Fournir un examen approfondi démontrant la conformité de tous les fournisseurs à tous les niveaux.
Chapitre un
Introduction
Communiquer efficacement les risques liés à la gestion des risques liés aux actifs financiers (TPRM) au conseil d'administration
Avec l'augmentation sans précédent des violations de données chez les fournisseurs et des perturbations dans la chaîne d'approvisionnement, les conseils d'administration et les dirigeants d'entreprise aspirent à une plus grande visibilité sur leurs écosystèmes tiers.
Le problème est que peu de professionnels de la sécurité et des risques savent comment communiquer efficacement les risques liés aux tiers. Ils s'appuient souvent sur des tableaux de bord complexes, techniques et ponctuels qui conduisent à la confusion et/ou au désengagement du conseil d'administration.
Comment les RSSI peuvent-ils communiquer efficacement les risques liés aux tiers au conseil d'administration ?
- Parlez le langage du conseil d'administration : le risque et son impact financier
- Fournir une vue concise et globale des indicateurs significatifs en temps quasi réel.
Cet eBook vous aidera à démarrer en :
- Clarifier la différence entre les KPI et les KRI
- Identification de quatre catégories d'indicateurs à mesurer
- Recommander 25 indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) à communiquer au conseil d'administration et à la direction.
- Révéler quels types de mesures sont les plus adaptés aux RSSI, aux dirigeants d'entreprise et au conseil d'administration
Chapitre deux
La différence entre les KPI et les KRI
Les deux sont tout aussi importants pour mesurer la triade personnes-processus-technologie.
Indicateurs clés de performance (KPI)
mesurer l'efficacité des fonctions et des processus.
Indicateurs clés de risque (KRI)
mesurer le niveau de risque auquel une organisation est exposée et déterminer les mesures à prendre pour y remédier.
Chapitre trois
Quatre catégories d'indicateurs clés
Pour la gestion des risques liés aux tiers, votre organisation doit évaluer quatre domaines. Chaque domaine comprend des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI).
Indicateurs de risque
| Indicateur clé de performance | Ce que cela signifie |
|---|---|
| Pourcentage de couverture de la base fournisseurs par niveau (1, 2, 3, 4) avec renseignements sur les menaces | Segmente la base de fournisseurs afin de fournir une compréhension globale de leur importance. |
| Pourcentage de fournisseurs ayant effectué une évaluation initiale des risques inhérents à leur intégration | Un faible pourcentage de fournisseurs dans cet indicateur clé de performance pourrait signifier que l'entreprise est exposée à des risques inconnus dès le début de la relation. |
| Nombre de fournisseurs ayant réussi/échoué à l'évaluation initiale des risques inhérents à l'intégration | Un nombre élevé de fournisseurs dans cet indicateur clé de performance fournit des indications sur ceux qui sont les plus risqués et qui nécessitent des évaluations des risques plus complètes et une surveillance continue. |
| Délai moyen pour réaliser les évaluations des fournisseurs | Un délai trop long pour réaliser les évaluations pourrait indiquer un désengagement des fournisseurs ou que l'évaluation est trop compliquée par rapport à leur niveau. |
| Indicateur clé de risque | Ce que cela signifie |
|---|---|
| Nombre d'incidents de sécurité de priorité 1 générés par la chaîne d'approvisionnement au cours du dernier trimestre | Il s'agit davantage d'un indicateur retardé. Si cet indicateur KRI affiche une tendance à la hausse, vous devrez peut-être élargir la portée de vos évaluations en matière de cybersécurité ou mettre en place une surveillance continue afin de rester informé des risques émergents. |
| Nombre de fournisseurs au sein de la chaîne d'approvisionnement présentant un score de risque élevé | Indicateur avancé, cet indice KRI vous permet de hiérarchiser les vérifications préalables sur les fournisseurs les plus risqués. |
| Nombre de fournisseurs qui présentent un risque élevé continu après une intégration réussie | Un nombre élevé indiquerait que les fournisseurs n'ont pas donné suite aux mesures correctives recommandées ; l'entreprise pourrait se tourner vers le contrat pour prendre des mesures coercitives, envisager des contrôles compensatoires ou accepter le risque. |
| Délai moyen pour réaliser les évaluations des fournisseurs | Aide à déterminer quels domaines de sécurité nécessitent des efforts supplémentaires en matière de diligence raisonnable et de surveillance, au-delà de l'ensemble de contrôles de base. |
