La gestion du risque fournisseur (VRM) est le processus d'identification, d'évaluation et d'atténuation des risques associés à l'engagement de vendeurs ou de fournisseurs tiers qui fournissent des biens ou des services à une organisation. La gestion du risque fournisseur est un aspect important de la gestion des risques de l'entreprise, car les fournisseurs peuvent introduire des risques susceptibles d'avoir un impact négatif sur les opérations, la réputation ou la conformité d'une organisation. Les activités de VRM doivent être menées à tous les stades du cycle de vie du fournisseur, y compris la recherche et la sélection, l'accueil et l'intégration, l'évaluation des risques inhérents, l'évaluation des risques et la remédiation, la surveillance continue des risques, la gestion des performances et des accords de niveau de service, ainsi que l'abandon et la résiliation des contrats.
La gestion des risques liés aux fournisseurs est importante pour plusieurs raisons :
De nombreuses organisations dépendent de fournisseurs externes pour des services, des produits ou des composants critiques. Toute perturbation ou défaillance dans les activités du fournisseur peut avoir une incidence directe sur la capacité de l'organisation à fournir ses propres produits ou services. La gestion des risques liés aux fournisseurs permet d'identifier et d'atténuer les risques potentiels associés à ces dépendances.
Les fournisseurs ont souvent accès à des données ou à des systèmes sensibles de l'organisation. Des mesures de sécurité inadéquates ou des violations de données chez le fournisseur peuvent compromettre des informations précieuses, y compris des données clients. La gestion des risques liés aux fournisseurs permet d'évaluer leurs pratiques en matière de sécurité et de s'assurer qu'ils ont mis en place des mesures solides pour protéger les données.
Les organisations sont soumises à diverses exigences réglementaires, telles que les lois sur la protection des données ou les réglementations sectorielles. Les fournisseurs qui traitent des données ou des processus réglementés doivent également se conformer à ces exigences. Une gestion efficace des risques liés aux fournisseurs permet de s'assurer que ces derniers respectent les réglementations en vigueur, réduisant ainsi l'exposition de l'organisation à des manquements en matière de conformité et aux sanctions qui en découlent.
Les fournisseurs jouent un rôle crucial dans le maintien de la continuité des activités. Si un fournisseur subit des perturbations, telles que des catastrophes naturelles, une instabilité financière ou des défaillances opérationnelles, cela peut avoir un impact sur les activités de l'organisation. La gestion des risques liés aux fournisseurs permet d'identifier les vulnérabilités potentielles et d'établir des plans d'urgence pour atténuer l'impact des perturbations liées aux fournisseurs.
Les actions ou les échecs d'un fournisseur peuvent avoir un impact significatif sur la réputation et l'image de marque d'une organisation. Par exemple, si un fournisseur est impliqué dans des pratiques contraires à l'éthique, des violations de l'environnement ou des controverses publiques, cela peut donner une mauvaise image de l'organisation qui s'est associée à lui. La gestion du risque fournisseur permet d'évaluer la réputation du fournisseur, de garantir l'alignement sur les valeurs de l'organisation et de protéger son image de marque.
Une gestion efficace des risques liés aux fournisseurs permet aux organisations d'évaluer la stabilité financière et les performances des fournisseurs. En évaluant les capacités des fournisseurs, les organisations peuvent prendre des décisions éclairées sur les fournisseurs avec lesquels elles souhaitent s'engager, négocier des conditions favorables et éviter des pertes financières potentielles ou des performances insuffisantes.
Globalement, la gestion des risques liés aux fournisseurs permet aux organisations d'identifier et de traiter de manière proactive les risques associés aux relations avec les fournisseurs, de protéger leurs opérations, leur réputation, leurs données et leur conformité, tout en optimisant les coûts et en garantissant la continuité des activités.
