Note de la rédaction : cet article, rédigé par Alastair Parr, vice-président senior, Produits et services mondiaux, a été initialement publié dans Cybersecurity Insiders.
Pour les entreprises, la gestion des différents risques liés aux relations avec des tiers est devenue une fonction essentielle de l'organisation et une question de conformité à la loi. Cependant, les organisations sont encore en train de déterminer les aspects les plus essentiels d'un programme efficace de gestion des risques liés aux tiers (TPRM).
L'un des piliers de tout programme efficace est le questionnaire d'évaluation des risques liés aux fournisseurs, un document créé pour évaluer les risques associés aux fournisseurs et aux partenaires commerciaux, ainsi qu'aux partenaires avec lesquels ils font affaire.
Pour évaluer les risques liés aux tiers, les organisations doivent recueillir autant d'informations que possible sur leurs partenaires et fournisseurs. Le questionnaire permet de détecter les faiblesses potentielles de leurs pratiques en matière de sécurité, de confidentialité et de conformité en évaluant leurs politiques, leurs contrôles et les preuves à l'appui de ces contrôles.
L'évaluation et l'atténuation des risques commencent par la collecte d'informations. Le questionnaire est essentiel pour obtenir une vision approfondie et fiable de la posture de sécurité d'un fournisseur. Il aide les entreprises à répondre à des questions cruciales, telles que :
- Ce fournisseur dispose-t-il de contrôles des risques acceptables ?
- Y a-t-il des risques liés à ce fournisseur qui nécessitent des mesures correctives ?
- Existe-t-il des contrôles compensatoires pour les risques identifiés ?
Les questionnaires ne sont peut-être qu'une pièce du puzzle TPRM, mais ils constituent un mécanisme extrêmement utile pour obtenir une perspective interne détaillée des risques liés aux tiers.
Choisir le bon questionnaire
Seules certaines organisations disposent du temps, des ressources ou de l'expertise nécessaires pour créer de toutes pièces des questionnaires d'évaluation TPRM. C'est pourquoi beaucoup choisissent un modèle standard, par exemple le questionnaire SIG (Standard Information Gathering) ou le questionnaire H-ISAC (pour les organisations du secteur de la santé). Ces modèles constituent un bon point de départ, car ils s'appuient sur des cadres établis et abordent des domaines critiques tels que la sécurité des données, la résilience opérationnelle et la conformité à la législation.
Bien que ces questionnaires varient, beaucoup comprennent les éléments de base suivants :
- Politiques des fournisseurs en matière de protection des données.
- Respect des normes, lois et réglementations.
- Gestion des accès, confidentialité des informations, réponse aux incidents et autres contrôles de sécurité.
- Mesures de sécurité liées à l'infrastructure numérique et physique.
Un autre avantage des questionnaires standardisés réside dans le fait que les fournisseurs, qui répondront aux questions, sont probablement déjà familiarisés avec ce type de questions et seront prêts à fournir des réponses détaillées. Au lieu de se contenter d'une approche standardisée qui accompagne souvent l'utilisation de modèles, les organisations devraient adapter ces modèles aux besoins spécifiques de leur activité, en les ajustant si nécessaire en fonction de la tolérance au risque, du secteur d'activité et des exigences réglementaires. Cela garantit que le questionnaire permettra de recueillir des informations pertinentes, précises et opportunes.
Cependant, comme la plupart des éléments importants dans le monde des affaires, les questionnaires qui aident une organisation à évaluer les risques comportent leur lot de défis.
Les questionnaires et leurs défis
Les organisations doivent surmonter une série de défis pour que les questionnaires d'évaluation des risques atteignent leur plein potentiel. Les questionnaires peuvent, par exemple, être :
Travail intensif : remplir un questionnaire peut prendre beaucoup de temps, surtout si une organisation compte de nombreux fournisseurs. La création, la distribution et l'analyse des questionnaires d'évaluation des risques nécessitent des ressources et une expertise spécifiques.
Un instantané, pas un film : les questionnaires de sécurité offrent un aperçu limité du profil de sécurité d'un fournisseur à un moment donné. Cependant, la nature des risques évolue constamment et de nouvelles vulnérabilités peuvent apparaître après qu'un questionnaire a été rempli et classé.