| Risque résiduel (après application des contrôles) provenant de chaque catégorie de domaine de sécurité (par exemple, contrôle d'accès, gestion des actifs, sécurité physique, etc.) au sein de la chaîne d'approvisionnement. | Un niveau élevé de risque résiduel pourrait obliger l'entreprise à envisager des mesures compensatoires, à accepter le risque ou à chercher à se retirer du contrat. |
Indicateurs de menace
| Indicateur clé de performance | Ce que cela signifie |
|---|---|
| Pourcentage de couverture de la base fournisseurs par niveau (1, 2, 3, 4) avec renseignements sur les menaces | Un faible pourcentage de fournisseurs de premier rang (par exemple, de niveau 1) surveillés par les services de renseignements sur les menaces signifie que certains de vos fournisseurs les plus importants ne font l'objet que d'évaluations périodiques (par exemple, annuelles), ce qui crée un écart risqué dans les informations disponibles sur les fournisseurs. |
| Délai moyen d'intervention (MTTA) pour le responsable des risques après le déclenchement d'une alerte de menace | Un MTTA élevé pourrait indiquer que le responsable des risques est submergé par le bruit, ce qui rend difficile l'identification des événements nécessitant une enquête. Il pourrait également s'agir d'un manque de compétences ou d'une menace complexe à enquêter. |
| Précision de la source d'informations sur les menaces, mesurée par le nombre de faux positifs/nombre d'alertes (exprimé en %) | Un pourcentage élevé de faux positifs nécessiterait un ajustement du seuil d'alerte ou une enquête plus approfondie sur la source d'informations sur les menaces. |
| Indicateur clé de risque | Ce que cela signifie |
|---|---|
| Différence en pourcentage entre l'auto-attestation du fournisseur et les menaces basées sur des sources de renseignement | Un pourcentage élevé de conclusions des services de renseignement en contradiction avec les réponses fournies dans l'évaluation pourrait indiquer que le fournisseur ne répond pas de manière précise à ses évaluations. Cela pourrait entraîner une réévaluation ou une évaluation complémentaire nécessitant des preuves supplémentaires. |
| Nombre de fournisseurs de niveau (1, 2, 3, 4) présentant des indicateurs actifs de menace « élevée » | Un nombre élevé pourrait indiquer que votre base de fournisseurs est vulnérable aux cyberattaques ou fait l'objet d'attaques actives. Recommandez des évaluations supplémentaires ciblées des risques afin de mesurer l'efficacité des contrôles internes des fournisseurs pour résister à de telles attaques. |
| Temps moyen de résolution (MTTR) pour les indicateurs de menace de niveau (1, 2, 3, 4) | Tout comme l'indicateur MTTA ci-dessus, un MTTR élevé peut indiquer un manque de compétences ou une menace complexe à analyser. Un MTTR élevé peut nécessiter le recours à des spécialistes en sécurité externes ou une révision des contrats des fournisseurs afin de s'assurer qu'ils suivent les procédures appropriées pour atténuer les menaces. |
Indicateurs de conformité
| Indicateur clé de performance | Ce que cela signifie |
|---|---|
| Nombre de fournisseurs classés comme relevant du champ d'application d'un programme de conformité (par exemple, SOX, PCI, RGPD) | Un nombre élevé de fournisseurs nécessitant des évaluations de conformité spécifiques montrera à quel point il convient d'accorder une attention particulière à la réglementation en question, par exemple en matière de confidentialité des données. |
| Qualité des déclarations de conformité des fournisseurs par niveau (1, 2, 3, 4) | Un pourcentage élevé de questions sans réponse ou mal répondues (par exemple, de mauvaise qualité) peut allonger les délais d'évaluation et de correction. Peut nécessiter des évaluations supplémentaires exigeant des preuves spécifiques ou la validation des contrôles par un auditeur externe. |
| Indicateur clé de risque | Ce que cela signifie |
|---|---|
| Nombre de fournisseurs hors niveau 1 soumis à des obligations de conformité | Les fournisseurs de niveau 1 font généralement l'objet d'un contrôle plus rigoureux, mais un grand nombre de fournisseurs autres que ceux de niveau 1 soumis à des obligations de conformité peuvent nécessiter des évaluations réglementaires supplémentaires afin de mesurer leur adhésion aux exigences. |
| Nombre de fournisseurs à tous les niveaux présentant des lacunes importantes en matière de renseignements sur les menaces ou de contrôle qui ne font pas l'objet d'une gestion efficace. | Un chiffre élevé indique un niveau de risque élevé. Les lacunes en matière de contrôle et les conclusions relatives aux menaces doivent être traitées en fonction des priorités et des seuils de tolérance au risque. |
