Gestion du risque fournisseur : 8 clés pour réussir

Défis en matière de gestion des risques liés aux fournisseurs

L'élaboration d'un programme efficace de gestion des risques liés aux fournisseurs peut être un processus complexe qui nécessite une planification et une exécution minutieuses. Voici neuf défis auxquels votre organisation peut être confrontée lors de l'élaboration d'un programme de gestion des risques liés aux fournisseurs :

Identifier les fournisseurs tiers

L'un des principaux défis consiste à identifier les fournisseurs tiers avec lesquels votre organisation traite, car ces fournisseurs peuvent être répartis dans différents départements et fonctions.

Évaluer les risques liés aux fournisseurs

Une fois les fournisseurs identifiés, l'évaluation de leur risque peut s'avérer complexe et chronophage, en particulier si votre organisation utilise des feuilles de calcul ou d'autres méthodes manuelles pour recueillir et suivre les réponses.

Définir la tolérance au risque

Pour prendre des décisions plus éclairées en matière d'atténuation des risques, il est important de définir les niveaux de tolérance au risque de votre organisation et d'établir des seuils d'exposition aux risques des tiers. Une approche structurée de la hiérarchisation et de la catégorisation des fournisseurs est essentielle à cet égard.

Mise en place de procédures de diligence raisonnable

Veillez à mettre en place de solides procédures de diligence raisonnable à l'égard des fournisseurs. Celles-ci doivent porter sur une série de sujets tels que la stabilité financière, la conformité et la cybersécurité.

Assurer la conformité des contrats

Il est important de s'assurer que les fournisseurs respectent les termes de leurs contrats, notamment en ce qui concerne les exigences de sécurité et de conformité.

Suivi des performances des fournisseurs

Veillez à contrôler en permanence les performances du fournisseur et les accords de niveau de service afin de vous assurer que les niveaux de service sont respectés et d'identifier tout problème éventuel.

Suivre l'évolution de la réglementation

Il peut être difficile de suivre l'évolution des exigences réglementaires, car la gestion des risques liés aux fournisseurs est un facteur clé dans de nombreux cadres de cybersécurité, directives sectorielles, lois sur la confidentialité des données et réglementations ESG.

S'assurer de l'adhésion des dirigeants

La mise en place d'un programme efficace de gestion des risques liés aux fournisseurs nécessite l'adhésion et le soutien de la direction, ce qui peut parfois s'avérer difficile à obtenir.

Aligner les ressources internes

Pour être efficaces, les programmes de gestion des risques liés aux fournisseurs nécessitent une collaboration entre plusieurs services, notamment la sécurité informatique, la gestion des risques, les achats, la confidentialité des données, le service juridique et la conformité.

8 bonnes pratiques pour un programme de gestion du risque fournisseur réussi

Être en "mode réactif" est épuisant, inefficace et stressant - et c'est particulièrement risqué lorsque votre charge de travail s'alourdit. La gestion du risque fournisseur (VRM) n'est pas différente : un programme de VRM réactif qui réagit au risque fournisseur au lieu de le gérer de manière proactive met votre organisation en danger de violation de données, de violation de la vie privée et d'infraction à la conformité réglementaire.

C'est pourquoi il est important de disposer d'un processus clair pour gérer de manière proactive les risques liés aux tiers ( cyber ) et à la continuité des activités qui apparaissent inévitablement tout au long du cycle de vie de la relation avec le fournisseur.

Depuis plus de 15 ans que nous travaillons avec des milliers de clients et de fournisseurs, nous avons développé 8 bonnes pratiques pour mettre en place un programme de gestion des risques fournisseurs (VRM) plus proactif.

Voici un aperçu de certaines de ces pratiques et de la manière dont elles peuvent faciliter la gestion des risques liés aux fournisseurs :

1. Intégrer, évaluer et gérer les risques liés aux fournisseurs

Vous devez prendre plusieurs décisions avant de lancer un programme de gestion des risques liés aux fournisseurs. Les services de conseil d' experts peuvent aider à définir les paramètres du programme. L'étape suivante consiste à prendre le contrôle de vos fournisseurs tiers, à les intégrer et à identifier leurs risques inhérents.