Un programme de gestion des risques liés aux fournisseurs peut permettre à votre organisation de faire face à un large éventail de menaces et de risques :
La cybersécurité est essentielle dans l'évaluation des fournisseurs. Les ransomwares, les attaques par déni de service distribué et d'autres attaques peuvent paralyser votre organisation et l'empêcher de remplir ses obligations commerciales. Selon les dernières recherches d'IBM, près de 25 % de toutes les violations de données ont été causées par des ransomwares ou des attaques malveillantes sur cyber qui ont rendu les systèmes de l'organisation inopérants.
La plupart des organisations sont soumises à une myriade d'exigences réglementaires en constante évolution concernant la protection des données et des systèmes sensibles. Bon nombre de ces réglementations, notamment la loi HIPAA, la loi californienne sur la protection de la vie privée des consommateurs (CCPA), la loi SHIELD de New York et le règlement général européen sur la protection des données (GDPR), exigent des organisations qu'elles protègent les informations privées de leurs consommateurs, de leurs clients et de leurs employés. D'autres réglementations concernent la protection des informations financières non publiques. Les violations peuvent entraîner des amendes et des atteintes à la réputation.
Les équipes chargées des achats doivent avoir une visibilité sur la stabilité financière de leurs fournisseurs tiers, notamment sur les dettes qu'ils ont contractées et sur les crédits qu'ils accordent à leurs clients. Une déclaration de faillite peut entraîner une perte d'activité et des perturbations de la chaîne d'approvisionnement.
Les préoccupations des investisseurs concernant les pratiques environnementales, sociales et de gouvernance(ESG) ne cessent de croître. Par exemple, à la suite de l 'invasion de l'Ukraine par la Russie, il est devenu désagréable pour de nombreuses entreprises de faire des affaires avec des sociétés affiliées au gouvernement russe. Les organisations doivent également se protéger contre les accusations selon lesquelles leur chaîne d'approvisionnement est impliquée dans des violations des droits de l'homme, fait appel au travail des enfants ou cause des dommages à l'environnement.
Une couverture médiatique défavorable ou des nouvelles négatives concernant un fournisseur peuvent nuire à la réputation de ses clients. Cela peut se produire lorsque le fournisseur est impliqué dans des pratiques d'embauche contraires à l'éthique, dans des problèmes de qualité de ses produits, dans des activités criminelles ou dans des catastrophes environnementales.
Naviguer dans le cycle de vie du risque fournisseur : les clés du succès
Ce guide gratuit détaille les meilleures pratiques pour gérer avec succès les risques tout au long du cycle de vie des fournisseurs. Découvrez ce que nous avons appris au cours de nos 20 années d'expérience avec des centaines de clients.
L'élaboration d'un programme efficace de gestion des risques liés aux fournisseurs peut être un processus complexe qui nécessite une planification et une exécution minutieuses. Voici neuf défis auxquels votre organisation peut être confrontée lors de l'élaboration d'un programme de gestion des risques liés aux fournisseurs :
L'un des principaux défis consiste à identifier les fournisseurs tiers avec lesquels votre organisation traite, car ces fournisseurs peuvent être répartis dans différents départements et fonctions.
Une fois les fournisseurs identifiés, l'évaluation de leur risque peut s'avérer complexe et chronophage, en particulier si votre organisation utilise des feuilles de calcul ou d'autres méthodes manuelles pour recueillir et suivre les réponses.
Pour prendre des décisions plus éclairées en matière d'atténuation des risques, il est important de définir les niveaux de tolérance au risque de votre organisation et d'établir des seuils d'exposition aux risques des tiers. Une approche structurée de la hiérarchisation et de la catégorisation des fournisseurs est essentielle à cet égard.
Veillez à mettre en place de solides procédures de diligence raisonnable à l'égard des fournisseurs. Celles-ci doivent porter sur une série de sujets tels que la stabilité financière, la conformité et la cybersécurité.
Il est important de s'assurer que les fournisseurs respectent les termes de leurs contrats, notamment en ce qui concerne les exigences de sécurité et de conformité.
