage le programme consiste à exploiter les capacités permettant de déclencher des mesures de réponse aux risques sur la base de critères « Si ceci, alors cela » pour des entités et des risques spécifiques. Les règles doivent automatiser un large éventail de tâches d'intégration, d'évaluation et d'examen. Il peut s'agir de mettre à jour les profils des fournisseurs et les attributs de risque, d'envoyer des notifications et/ou d'activer des flux de travail. Elles doivent également fonctionner en permanence afin de mettre à jour l'environnement VRM à mesure que de nouveaux événements et risques apparaissent.

6. Tenez compte de la géopolitique dans votre plan VRM

La situation géopolitique de plus en plus tendue peut également présenter des risques importants pour les programmes de gestion des risques fournisseurs. Évaluez vos fournisseurs en fonction de lieu où ils exercent leurs activités. Les fournisseurs dont les activités sont fortement concentrées dans des pays ayant de mauvais antécédents en matière de droits de l'homme et d'ESG peuvent mettre en danger leur propre organisation et les services qu'ils fournissent à la vôtre. Des droits de douane soudains ou un embargo pourraient réduire considérablement leurs revenus et entraîner un risque de performance, voire une défaillance, de la part des fournisseurs.

De même, les organisations qui exercent des activités importantes ou hébergent des données dans des pays ne disposant pas de lois explicites en matière de confidentialité des données peuvent mettre les données de votre organisation en danger en raison de l'obligation de les partager avec les entités gouvernementales du pays hôte. Voici quelques questions qu'il convient de poser aux fournisseurs actuels ainsi qu'aux futurs fournisseurs potentiels lors de votre processus de sourcing et de sélection :

• Le fournisseur exerce-t-il des activités commerciales importantes ou héberge-t-il des données dans des pays où il n'existe pas de lois et de réglementations claires concernant le partage des données entre les entités gouvernementales et privées ?

• Le fournisseur exerce-t-il ses activités dans des pays dont le bilan en matière de droits de l'homme, de libertés politiques ou de dégradation de l'environnement est médiocre ? Si oui, ses activités sont-elles suffisamment importantes pour causer des perturbations si ce pays venait à être soumis à un embargo ?

• Le fournisseur exerce-t-il ses activités dans un pays où il existe un conflit territorial ou une insurrection violente active ?

7. Intégrer dès le départ la création de rapports de conformité

La gestion des risques liés aux tiers étant un élément essentiel du contrôle dans la plupart des régimes réglementaires et cadres industriels, les auditeurs, tant externes qu'internes à votre organisation, doivent démontrer les progrès accomplis pour se conformer à ces exigences. Cependant, de nombreux outils de gestion des risques rendent les rapports de conformité trop complexes et trop longs à établir. Il est essentiel de disposer de fonctions de reporting intégrées pour les réglementations standard et les cadres industriels afin d'accélérer et de simplifier le processus de conformité.

Une façon d'accélérer la production des rapports de conformité consiste à obtenir une visibilité sur le niveau de conformité de chaque fournisseur. Commencez par établir un seuil de conformité en pourcentage par rapport à une catégorie de risque (par exemple, X % de conformité par rapport à un cadre ou à une directive particulier). Tous les rapports seront liés à ce taux de conformité, et votre équipe pourra se concentrer sur les domaines où les taux de conformité sont faibles. Cela doit également être effectué à un niveau macro pour tous les fournisseurs, et pas seulement au niveau des fournisseurs individuels. Les rapports au niveau macro seront nécessaires pour que le conseil d'administration puisse déterminer dans quelle mesure l'organisation est conforme à la réglementation « à la mode ».

Conseil bonus : la conformité ESG des fournisseurs devient de plus en plus importante

Les réglementations ESG, de la loi californienne sur la transparence de la chaîne d'approvisionnement au projet de directive européenne, exercent une pression croissante sur les entreprises pour qu'elles éliminent les mauvaises pratiques ESG de leurs chaînes d'approvisionnement. Cette tendance devrait se poursuivre tout au long des années 2020. Si de nombreuses organisations considèrent l'ESG comme une préoccupation principalement liée aux fournisseurs, les fournisseurs informatiques peuvent également présenter des risques ESG, allant de mauvaises pratiques de travail dans les usines à la corruption et à d'autres formes de malversations. Veuillez examiner attentivement les exigences de conformité ESG qui peuvent affecter votre organisation et veillez à structurer vos rapports de conformité de manière à en tenir compte.