Indicateurs de couverture
| Indicateur clé de performance | Ce que cela signifie |
|---|---|
| Couverture en % de la chaîne d'approvisionnement à l'échelle mondiale | Un faible pourcentage de fournisseurs activement gérés, évalués ou contrôlés par les organisations indique un niveau de risque plus élevé auquel l'entreprise est exposée. Tous les fournisseurs doivent être classés, catégorisés et gérés en conséquence. |
| Nombre de fournisseurs recevant des paiements qui n'ont pas encore été intégrés | Un chiffre élevé ici indique un manquement dans le processus de diligence raisonnable des fournisseurs (ou l'absence totale de processus). Sans une intégration adéquate, incluant une évaluation des risques inhérents, l'entreprise s'expose à des risques sécuritaires, opérationnels, contractuels et financiers. |
| Délai moyen d'intégration (MTTO) – temps écoulé entre l'engagement et la fin de l'évaluation initiale des risques liés à la diligence raisonnable pour un nouveau fournisseur. | Si l'évaluation d'intégration d'un nouveau fournisseur prend peu de temps, cela peut signifier que le questionnaire n'est pas assez complet et que vous passez à côté d'indicateurs de risque importants. À l'inverse, si la diligence raisonnable initiale prend beaucoup de temps, cela peut indiquer que l'évaluation est trop complexe. Passez en revue l'évaluation afin de vous assurer que les informations pertinentes sont bien recueillies pour déterminer la place du fournisseur dans le cycle de vie des tiers. |
Chapitre quatre
Partager les bons indicateurs avec les bonnes parties prenantes
Utilisez ces conseils pour présenter les bons indicateurs aux bonnes parties prenantes.
RSSI
-
-
Présentez une analyse approfondie des renseignements sur les menaces détaillant les risques inhérents et résiduels pour chaque fournisseur à tous les niveaux.
-
Donner la priorité aux plans d'action et de remédiation pour tous les problèmes identifiés.
Affaires
-
Présentez aux utilisateurs professionnels une analyse des menaces/risques en temps quasi réel pour leurs fournisseurs.
-
Mener des analyses approfondies proactives pour les fournisseurs de niveau 1 et les fournisseurs critiques de niveau 2 afin d'améliorer les relations avec les fournisseurs.
-
Définir un plan d'action clair pour remédier aux problèmes identifiés et les résoudre tous les problèmes identifiés
Conseil d'administration
-
Présenter une vue consolidée de l'exposition actuelle au risque de l'organisation provenant de la chaîne d'approvisionnement.
-
Communiquer l'état actuel des fournisseurs essentiels qui soutiennent les efforts majeurs de l'entreprise.
-
Afficher les risques inhérents et résiduels provenant des sources de renseignements sur les menaces afin de démontrer les progrès réalisés dans la réduction des risques au fil du temps.
-
Identifier les domaines dans lesquels le soutien de la direction est nécessaire
Chapitre cinq
Introduction aux indicateurs clés de performance (KPI) et aux indicateurs clés de risque (KRI) pour la gestion des risques liés aux tiers.
Pour réduire efficacement les risques liés aux tiers, il est nécessaire de comprendre comment les personnes, les processus et les technologies fonctionnent par rapport aux attentes. Cependant, les produits traditionnels de gestion des risques liés aux fournisseurs ne sont pas en mesure d'offrir la visibilité nécessaire pour gérer et suivre les performances et les risques tout au long du cycle de vie des fournisseurs.
Mitratech peut aider à simplifier la mesure des risques et de l'efficacité des programmes en :
- Identification des indicateurs clés de performance (KPI) et des indicateurs clés de risque (KRI) à gérer tout au long du cycle de vie du fournisseur dans le cadre du processus initial de passation de marché.
- Détection des exceptions de seuil et envoi d'alertes
- Fournir des conseils en matière de remédiation et suivre le processus de résolution
- Fourniture de rapports personnalisables pour plusieurs parties prenantes
Téléchargez notre guide des indicateurs TPRM pour commencer à personnaliser les KPI et les KRI de votre programme.
Vous avez un projet en tête ?
Contactez notre équipe d'experts pour découvrir comment Mitratech peut vous aider à rationaliser et à adapter votre gestion des risques fournisseurs.
Demander une démonstration
©2026 Mitratech, Inc. Tous droits réservés.
©2026 Mitratech, Inc. Tous droits réservés.