Veillez à contrôler en permanence les performances du fournisseur et les accords de niveau de service afin de vous assurer que les niveaux de service sont respectés et d'identifier tout problème éventuel.
Il peut être difficile de suivre l'évolution des exigences réglementaires, car la gestion des risques liés aux fournisseurs est un facteur clé dans de nombreux cadres de cybersécurité, directives sectorielles, lois sur la confidentialité des données et réglementations ESG.
La mise en place d'un programme efficace de gestion des risques liés aux fournisseurs nécessite l'adhésion et le soutien de la direction, ce qui peut parfois s'avérer difficile à obtenir.
Pour être efficaces, les programmes de gestion des risques liés aux fournisseurs nécessitent une collaboration entre plusieurs services, notamment la sécurité informatique, la gestion des risques, les achats, la confidentialité des données, le service juridique et la conformité.
Être en "mode réactif" est épuisant, inefficace et stressant - et c'est particulièrement risqué lorsque votre charge de travail s'alourdit. La gestion du risque fournisseur (VRM) n'est pas différente : un programme de VRM réactif qui réagit au risque fournisseur au lieu de le gérer de manière proactive met votre organisation en danger de violation de données, de violation de la vie privée et d'infraction à la conformité réglementaire.
C'est pourquoi il est important de disposer d'un processus clair pour gérer de manière proactive les risques liés aux tiers ( cyber ) et à la continuité des activités qui apparaissent inévitablement tout au long du cycle de vie de la relation avec le fournisseur.
Depuis plus de 15 ans que nous travaillons avec des milliers de clients et de fournisseurs, nous avons développé 8 bonnes pratiques pour mettre en place un programme de gestion des risques fournisseurs (VRM) plus proactif.
Voici un aperçu de certaines de ces pratiques et de la manière dont elles peuvent faciliter la gestion des risques liés aux fournisseurs :
Vous devez prendre plusieurs décisions avant de lancer un programme de gestion des risques liés aux fournisseurs. Les services de conseil d' experts peuvent aider à définir les paramètres du programme. L'étape suivante consiste à prendre le contrôle de vos fournisseurs tiers, à les intégrer et à identifier leurs risques inhérents.
Les décisions clés à cette étape comprennent :
Lorsque vous vous adressez pour la première fois à des fournisseurs potentiels de solutions VRM, assurez-vous qu'ils proposent plusieurs mécanismes d'intégration des vendeurs, des fournisseurs et des autres tiers. Cela peut inclure l'exécution de tâches d'intégration pour le compte de votre équipe.
Veillez également à ce que leur méthodologie de classement des fournisseurs et d'évaluation des risques liés aux fournisseurs ne se limite pas à des questions superficielles. Par exemple, vous voudrez peut-être qu'elle inclue également des considérations financières et relatives à la chaîne d'approvisionnement. Lisez notre guide des meilleures pratiques pour obtenir une description complète de ces attributs.
La prochaine étape d'une gestion proactive du risque fournisseur consiste à ne plus utiliser de feuilles de calcul pour l'évaluation du risque fournisseur. Bien sûr, vous avez toujours besoin d'un moyen de recueillir des preuves des contrôles de sécurité et d'effectuer des examens de diligence raisonnable conformément aux normes et aux exigences de conformité de votre entreprise. Heureusement, vous pouvez automatiser ce processus et éliminer les tâches d'évaluation redondantes et pénibles qui entraînent souvent des erreurs et des risques.
La collecte et l'examen de la diligence raisonnable peuvent prendre de nombreuses formes. Par exemple, vous pouvez gérer vous-même le processus d'évaluation, accéder à une bibliothèque de questionnaires remplis ou externaliser la collecte auprès d'un partenaire. En fait, nous constatons que de nombreuses entreprises gèrent avec succès les risques grâce à un modèle hybride qui fait appel à différentes approches pour différents niveaux de fournisseurs.
