Note de la rédaction : cet article, rédigé par Brad Hibbert, directeur de l'exploitation et directeur de la sécurité chez Prevalent, a été initialement publié sur www.sdcexec.com.

Chaque jour, les fils d'actualité regorgent d'exemples de violations de données tierces ayant de graves répercussions financières tant pour les entreprises que pour les consommateurs. Inévitablement, ces violations attirent l'attention des organismes de réglementation gouvernementaux, qui proposent chacun leur propre version des meilleures pratiques et des contrôles obligatoires afin d'empêcher que de telles violations ne se reproduisent (ou, à tout le moins, d'en minimiser l'impact).

Pourtant, malgré la fréquence des violations commises par des tiers et toutes les « aides » réglementaires dont vous pourriez rêver, les organisations ont toujours du mal à maîtriser les risques liés aux tiers. Examinons pourquoi et comment les organisations peuvent gérer les risques liés aux tiers avec des résultats significatifs.

Les réglementations ne manquent pas

Voici quelques-uns des régimes réglementaires les plus actifs au niveau sectoriel, régional et non informatique, qui comportent des dispositions spécifiques visant à améliorer la gouvernance des entreprises en matière de relations avec des tiers.

Au niveau de l'industrie

Le secteur des services financiers et bancaires est à l'avant-garde en matière d'exigences imposées aux organisations pour qu'elles exercent une gouvernance sur leurs relations avec des tiers. Citons par exemple les réglementations de l'Office of the Comptroller of the Currency (OCC), du Federal Financial Institutions Examination Council (FFIEC), de la Prudential Regulation Authority et de la Financial Conduct Authority (FCA) au Royaume-Uni, ainsi que de l'Autorité bancaire européenne. Même dans ce domaine mature, de nouvelles exigences visant à harmoniser les exigences apparaissent ; les directives interagences en sont un exemple.

Régional

Une autre couche de réglementation est régionale. Spécifique aux organisations qui exercent leurs activités dans ces zones géographiques, le Royaume-Uni dispose des exigences tierces du National Cyber Security Center (NCSC). L'UE dispose du RGPD pour régir la gouvernance des données tierces. Singapour dispose de l'Autorité monétaire et de la loi sur la protection des données personnelles (PDPA).

Non informatique

Bien que les violations commises par des tiers fassent la une des journaux, les régulateurs s'intéressent à des questions importantes telles que l'impact de l'écosystème de la chaîne d'approvisionnement d'une entreprise sur le changement climatique, sa vulnérabilité à la corruption et son recours éventuel au travail des enfants. La loi britannique sur l'esclavage moderne, la loi allemande sur la diligence raisonnable dans la chaîne d'approvisionnement et la directive européenne sur la responsabilité sociale des entreprises (CSRD) contiennent toutes des dispositions importantes exigeant la publication régulière de rapports et d'attestations à ce sujet.

5 raisons pour lesquelles les organisations continuent à rencontrer des difficultés

Malgré toute cette attention, pourquoi les organisations ont-elles tant de mal à maîtriser les risques liés aux tiers ? Il y a cinq raisons à cela.

1) C'est un sujet brûlant au sein de l'organisation.

Les données de l'étude TPRM 2022 de Prevalent ont montré que dans 50 % des organisations, la sécurité informatique est responsable du TPRM, tandis que 22 % des équipes d'approvisionnement en sont responsables. S'il n'y a pas de responsable clairement désigné, comment pouvez-vous vous assurer que tous les risques sont évalués et traités ?

2) Tableurs

La majorité des organisations utilisent encore des tableurs pour évaluer leurs tiers, et ce nombre ne cesse d'augmenter. Comment suivre tous ces fournisseurs dans un tableur, poser les bonnes questions, enregistrer les réponses et les noter de cette manière ?

3) Chaque fournisseur est unique

Une approche unique fonctionne rarement avec tous les fournisseurs, car ceux-ci interagissent généralement avec différents systèmes ou ensembles de données, ou fournissent des services dont la portée diffère de celle des autres. L'évaluation des fournisseurs représente une charge pour toute personne responsable de la gestion des risques liés aux fournisseurs (TPRM). Sans une certaine normalisation (par exemple, par rapport à un ensemble de principes de bonnes pratiques conformes aux normes du secteur), le chaos règne.

4) Le TPRM connaît des hauts et des bas en termes de ressources et de priorité, et il est difficile d'en mesurer les résultats.

Étant donné que la gestion des risques liés aux fournisseurs concerne autant les processus et les personnes que la technologie, il est difficile de justifier le budget nécessaire pour lui accorder la priorité. Si vous disposez de quelques responsables fournisseurs qui évaluent au moins les fournisseurs hautement prioritaires, vous avez fait le nécessaire, n'est-ce pas ?

5) Les mesures correctives sont rarement appliquées.

Il est déjà difficile de convaincre les fournisseurs de remplir un questionnaire et de fournir des preuves, alors imaginez leur demander d'agir. Mais voici le hic : si le fournisseur ne comble pas ses lacunes en matière de sécurité ou de conformité, celles-ci resteront exposées à l'exploitation. Votre organisation sera alors vulnérable aux attaques.

Que faire à ce sujet ?

Voici quatre mesures à prendre immédiatement pour faciliter le processus de déclaration réglementaire des risques liés aux tiers :

  1. Commencez par intégrer des examens des risques liés aux tiers, des évaluations et des droits d'audit dans vos contrats avec les fournisseurs. Définissez des accords de niveau de service (SLA) pour les réponses et des directives spécifiques pour les preuves, les attestations et les rapports, sinon vous courrez après votre queue tandis que les régulateurs vous mettront la pression.
  2. Mettez en place un système unique qui rassemble vos équipes internes autour d'une seule version de la vérité, une base de données tierce unique. Cela vous permettra de profiler et de classer de manière centralisée les tiers et de fixer des objectifs de réduction des risques à long terme pour votre programme.
  3. Créez un processus standard d'évaluation et de surveillance continue afin de pouvoir comparer efficacement les différents fournisseurs. Impliquez les parties prenantes, telles que les services achats et juridique, afin de définir la portée et la fréquence des évaluations. Ce processus permettra également de mettre en place un meilleur cadre de réponse si votre organisation (ou un tiers) est victime d'une violation ou d'une autre perturbation.
  4. Obtenez de l'aide pour la remédiation. Une fois que vous avez compris l'étendue des risques liés aux tiers et défini le volume et les objectifs du programme, recherchez des fournisseurs de technologies et/ou des services gérés qui vous aideront à respecter vos délais et à atteindre vos objectifs. De telles solutions peuvent vous aider à mener à bien vos efforts en matière de TPRM et à régler tous les détails restants d'un point de vue réglementaire.

Les efforts de gestion des risques liés aux tiers peuvent porter leurs fruits. Progressez progressivement vers l'amélioration de la gouvernance des tiers en suivant ces étapes. Votre équipe vous en sera reconnaissante, et les régulateurs, eh bien, ils resteront des régulateurs.

Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.