Le risque de quatrième partie est tout risque potentiel posé par les "vendeurs de vos vendeurs", dont beaucoup ne sont même pas connus de l'organisation contractante. Même si votre entreprise dispose d'un programme de sécurité de l'information bien développé, les quatrièmes et les neuvièmes parties inconnues peuvent toujours provoquer des perturbations importantes dans votre chaîne d'approvisionnement.
Prenons l'exemple de l'attaque du Colonial Gas Pipeline par un ransomware. Les stations-service de la côte est des États-Unis se sont vidées et des millions de consommateurs se sont demandés comment ils allaient pouvoir se rendre au travail. Dans de nombreux cas, les stations-service n'ont jamais entendu parler de Colonial Pipeline, et ont encore moins réalisé qu'une cyberattaque pouvait paralyser la station-service et, par extension, leur chaîne d'approvisionnement.
Un programme efficace de gestion des risques de la chaîne d'approvisionnement peut vous aider à identifier, remédier et gérer les risques liés à tous les fournisseurs - tiers, quatrième partie et autres. Cet article explique comment les fournisseurs sont classés et fournit des conseils pour gérer efficacement les risques à tous les niveaux de votre chaîne d'approvisionnement. Nous allons aborder les sujets suivants :
Les fournisseurs tiers sont des entreprises avec lesquelles votre organisation travaille directement. Les quatrièmes parties sont des entreprises qui passent des contrats avec vos tierces parties. Par exemple, si votre entreprise passe un contrat avec un fournisseur de polyester, ce dernier est considéré comme un tiers. Si votre fournisseur de polyester fait appel à un fabricant au Viêt Nam, ce dernier est une quatrième partie. Maintenant, si ce fabricant passe un contrat avec un fournisseur de matières premières cambodgien, ce fournisseur de matières premières serait une cinquième partie. Si la législation cambodgienne venait à changer, rendant plus coûteuse la production d'éthylène, un ingrédient clé du polyester, cela pourrait avoir un effet d'entraînement sur l'ensemble de votre chaîne d'approvisionnement. Comprendre ces relations vous permet de limiter les risques tout au long de votre chaîne d'approvisionnement.
Parfois, plus la tierce partie est éloignée de l'organisation contractante, moins l'impact de la perturbation est important, mais ce n'est pas toujours le cas. Colonial Pipeline est un excellent exemple de la façon dont un fournisseur victime d'une cyberattaque peut paralyser les entreprises en amont et en aval de la chaîne d'approvisionnement. Ces risques sont particulièrement graves lorsque votre organisation dépend fortement d'un fournisseur qu'elle ne peut pas facilement remplacer. Plus vous aurez de visibilité sur les fournisseurs de votre organisation et sur les fournisseurs de vos fournisseurs, plus vous comprendrez et atténuerez efficacement les risques inacceptables.
La gestion du risque fournisseur (VRM) est devenue essentielle pour les organisations de toutes tailles. Cependant, de nombreuses entreprises s'arrêtent aux tiers lorsqu'elles envisagent le risque fournisseur. Les chaînes d'approvisionnement modernes sont de plus en plus globales et s'appuient sur des centaines ou des milliers de fournisseurs de quatrième et de troisième rangs. Une organisation peut ne pas être consciente de sa dépendance à l'égard d'un fournisseur Nth-party jusqu'à ce qu'une perturbation importante se produise. Vous trouverez ci-dessous quelques lignes directrices qui vous aideront à prendre en compte les quatrième et énième parties dans votre programme de gestion des risques de l'entreprise.
Il est essentiel d'identifier les tiers qui travaillent avec vos fournisseurs essentiels. Si l'un de ces fournisseurs subit une faille de sécurité, un problème de chaîne d'approvisionnement ou toute autre interruption, votre entreprise en subira probablement les conséquences. Pour atténuer les risques et planifier de manière appropriée, vous devez savoir qui sont vos fournisseurs de quatrième partie. Examinez votre portefeuille de fournisseurs à la recherche d'éventuels fournisseurs de quatrième rang partagés par plusieurs fournisseurs, tels qu'Amazon Web Services ou un autre fournisseur commun.