Les décisions clés à cette étape comprennent :
Comme pour l'étape 1, assurez-vous que votre fournisseur de solutions de GRV est flexible en termes de disponibilité des questionnaires et de méthodes de collecte. Vous ne voulez probablement pas être enfermé dans un seul questionnaire rigide qui ne peut pas être personnalisé. Vous ne voulez pas non plus être obligé de collecter la diligence raisonnable par vous-même, surtout si vous manquez de personnel.
L'étape suivante de l'élaboration de votre cadre de gestion des risques liés aux fournisseurs consiste à valider les évaluations des tiers à l'aide d' informations externes sur la cybersécurité et les risques commerciaux. Si les évaluations périodiques sont essentielles pour comprendre comment les fournisseurs gèrent leurs programmes de sécurité de l'information et de protection de la vie privée à un moment donné, beaucoup de choses peuvent arriver à un fournisseur entre deux évaluations ! C'est là que la surveillance continue peut s'avérer utile.
De nombreuses organisations échouent ici. Trop d'entre elles adoptent une vision étroite et qualitative des risques liés aux fournisseurs et ignorent des informations plus qualitatives. Lorsqu'elles sont combinées et corrélées, la cybersécurité et la surveillance de l'activité fournissent une vision plus complète du risque fournisseur. Cette vision "extérieure" vous donne un avantage pour saisir l'impact potentiel du risque fournisseur. Elle complète également vos évaluations "internes" afin d'obtenir un score de risque plus précis et mieux informé. Mais sur quels types d'informations de surveillance devez-vous vous concentrer ?
Lisez le guide des bonnes pratiques pour approfondir chacune de ces sources de renseignements.
Avec les bons renseignements, vous pouvez aider les fournisseurs à nettoyer leurs empreintes de logiciels libres et à combler les lacunes de sécurité dans leurs processus internes. Le processus est similaire au polissage de votre rapport de crédit avant de demander un prêt immobilier.
Évaluation des risques liés aux fournisseurs : Le Guide Définitif
Téléchargez ce guide de 18 pages pour obtenir des conseils complets sur la manière de mener et de mettre en œuvre des évaluations des risques liés aux fournisseurs au sein de votre organisation.
Vient maintenant la partie la plus difficile : remédier aux risques ! Les principaux éléments à prendre en compte à ce stade sont les suivants :
Votre équipe dispose-t-elle de l'expertise nécessaire pour recommander des mesures correctives en cas d'échec des contrôles ? Serait-il utile de déclencher automatiquement des mesures correctives prédéfinies lorsque les évaluations mettent en évidence des risques spécifiques ?
Comment prévoyez-vous de projeter le risque futur (par exemple, le risque résiduel) dans le temps après l'application ou l'exécution des mesures correctives ? Ce point sera important pour les rapports du conseil d'administration.
Comment allez-vous démontrer la conformité d'un fournisseur à un cadre réglementaire ou sectoriel spécifique ? (Conseil : recherchez des solutions qui fournissent des mesures de " pourcentage de conformité " par rapport à plusieurs réglementations).
Comment allez-vous atténuer les menaces cachées qui ne sont pas révélées par les réponses de l'évaluation ? (N'oubliez pas de demander si votre solution de VRM inclut l'apprentissage automatique pour analyser les données et révéler les tendances cachées).
L'étape finale de l'évolution vers un GRV plus proactif consiste à intégrer une automatisation continue et intelligente à votre programme sur le long terme. Il s'agit notamment de tirer parti de solutions capables d'évaluer, de surveiller et d'éliminer les risques liés aux fournisseurs de manière proactive et continue. Mais à quoi ressemble une automatisation continue et intelligente ?