Complexité de la chaîne d'approvisionnement : l'interconnexion des chaînes d'approvisionnement oblige les organisations à évaluer les risques associés aux fournisseurs tiers et quatrièmes. Cela ajoute à la complexité du processus de gestion des risques.
Fatigue des fournisseurs : les fournisseurs peuvent retarder ou déprioriser le remplissage de ces questionnaires, car ils peuvent être fatigués d'en remplir autant. Cela peut ralentir le calendrier d'évaluation de leurs risques.
Pour lutter contre cette lassitude, les organisations peuvent rationaliser les questionnaires à l'aide de programmes d'IA qui remplissent automatiquement un nouveau questionnaire en s'inspirant d'un ancien ou en extrayant des informations de sources telles que les rapports SOC2 ou les déclarations d'applicabilité ISO. Adapter les questionnaires au rôle spécifique du fournisseur peut également alléger la charge de travail et renforcer l'engagement. Et l'utilisation d'un flux de travail automatisé pour les suivis peut alléger davantage la charge de travail.
Comment tirer le meilleur parti des questionnaires
Une fois qu'une organisation a surmonté les défis et créé un questionnaire solide pour la gestion des risques, il est temps de le mettre en pratique. Vous trouverez ci-dessous des conseils pour en tirer le meilleur parti :
Évitez de vous contenter d'un questionnaire fixe et rigide. Ne tombez pas dans le piège de la « paralysie analytique » en essayant de créer un questionnaire parfait. L'approche « tout-en-un » ne suffit pas lorsqu'il s'agit de la nature dynamique du risque. Les informations commencent à devenir obsolètes dès que le questionnaire est rempli. Sachez donc que le maintien d'une connaissance et d'une conscience du risque en temps réel nécessite une évaluation continue.
Soyez prêt à personnaliser. Une organisation doit être en mesure d'importer ou de créer des éléments à examiner au fur et à mesure que le processus d'évaluation avance, ainsi que des options de personnalisation permettant d'ajouter des questions à mesure que des besoins plus spécifiques sont identifiés.
Réévaluez régulièrement les tiers. L'évaluation des risques doit être répétée régulièrement, en particulier si certains fournisseurs présentent des risques supplémentaires. La fréquence de ces réévaluations dépend de l'importance du fournisseur pour vos activités et de la sensibilité des données qu'il traite. Les organisations peuvent être amenées à réévaluer leurs fournisseurs chaque année, voire plus souvent dans les secteurs hautement réglementés, en fonction des exigences de conformité.
Dans notre monde numérique et connecté, les risques évoluent rapidement. La posture de sécurité d'un fournisseur peut donc facilement changer à mesure que de nouvelles vulnérabilités, incidents ou modifications des processus métier apparaissent. C'est pourquoi l'automatisation et la surveillance continue sont essentielles pour garder une longueur d'avance sur ces changements.
Prochaines étapes du processus
Un programme solide de gestion des risques liés aux tiers commence par un questionnaire d'évaluation des risques. Ces documents peuvent être associés à une surveillance de la sécurité en temps réel, à des produits automatisés de gestion des risques et à une surveillance continue des fournisseurs afin de gérer et d'atténuer les risques liés aux tiers de la manière la plus efficace possible.
Une combinaison adéquate d'outils et de stratégies aidera toute organisation à atténuer les risques liés à un vaste écosystème de fournisseurs, garantissant ainsi la sécurité de l'entreprise.
Les meilleures pratiques en matière de TPRM doivent toujours inclure l'utilisation d'une surveillance en temps réel pour évaluer en continu les performances des fournisseurs et valider l'efficacité des contrôles « sur le terrain », réévaluer régulièrement les fournisseurs afin de s'assurer que leurs mesures de sécurité sont toujours efficaces et personnaliser votre questionnaire afin de refléter les risques spécifiques à chaque fournisseur.
Cependant, tout programme TPRM efficace commence par quelque chose de plus simple : le questionnaire d'évaluation des risques.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