Dans un monde parfait, vous pourriez vous assurer que chaque entreprise avec laquelle vous travaillez applique les mêmes normes que vous à ses fournisseurs. Cependant, ce n'est pas toujours le cas, et vous devez quand même travailler avec des quatrième, cinquième et énième parties pour faire fonctionner votre organisation avec succès. C'est pourquoi il est essentiel de déterminer la tolérance au risque de votre entreprise en ce qui concerne les 4e et 5e parties et de mettre en place des processus pour évaluer leurs risques inhérents et résiduels (c'est-à-dire les niveaux de risque avant et après l'application des contrôles, respectivement). Nous recommandons de classer tous les fournisseurs et d'inclure le risque inhérent comme facteur clé pour établir les exigences de contrôle pour chaque niveau de service. Par exemple, le fournisseur de services en nuage de votre fournisseur sera soumis à des exigences plus strictes que son prestataire de services de nettoyage.
Il est également essentiel d'harmoniser les contrats des fournisseurs en ce qui concerne la responsabilité de la quatrième partie et l'obligation de rendre des comptes. Commencez par documenter les pratiques de gestion des relations avec les unités opérationnelles des principales parties prenantes et par identifier les points de contact des partenaires tout au long de la chaîne d'approvisionnement. Ensuite, intégrez des accords de niveau de service et des exigences de contrôle dans les contrats en fonction du service, du niveau ou de la catégorie de chaque fournisseur, et mettez en œuvre une gestion du changement pour répondre à toute modification du champ d'application. Enfin, il faut s'assurer que les exigences sont respectées grâce aux pratiques de gestion des accords de niveau de service et des performances des fournisseurs.
Webinaire à la demande : Stratégies d'atténuation des risques de la chaîne d'approvisionnement dans les quatrième et neuvième parties
Rejoignez Bob Wilkinson, PDG de Cyber Marathon Solutions et ancien RSSI de Citigroup, qui discutera des meilleures pratiques pour obtenir une meilleure visibilité des risques dans l'écosystème des fournisseurs et de la chaîne d'approvisionnement de votre organisation.
Étant donné que vous n'interagissez pas directement avec les tiers, il est essentiel de disposer d'une stratégie solide pour les identifier au cours du processus de passation de marchés et de diligence raisonnable. Si vous passez par une procédure d'appel d'offres avec des tiers potentiels, votre demande de proposition (RFP) doit inclure une question concernant les tiers. Une fois que vous avez réduit votre liste à un finaliste, vous devez poser des questions supplémentaires au cours de la phase d'intégration du fournisseur. Outre l'identification des tiers auxquels votre fournisseur fera appel, vous devez poser les questions suivantes concernant chacun d'entre eux :
Il se peut que votre tête tourne un peu lorsque vous considérez la portée plus large de votre chaîne d'approvisionnement, que vous commencez à identifier les fournisseurs de quatrième et de Nième partie, et que vous comprenez le risque qu'ils peuvent potentiellement apporter à votre entreprise. C'est pourquoi les entreprises disposant d'un vaste écosystème de fournisseurs et de chaînes d'approvisionnement profondes mettent généralement en place une plateforme centralisée de gestion des risques liés aux fournisseurs afin de bénéficier d'une meilleure visibilité et d'un meilleur contrôle de leur population de fournisseurs.
Une plateforme de gestion du risque fournisseur peut être un référentiel central pour vos données de tiers, de quatrième et de troisième partie. Bien que ces plateformes soient connues sous le nom de solutions de gestion des risques destiers (TPRM), nombre d'entre elles offrent de solides capacités de gestion et de réduction des risques des quatrième et neuvième parties. Le processus commence par la gestion des tiers, puis l'utilisation de la solution pour étendre la visibilité aux quatrième, cinquième et neuvième niveaux. Pour commencer, vous pouvez exploiter les sources de renseignements sur les fournisseurs pour établir un profil complet de ces derniers, qui comprend des informations sur le secteur et les activités, ainsi que sur la propriété et l'identification des relations avec la quatrième partie.