8. Veiller à ce que le départ des fournisseurs se déroule sans heurts, efficacement et de manière vérifiable

Lorsqu'une relation avec un fournisseur prend fin, les risques peuvent persister. Un fournisseur détenant des données sensibles doit restituer et détruire ces données de manière sécurisée ; les obligations d'assistance peuvent survivre à un contrat d'achat, et les organisations doivent s'assurer que tout accès de tiers aux systèmes internes est supprimé. Bien que cela soit facile à comprendre, une étude de Prevalent a révélé que 60 % des entreprises n'évaluent pas activement les risques liés aux tiers lors du départ d'un fournisseur. Cela présente des risques continus pour l'activité, la sécurité et la propriété intellectuelle.

Voici quelques questions cruciales concernant votre approche actuelle en matière de départ des fournisseurs.

• Disposons-nous de méthodes de vérification pour empêcher les fournisseurs dont nous nous sommes séparés d'accéder à l'ensemble de l'infrastructure informatique et des applications ?

• Auditons-nous régulièrement les systèmes afin de vérifier que les fournisseurs ont bien été désinscrits ?

• Notre approche en matière de départ des fournisseurs intègre-t-elle les dispositions essentielles des exigences de conformité applicables ?

• Exigeons-nous des fournisseurs qu'ils confirment par écrit que toutes les données sensibles ont été détruites à la fin du processus de départ ?

• Intégrons-nous les exigences relatives au départ des employés dans les contrats et les accords de niveau de service conclus avec les fournisseurs ?

Défis liés à la gestion des risques fournisseurs

La mise en place d'un programme efficace de gestion des risques liés aux fournisseurs peut être un processus complexe qui nécessite une planification et une exécution minutieuses. Voici neuf défis auxquels votre organisation pourrait être confrontée lors de la mise en place d'un programme VRM :

Identification des fournisseurs tiers

L'un des principaux défis consiste à identifier les fournisseurs tiers avec lesquels votre organisation traite, car ces fournisseurs peuvent être répartis dans différents départements et fonctions.

Évaluation des risques liés aux fournisseurs

Une fois les fournisseurs identifiés, l'évaluation des risques peut s'avérer complexe et fastidieuse, en particulier si votre organisation utilise des tableurs ou d'autres méthodes manuelles pour recueillir et suivre les réponses.

Définir la tolérance au risque

Pour prendre des décisions plus éclairées en matière d'atténuation des risques, il est important de définir les niveaux de tolérance au risque de votre organisation et d'établir des seuils d'exposition aux risques liés aux tiers. Une approche structurée de la hiérarchisation et de la catégorisation des fournisseurs est ici essentielle.

Mise en place de procédures de diligence raisonnable

Assurez-vous de mettre en place des procédures rigoureuses de vérification préalable des fournisseurs. Celles-ci doivent couvrir divers aspects tels que la stabilité financière, la conformité et la cybersécurité.

Garantir le respect des contrats

Il est important de s'assurer que les fournisseurs respectent les termes de leurs contrats, en particulier en ce qui concerne les exigences en matière de sécurité et de conformité.

Suivi des performances des fournisseurs

Veillez à surveiller en permanence les performances des fournisseurs et les accords de niveau de service (SLA) afin de vous assurer que les niveaux de service sont respectés et d'identifier tout problème susceptible de survenir.

Se tenir au courant des changements réglementaires

Il peut être difficile de se tenir au courant des changements apportés aux exigences réglementaires, car la gestion des risques liés aux fournisseurs est un facteur clé dans de nombreux cadres de cybersécurité, directives sectorielles, lois sur la confidentialité des données et réglementations ESG.