Les décisions clés à cette étape comprennent :

• Quel est le bon mécanisme d' intégration des fournisseurs? Utiliserez-vous un processus manuel ou un modèle de feuille de calcul ? Aurez-vous besoin d'intégrations avec des systèmes d'approvisionnement ou de gestion des fournisseurs ?
• Quels sont les facteurs que vous prendrez en compte pour décider de l'échelonnement des fournisseurs ? Par exemple, quels sont les attributs ou les problèmes de criticité qui auront une incidence sur la manière dont vous classerez certains fournisseurs ?
• Comment allez-vous recueillir des informations pour évaluer le risque inhérent ? Utiliserez-vous un questionnaire automatisé ? Quels intrants seront utilisés pour calculer le risque inhérent (p. ex., données opérationnelles, juridiques, réglementaires, financières et/ou de réputation) ?

Lorsque vous vous adressez pour la première fois à des fournisseurs potentiels de solutions VRM, assurez-vous qu'ils proposent plusieurs mécanismes d'intégration des vendeurs, des fournisseurs et des autres tiers. Cela peut inclure l'exécution de tâches d'intégration pour le compte de votre équipe.

Veillez également à ce que leur méthodologie de classement des fournisseurs et d'évaluation des risques liés aux fournisseurs ne se limite pas à des questions superficielles. Par exemple, vous voudrez peut-être qu'elle inclue également des considérations financières et relatives à la chaîne d'approvisionnement. Lisez notre guide des meilleures pratiques pour obtenir une description complète de ces attributs.

2. Automatiser les principaux aspects du processus de VRM

La prochaine étape d'une gestion proactive du risque fournisseur consiste à ne plus utiliser de feuilles de calcul pour l'évaluation du risque fournisseur. Bien sûr, vous avez toujours besoin d'un moyen de recueillir des preuves des contrôles de sécurité et d'effectuer des examens de diligence raisonnable conformément aux normes et aux exigences de conformité de votre entreprise. Heureusement, vous pouvez automatiser ce processus et éliminer les tâches d'évaluation redondantes et pénibles qui entraînent souvent des erreurs et des risques.

La collecte et l'examen de la diligence raisonnable peuvent prendre de nombreuses formes. Par exemple, vous pouvez gérer vous-même le processus d'évaluation, accéder à une bibliothèque de questionnaires remplis ou externaliser la collecte auprès d'un partenaire. En fait, nous constatons que de nombreuses entreprises gèrent avec succès les risques grâce à un modèle hybride qui fait appel à différentes approches pour différents niveaux de fournisseurs.

Les décisions clés à cette étape comprennent :

• Quel questionnaire sera utilisé pour recueillir des informations sur les contrôles de votre fournisseur ? Utiliserez-vous des enquêtes standard ou propriétaires ? (Indice : cela dépend d'une combinaison de deux éléments : 1) les réglementations ou cadres auxquels vous prévoyez de rattacher les réponses, et 2) si vous prévoyez de partager les résultats avec un réseau).
• Quelle(s) méthode(s) de collecte allez-vous utiliser ? Disposez-vous des ressources et de l'expertise nécessaires pour gérer cela en interne ? Allez-vous profiter des réseaux de réponses des fournisseurs pour accélérer le processus ? Allez-vous confier la collecte à un partenaire (idéal pour les équipes qui manquent de ressources ou qui ne disposent pas d'une force de frappe suffisante) ?

Comme pour l'étape 1, assurez-vous que votre fournisseur de solutions de GRV est flexible en termes de disponibilité des questionnaires et de méthodes de collecte. Vous ne voulez probablement pas être enfermé dans un seul questionnaire rigide qui ne peut pas être personnalisé. Vous ne voulez pas non plus être obligé de collecter la diligence raisonnable par vous-même, surtout si vous manquez de personnel.