Lors de l'intégration d'un tiers et périodiquement par la suite, vous pouvez tirer parti d'une solution de gestion des risques liés aux fournisseurs (ou aux tiers) pour automatiser les évaluations des risques basées sur des questionnaires et conçues pour recueillir des informations sur les relations avec les fournisseurs de chaque tiers. Prevalent La solution d'EMC comprend également des fonctionnalités de cartographie des relations qui vous permettent d'identifier les connexions entre votre organisation et les tierces, quatrièmes et Nièmes parties afin de découvrir les dépendances et les risques dans votre écosystème étendu de fournisseurs.
Une fois que vous avez acquis une visibilité sur les quatrièmes et Nièmes parties qui ont un impact sur votre entreprise, vous pouvez utiliser la surveillance continue des fournisseurs pour surveiller les fournisseurs critiques. La surveillance continue des sources privées et publiques de renseignements sur les menaces qui pèsent sur les fournisseurs peut fournir une alerte précoce sur les événements et les risques cyber, commerciaux et financiers qui pourraient en fin de compte affecter vos opérations. Tous les contenus d'évaluation et de surveillance doivent être corrélés et mis en correspondance avec les profils des fournisseurs dans votre solution VRM.
Vous pouvez apporter une échelle supplémentaire à votre gestion des risques de troisième, quatrième et troisième partie en exploitant les réseaux de renseignements sur les fournisseurs qui contiennent des évaluations complètes, des données de surveillance et des scores de risque normalisés sur des milliers de fournisseurs. Les organisations dont les ressources internes sont limitées devraient également envisager de recourir à des services gérés d'évaluation des risques liés aux fournisseurs afin d'étendre leurs initiatives de collecte, d'analyse et de remédiation des données relatives aux fournisseurs.
Enfin, étant donné qu'une gestion efficace des risques liés aux fournisseurs repose sur la collaboration entre la sécurité informatique, les achats, la gestion des risques, le service juridique et d'autres parties prenantes, assurez-vous que votre plateforme de gestion des risques liés aux fournisseurs offre un accès basé sur les rôles, une gestion des flux de travail et des capacités de gestion des tâches.
Sécurisez votre chaîne d'approvisionnement étendue
Inscrivez-vous dès maintenant pour obtenir des conseils pratiques sur la gestion des risques liés à la quatrième partie afin d'améliorer la sécurité, la protection des données et la résilience de votre entreprise.
Un programme efficace de gestion des risques liés aux fournisseurs externes n'est pas un projet ponctuel, mais fait partie intégrante de votre stratégie de gestion des fournisseurs. Le risque de tierce partie doit être identifié comme une catégorie de risque à gérer dans votre politique de gestion des fournisseurs, et les évaluations et le contrôle de la tierce partie doivent être intégrés dans vos procédures opérationnelles standard. La gestion des risques liés aux fournisseurs doit être un processus continu et programmatique qui tient compte des risques à tous les niveaux de la chaîne d'approvisionnement.
Prevalent peut vous aider à mettre en place un programme holistique de gestion des risques avec une visibilité, une efficacité et une envergure inégalées, quelle que soit votre situation actuelle. Nous travaillerons avec vous pour trouver une combinaison de services manages, d'adhésion à un réseau et/ou d'accès à la plateforme TPRM qui convienne le mieux à votre organisation. Vous obtiendrez un délai de rentabilité rapide, serez équipé pour prendre des décisions fondées sur l'intelligence et réduire de manière mesurable les risques liés aux fournisseurs - tout cela avec moins de maux de tête pour vous et votre équipe.
Avec les récentes violations et perturbations de la chaîne d'approvisionnement, il est plus que jamais essentiel de comprendre les risques en aval. Les entreprises négligent souvent la gestion des risques liés aux tierces parties parce qu'elles supposent que leurs tierces parties appliquent la même diligence raisonnable à leurs tierces parties. Que vous employiez une équipe interne, que vous exploitiez une plateforme de gestion des risques fournisseurs ou que vous utilisiez le site services manages, vous devez évaluer toutes les quatrième parties qui ont un impact sur votre entreprise.
Découvrez comment Prevalent peut vous aider à identifier et à atténuer les risques de quatrième et de troisième partie dans votre chaîne d'approvisionnement. Demandez une démonstration dès aujourd'hui.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024