Obtenir l'adhésion des dirigeants

La mise en place d'un programme efficace de gestion des risques liés aux fournisseurs nécessite l'adhésion et le soutien de la direction, ce qui peut parfois s'avérer difficile à obtenir.

Alignement des ressources internes

Pour être efficaces, les programmes de gestion des risques liés aux fournisseurs nécessitent la collaboration de plusieurs services différents, notamment ceux chargés de la sécurité informatique, de la gestion des risques, des achats, de la confidentialité des données, des questions juridiques et de la conformité.

8 bonnes pratiques pour un programme efficace de gestion des risques liés aux fournisseurs

Être en « mode réactif » est épuisant, inefficace et stressant, et cela devient particulièrement risqué lorsque votre charge de travail augmente. La gestion des risques fournisseurs (VRM) n'échappe pas à cette règle : disposer d'un programme VRM réactif qui répond aux risques fournisseurs au lieu de les gérer de manière proactive expose votre organisation à des risques de violation des données, d'atteinte à la vie privée et d'infractions à la conformité réglementaire.

C'est pourquoi il est important de disposer d'un processus clair pour gérer de manière proactive les cyberrisques liés aux tiers et les risques pour la continuité des activités qui surgissent inévitablement tout au long du cycle de vie de la relation avec les fournisseurs.

Au cours de nos plus de 15 années de collaboration avec des milliers de clients et de fournisseurs, nous avons développé 8 bonnes pratiques pour mettre en place un programme de gestion des risques fournisseurs (VRM) plus proactif.

Voici un aperçu de certaines de ces pratiques et de la manière dont elles peuvent faciliter la gestion des risques liés aux fournisseurs :

1. Intégrer, évaluer et gérer les risques liés aux fournisseurs

Avant de lancer un programme de gestion des risques liés aux fournisseurs, vous devez prendre plusieurs décisions. Des services de conseil spécialisés peuvent vous aider à définir les paramètres du programme. L'étape suivante consiste à prendre le contrôle de vos fournisseurs tiers, à les intégrer et à identifier les risques inhérents à leur activité.

Les décisions clés à prendre à cette étape sont les suivantes :

• Quel est le mécanisme approprié pour l'intégration des fournisseurs? Utiliserez-vous un processus manuel ou un modèle de feuille de calcul ? Aurez-vous besoin d'intégrations avec des systèmes d'approvisionnement ou de gestion des fournisseurs ?
• Quels facteurs prendrez-vous en considération pour classer les fournisseurs par niveau ? Par exemple, quels attributs ou critères de criticité influenceront votre classement des fournisseurs ?
• Comment allez-vous collecter les informations nécessaires à l'évaluation du risque inhérent ? Allez-vous utiliser un questionnaire automatisé ? Quelles données seront utilisées pour calculer le risque inhérent (par exemple, données opérationnelles, juridiques, réglementaires, financières et/ou liées à la réputation) ?

Lorsque vous contactez pour la première fois des fournisseurs potentiels de solutions VRM, assurez-vous qu'ils proposent plusieurs mécanismes pour l'intégration des fournisseurs, prestataires et autres tiers. Cela peut inclure la réalisation de tâches d'intégration pour le compte de votre équipe.

Veillez également à ce que leur méthodologie de classement des fournisseurs et d'évaluation des risques liés aux fournisseurs ne se limite pas à des questions superficielles. Vous pouvez par exemple demander à ce qu'elle inclue également des considérations financières et liées à la chaîne d'approvisionnement. Consultez notre guide des meilleures pratiques pour obtenir un aperçu complet de ces attributs.

2. Automatiser les aspects clés du processus VRM

La prochaine étape vers une gestion proactive des risques liés aux fournisseurs consiste à cesser d'utiliser des tableurs pour évaluer ces risques. Bien sûr, vous devez toujours disposer d'un moyen de collecter des preuves des contrôles de sécurité et d'effectuer des vérifications préalables conformément aux normes de votre entreprise et aux exigences de conformité. Heureusement, vous pouvez automatiser ce processus et éliminer les tâches d'évaluation redondantes et fastidieuses qui entraînent souvent des erreurs et des risques.