3. Prendre des décisions plus intelligentes grâce à une veille permanente sur les risques liés aux fournisseurs

L'étape suivante de l'élaboration de votre cadre de gestion des risques liés aux fournisseurs consiste à valider les évaluations des tiers à l'aide d' informations externes sur la cybersécurité et les risques commerciaux. Si les évaluations périodiques sont essentielles pour comprendre comment les fournisseurs gèrent leurs programmes de sécurité de l'information et de protection de la vie privée à un moment donné, beaucoup de choses peuvent arriver à un fournisseur entre deux évaluations ! C'est là que la surveillance continue peut s'avérer utile.

De nombreuses organisations échouent ici. Trop d'entre elles adoptent une vision étroite et qualitative des risques liés aux fournisseurs et ignorent des informations plus qualitatives. Lorsqu'elles sont combinées et corrélées, la cybersécurité et la surveillance de l'activité fournissent une vision plus complète du risque fournisseur. Cette vision "extérieure" vous donne un avantage pour saisir l'impact potentiel du risque fournisseur. Elle complète également vos évaluations "internes" afin d'obtenir un score de risque plus précis et mieux informé. Mais sur quels types d'informations de surveillance devez-vous vous concentrer ?

• Sources de renseignements sur les risques liés à la cybersécurité : La compréhension des faiblesses visibles par les attaquants commence par la découverte de données compromises sur le dark web et le catalogage des divulgations de failles de sécurité. Elle se poursuit par la collecte d'informations sur les sites validés cyber- attaques, violations de l'infrastructure et de la politique informatique, vulnérabilités et autres expositions.
• Sources de renseignements sur les risques commerciaux : Les informations sur les risques posés par les problèmes opérationnels, les fusions-acquisitions, les licenciements, les changements de direction, les rappels de produits, les enquêtes réglementaires/juridiques et les notifications financières et de faillite sont autant d'éléments qualitatifs importants qui ajoutent un contexte supplémentaire au processus de gestion des risques d'entreprise.

Lisez le guide des bonnes pratiques pour approfondir chacune de ces sources de renseignements.

Avec les bons renseignements, vous pouvez aider les fournisseurs à nettoyer leurs empreintes de logiciels libres et à combler les lacunes de sécurité dans leurs processus internes. Le processus est similaire au polissage de votre rapport de crédit avant de demander un prêt immobilier.

4. Corriger ce qui est important grâce aux mesures correctives et aux rapports recommandés

Vient maintenant la partie la plus difficile : remédier aux risques ! Les principaux éléments à prendre en compte à ce stade sont les suivants :

• Votre équipe dispose-t-elle de l'expertise nécessaire pour recommander des mesures correctives en cas d'échec des contrôles ? Serait-il utile de déclencher automatiquement des mesures correctives prédéfinies lorsque les évaluations mettent en évidence des risques spécifiques ?

• Comment prévoyez-vous de projeter le risque futur (par exemple, le risque résiduel) dans le temps après l'application ou l'exécution des mesures correctives ? Ce point sera important pour les rapports du conseil d'administration.

• Comment allez-vous démontrer la conformité d'un fournisseur à un cadre réglementaire ou sectoriel spécifique ? (Conseil : recherchez des solutions qui fournissent des mesures de " pourcentage de conformité " par rapport à plusieurs réglementations).

• Comment allez-vous atténuer les menaces cachées qui ne sont pas révélées par les réponses de l'évaluation ? (N'oubliez pas de demander si votre solution de VRM inclut l'apprentissage automatique pour analyser les données et révéler les tendances cachées).

5. Adopter une approche continue, intelligente et automatisée de la gestion du risque fournisseur

L'étape finale de l'évolution vers un GRV plus proactif consiste à intégrer une automatisation continue et intelligente à votre programme sur le long terme. Il s'agit notamment de tirer parti de solutions capables d'évaluer, de surveiller et d'éliminer les risques liés aux fournisseurs de manière proactive et continue. Mais à quoi ressemble une automatisation continue et intelligente ?