L'un des moyens de parvenir à un modèle d'évaluation plus continu et moins réactif est de permettre à cyber et à l'intelligence de surveillance de l'entreprise en temps réel d'informer votre calendrier d'évaluation. Avec les bonnes règles en place, vous pouvez corréler les vulnérabilités d'un fournisseur, les brèches ou les fuites d'informations d'identification sur le dark web avec les réponses d'évaluation qui révèlent une gestion des mots de passe ou des pratiques de gestion des correctifs insuffisantes. Vous pouvez ensuite utiliser ces résultats pour déclencher des évaluations. Ce niveau d'automatisation permet de boucler la boucle du risque tiers et de transformer les évaluations ponctuelles en une surveillance continue du risque fournisseur.
Pour prendre des décisions éclairées et fondées sur les risques, il faut consommer et normaliser des données provenant de plusieurs sources. Vous trouverez dans notre guide des bonnes pratiques un diagramme illustrant les données généralement nécessaires pour prendre des décisions fondées sur les risques. En voici quelques-unes :
Les sources publiques et privées, les renseignements sur les risques liés aux fournisseurs et les intégrations technologiques peuvent fournir des informations quantitatives et qualitatives sur les risques de sécurité informatique, les problèmes financiers et d'autres indicateurs de la santé commerciale d'un fournisseur ( cyber ).
La communauté des fournisseurs, les évaluations réalisées et les partenariats industriels jouent également un rôle. Ils fournissent de la documentation et des informations provenant des membres ou de la foule, qui peuvent donner un aperçu des risques que posent les fournisseurs dans des secteurs spécifiques.
La veille réglementaire donne un aperçu des défaillances de contrôle dans les secteurs réglementés et peut aider à anticiper les mesures correctives nécessaires pour réduire le risque résiduel d'un fournisseur.
Une façon de parvenir à un programme plus automatisé est de tirer parti des capacités de déclenchement des actions de réponse aux risques sur la base de critères "Si ceci, alors cela" pour des entités et des risques spécifiques. Les règles doivent automatiser un large éventail de tâches d'accueil, d'évaluation et de révision. Elles peuvent inclure la mise à jour des profils des fournisseurs et des attributs de risque, l'envoi de notifications et/ou l'activation de flux de travail. Elles doivent également être exécutées en permanence pour mettre à jour l'environnement VRM à mesure que de nouveaux événements et risques apparaissent.
La situation géopolitique de plus en plus tendue peut également faire peser des risques substantiels sur les programmes de gestion des risques liés aux fournisseurs. Évaluez vos fournisseurs en fonction l'endroit où ils exercent leurs activités. Les fournisseurs dont les activités sont fortement concentrées dans des pays ayant un mauvais bilan en matière de droits de l'homme et d'ESG peuvent se mettre en danger et mettre en danger les services qu'ils proposent à votre organisation. Des droits de douane soudains ou un embargo pourraient réduire considérablement les recettes et entraîner un risque pour les performances du fournisseur, voire sa faillite.
De même, les organisations qui font des affaires importantes ou hébergent des données dans des pays qui n'ont pas de lois explicites concernant la confidentialité des données peuvent mettre les données de votre organisation en danger en raison du partage obligatoire avec les entités gouvernementales du pays d'accueil. Voici quelques questions qu'il convient de poser aux fournisseurs actuels et aux futurs fournisseurs potentiels au cours de votre processus de recherche et de sélection :
Le fournisseur a-t-il des activités commerciales importantes ou héberge-t-il des données dans des pays qui ne disposent pas de lois et de réglementations claires concernant le partage des données entre les entités du secteur public et du secteur privé ?
Le fournisseur exerce-t-il ses activités dans des pays dont le bilan en matière de droits de l'homme, de liberté politique ou de dégradation de l'environnement est médiocre ? Dans l'affirmative, ses activités sont-elles suffisamment importantes pour provoquer des perturbations en cas d'embargo sur ce pays ?
Le vendeur exerce-t-il ses activités dans un pays dont le territoire est contesté ou qui est le théâtre d'une insurrection violente ?
eBook : 25 KPI et KRI pour la gestion des risques liés aux tiers
Les 25 KPI et KRI les plus importants pour la gestion des risques liés aux tiers vous mettront sur la voie d'une communication plus efficace concernant votre programme TPRM.