La collecte et l'examen de diligence raisonnable peuvent prendre plusieurs formes. Par exemple, vous pouvez gérer vous-même le processus d'évaluation, accéder à une bibliothèque de questionnaires remplis ou externaliser la collecte à un partenaire. En fait, nous constatons que de nombreuses entreprises gèrent efficacement les risques grâce à un modèle hybride qui exploite différentes approches pour différents niveaux de fournisseurs.

Les décisions clés à prendre à cette étape sont les suivantes :

• Quel questionnaire sera utilisé pour recueillir des informations sur les contrôles de votre fournisseur ? Utiliserez-vous des enquêtes standardisées ou propriétaires ? (Indice : cela dépend de deux facteurs : 1) les réglementations ou cadres auxquels vous prévoyez de rattacher les réponses, et 2) si vous prévoyez de partager les résultats avec un réseau.)
• Quelle(s) méthode(s) de collecte utiliserez-vous ? Disposez-vous des ressources et de l'expertise nécessaires pour gérer cela en interne ? Allez-vous tirer parti des réseaux de réponses fournies par les fournisseurs pour accélérer le processus ? Allez-vous externaliser la collecte à un partenaire ? (Idéal pour les équipes disposant de ressources insuffisantes ou ne disposant pas de personnel de réserve.)

Comme pour l'étape 1, assurez-vous que votre fournisseur de solution VRM est flexible en termes de disponibilité des questionnaires et de méthodes de collecte. Vous ne souhaitez probablement pas être limité à un seul questionnaire rigide qui ne peut pas être personnalisé. Vous ne souhaitez pas non plus être obligé de collecter vous-même les informations nécessaires à la diligence raisonnable, surtout si vous manquez de personnel.

3. Prenez des décisions plus éclairées grâce à une veille continue sur les risques liés aux fournisseurs

La prochaine étape dans la mise en place de votre cadre de gestion des risques liés aux fournisseurs consiste à valider les évaluations tierces à l'aide d'informations externes sur la cybersécurité et les risques commerciaux. Si les évaluations périodiques sont essentielles pour comprendre comment les fournisseurs gèrent leurs programmes de sécurité de l'information et de confidentialité des données à un moment donné, beaucoup de choses peuvent arriver à un fournisseur entre deux évaluations ! C'est là que la surveillance continue peut s'avérer utile.

De nombreuses organisations échouent à cet égard. Trop d'entre elles adoptent une vision étroite et qualitative des risques liés aux fournisseurs et ignorent les informations plus qualitatives. Lorsqu'elles sont combinées et corrélées, la cybersécurité et la surveillance des activités offrent une vision plus complète des risques liés aux fournisseurs. Cette vision « de l'extérieur vers l'intérieur » vous donne un avantage pour saisir l'impact potentiel des risques liés aux fournisseurs. Elle complète également vos évaluations « de l'intérieur vers l'extérieur » afin de fournir une note de risque plus éclairée et plus précise. Mais sur quels types d'informations de surveillance devez-vous vous concentrer ?

• Sources d'informations sur les risques liés à la cybersécurité : pour comprendre les faiblesses visibles par les pirates, il faut commencer par découvrir les données compromises sur le dark web et répertorier les divulgations de failles de sécurité. Il faut ensuite recueillir des informations sur les cyberattaques confirmées, les violations des politiques informatiques et des infrastructures, les vulnérabilités et autres expositions.
• Sources d'informations sur les risques commerciaux : les informations sur les risques liés aux problèmes opérationnels, aux fusions-acquisitions, aux licenciements, aux changements de direction, aux rappels de produits, aux enquêtes réglementaires/juridiques et aux notifications financières et de faillite sont autant d'éléments qualitatifs importants qui enrichissent le processus VRM.

Consultez le guide des meilleures pratiques pour approfondir chacune de ces sources d'informations.

Avec les informations adéquates, vous pouvez aider les fournisseurs à nettoyer leurs empreintes open source et à combler les failles de sécurité dans leurs processus internes. Le processus est similaire à celui qui consiste à améliorer votre dossier de crédit avant de demander un prêt immobilier.

---

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.