Évaluations continues

L'un des moyens de parvenir à un modèle d'évaluation plus continu et moins réactif est de permettre à cyber et à l'intelligence de surveillance de l'entreprise en temps réel d'informer votre calendrier d'évaluation. Avec les bonnes règles en place, vous pouvez corréler les vulnérabilités d'un fournisseur, les brèches ou les fuites d'informations d'identification sur le dark web avec les réponses d'évaluation qui révèlent une gestion des mots de passe ou des pratiques de gestion des correctifs insuffisantes. Vous pouvez ensuite utiliser ces résultats pour déclencher des évaluations. Ce niveau d'automatisation permet de boucler la boucle du risque tiers et de transformer les évaluations ponctuelles en une surveillance continue du risque fournisseur.

L'intelligence dans tous les coins

Pour prendre des décisions éclairées et fondées sur les risques, il faut consommer et normaliser des données provenant de plusieurs sources. Vous trouverez dans notre guide des bonnes pratiques un diagramme illustrant les données généralement nécessaires pour prendre des décisions fondées sur les risques. En voici quelques-unes :

• Les sources publiques et privées, les renseignements sur les risques liés aux fournisseurs et les intégrations technologiques peuvent fournir des informations quantitatives et qualitatives sur les risques de sécurité informatique, les problèmes financiers et d'autres indicateurs de la santé commerciale d'un fournisseur ( cyber ).

• La communauté des fournisseurs, les évaluations réalisées et les partenariats industriels jouent également un rôle. Ils fournissent de la documentation et des informations provenant des membres ou de la foule, qui peuvent donner un aperçu des risques que posent les fournisseurs dans des secteurs spécifiques.

• La veille réglementaire donne un aperçu des défaillances de contrôle dans les secteurs réglementés et peut aider à anticiper les mesures correctives nécessaires pour réduire le risque résiduel d'un fournisseur.

Des manuels d'automatisation pour rationaliser la réponse aux risques

Une façon de parvenir à un programme plus automatisé est de tirer parti des capacités de déclenchement des actions de réponse aux risques sur la base de critères "Si ceci, alors cela" pour des entités et des risques spécifiques. Les règles doivent automatiser un large éventail de tâches d'accueil, d'évaluation et de révision. Elles peuvent inclure la mise à jour des profils des fournisseurs et des attributs de risque, l'envoi de notifications et/ou l'activation de flux de travail. Elles doivent également être exécutées en permanence pour mettre à jour l'environnement VRM à mesure que de nouveaux événements et risques apparaissent.

6. Tenir compte de la géopolitique dans votre plan de VRM

La situation géopolitique de plus en plus tendue peut également faire peser des risques substantiels sur les programmes de gestion des risques liés aux fournisseurs. Évaluez vos fournisseurs en fonction l'endroit où ils exercent leurs activités. Les fournisseurs dont les activités sont fortement concentrées dans des pays ayant un mauvais bilan en matière de droits de l'homme et d'ESG peuvent se mettre en danger et mettre en danger les services qu'ils proposent à votre organisation. Des droits de douane soudains ou un embargo pourraient réduire considérablement les recettes et entraîner un risque pour les performances du fournisseur, voire sa faillite.

De même, les organisations qui font des affaires importantes ou hébergent des données dans des pays qui n'ont pas de lois explicites concernant la confidentialité des données peuvent mettre les données de votre organisation en danger en raison du partage obligatoire avec les entités gouvernementales du pays d'accueil. Voici quelques questions qu'il convient de poser aux fournisseurs actuels et aux futurs fournisseurs potentiels au cours de votre processus de recherche et de sélection :

• Le fournisseur a-t-il des activités commerciales importantes ou héberge-t-il des données dans des pays qui ne disposent pas de lois et de réglementations claires concernant le partage des données entre les entités du secteur public et du secteur privé ?

• Le fournisseur exerce-t-il ses activités dans des pays dont le bilan en matière de droits de l'homme, de liberté politique ou de dégradation de l'environnement est médiocre ? Dans l'affirmative, ses activités sont-elles suffisamment importantes pour provoquer des perturbations en cas d'embargo sur ce pays ?