Étant donné que la gestion des risques liés aux tiers est un élément de contrôle essentiel dans la plupart des régimes réglementaires et des cadres sectoriels, les auditeurs, tant à l'intérieur qu'à l'extérieur de votre organisation, doivent montrer les progrès accomplis pour se conformer à ces exigences. Cependant, de nombreux outils de gestion des risques rendent les rapports de conformité trop complexes et trop longs. Le reporting intégré pour les réglementations standard et les cadres sectoriels est essentiel pour accélérer et simplifier le processus de conformité.
L'un des moyens d'accélérer les rapports de conformité consiste à obtenir une visibilité sur le niveau de conformité de chaque fournisseur. Commencez par établir un seuil de pourcentage de conformité "réussie" par rapport à une catégorie de risque (par exemple, X % de conformité par rapport à un cadre ou à une ligne directrice particulière). Tous les rapports seront liés à ce pourcentage de conformité, et votre équipe pourra se concentrer sur les domaines où les taux de conformité sont faibles. Cette évaluation doit également être menée au niveau macro-économique pour tous les fournisseurs, et pas seulement au niveau du fournisseur. Le rapport au niveau macro sera nécessaire pour que le conseil d'administration puisse déterminer le degré de conformité de l'organisation par rapport à la réglementation "au goût du mois".
Les réglementations ESG, de la loi californienne sur la transparence de la chaîne d'approvisionnement au projet de directive de l'UE, augmentent la pression sur les entreprises pour qu'elles éradiquent les mauvaises pratiques ESG de leurs chaînes d'approvisionnement. Cette tendance devrait se poursuivre tout au long des années 2020. Alors que de nombreuses organisations considèrent que les questions ESG concernent principalement les fournisseurs, les fournisseurs informatiques peuvent également présenter des risques ESG, allant des mauvaises pratiques de travail dans les usines aux pots-de-vin et autres formes de corruption. Veuillez examiner attentivement les exigences de conformité ESG susceptibles d'affecter votre organisation et veillez à structurer les rapports de conformité de manière à en tenir compte.
Lorsqu'une relation avec un fournisseur prend fin, le risque peut persister. Un fournisseur détenant des données sensibles doit les restituer et les détruire en toute sécurité ; les obligations d'assistance peuvent durer plus longtemps qu'un contrat d'achat, et les entreprises doivent s'assurer que tout accès d'un tiers aux systèmes internes est supprimé. Bien que cela soit facile à comprendre, l'étude Prevalent a révélé que 60 % des entreprises n'évaluent pas activement les risques liés aux tiers lors de l'externalisation. Cela présente des risques permanents pour l'entreprise, la sécurité et la propriété intellectuelle.
Voici quelques questions essentielles sur votre approche actuelle de l'externalisation des fournisseurs.
Disposons-nous de méthodes de vérification pour empêcher les fournisseurs non intégrés d'accéder à l'ensemble de l'infrastructure et des applications informatiques ?
Procédons-nous régulièrement à des audits des systèmes pour vérifier que les vendeurs ont bien été retirés du marché ?
Notre approche de l'externalisation des fournisseurs intègre-t-elle les dispositions essentielles des exigences de conformité applicables ?
Exigeons-nous des fournisseurs qu'ils affirment par écrit que toutes les données sensibles ont été détruites à l'issue de la procédure d'externalisation ?
Inscrit-on des exigences en matière d'intégration dans les contrats et les accords de niveau de service avec les fournisseurs ?
Maintenant que vous savez à quoi ressemble le déploiement d'un système de gestion des risques liés aux fournisseurs, découvrez plus de détails dans le guide des meilleures pratiques.
Prevalent offre une solution complète de gestion du risque fournisseur unifiée par une plateforme unique et facile à utiliser. Si vous souhaitez en savoir plus sur la manière d'élaborer votre stratégie VRM complète, demandez une démonstration dès aujourd'hui.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024