• Le vendeur exerce-t-il ses activités dans un pays dont le territoire est contesté ou qui est le théâtre d'une insurrection violente ?

7. Intégrer les rapports de conformité dès le départ

Étant donné que la gestion des risques liés aux tiers est un élément de contrôle essentiel dans la plupart des régimes réglementaires et des cadres sectoriels, les auditeurs, tant à l'intérieur qu'à l'extérieur de votre organisation, doivent montrer les progrès accomplis pour se conformer à ces exigences. Cependant, de nombreux outils de gestion des risques rendent les rapports de conformité trop complexes et trop longs. Le reporting intégré pour les réglementations standard et les cadres sectoriels est essentiel pour accélérer et simplifier le processus de conformité.

L'un des moyens d'accélérer les rapports de conformité consiste à obtenir une visibilité sur le niveau de conformité de chaque fournisseur. Commencez par établir un seuil de pourcentage de conformité "réussie" par rapport à une catégorie de risque (par exemple, X % de conformité par rapport à un cadre ou à une ligne directrice particulière). Tous les rapports seront liés à ce pourcentage de conformité, et votre équipe pourra se concentrer sur les domaines où les taux de conformité sont faibles. Cette évaluation doit également être menée au niveau macro-économique pour tous les fournisseurs, et pas seulement au niveau du fournisseur. Le rapport au niveau macro sera nécessaire pour que le conseil d'administration puisse déterminer le degré de conformité de l'organisation par rapport à la réglementation "au goût du mois".

Conseil bonus : La conformité ESG des fournisseurs devient de plus en plus importante

Les réglementations ESG, de la loi californienne sur la transparence de la chaîne d'approvisionnement au projet de directive de l'UE, augmentent la pression sur les entreprises pour qu'elles éradiquent les mauvaises pratiques ESG de leurs chaînes d'approvisionnement. Cette tendance devrait se poursuivre tout au long des années 2020. Alors que de nombreuses organisations considèrent que les questions ESG concernent principalement les fournisseurs, les fournisseurs informatiques peuvent également présenter des risques ESG, allant des mauvaises pratiques de travail dans les usines aux pots-de-vin et autres formes de corruption. Veuillez examiner attentivement les exigences de conformité ESG susceptibles d'affecter votre organisation et veillez à structurer les rapports de conformité de manière à en tenir compte.

8. Veiller à ce que l'intégration des fournisseurs soit harmonieuse, efficace et vérifiée

Lorsqu'une relation avec un fournisseur prend fin, le risque peut persister. Un fournisseur détenant des données sensibles doit les restituer et les détruire en toute sécurité ; les obligations d'assistance peuvent durer plus longtemps qu'un contrat d'achat, et les entreprises doivent s'assurer que tout accès d'un tiers aux systèmes internes est supprimé. Bien que cela soit facile à comprendre, l'étude Prevalent a révélé que 60 % des entreprises n'évaluent pas activement les risques liés aux tiers lors de l'externalisation. Cela présente des risques permanents pour l'entreprise, la sécurité et la propriété intellectuelle.

Voici quelques questions essentielles sur votre approche actuelle de l'externalisation des fournisseurs.

• Disposons-nous de méthodes de vérification pour empêcher les fournisseurs non intégrés d'accéder à l'ensemble de l'infrastructure et des applications informatiques ?

• Procédons-nous régulièrement à des audits des systèmes pour vérifier que les vendeurs ont bien été retirés du marché ?

• Notre approche de l'externalisation des fournisseurs intègre-t-elle les dispositions essentielles des exigences de conformité applicables ?

• Exigeons-nous des fournisseurs qu'ils affirment par écrit que toutes les données sensibles ont été détruites à l'issue de la procédure d'externalisation ?

• Inscrit-on des exigences en matière d'intégration dans les contrats et les accords de niveau de service avec les fournisseurs ?