Comment la gestion des risques liés aux tiers peut assurer la résilience de la chaîne d'approvisionnement en temps de crise

L'actualité nous rappelle que les crises régionales mettent en lumière le risque de concentration. Comment la gestion des risques par des tiers peut-elle contribuer à assurer la résilience de la chaîne d'approvisionnement ?
Par :
Brenda Ferraro
,
Vice-président des risques liés aux tiers
28 février 2020
Partager :
Blog crise de la chaîne d'approvisionnement février 2020

Comme vous regardez les événements se dérouler dans le monde entier alors que les gouvernements cherchent à diagnostiquer et à contenir le coronavirus, vous vous demandez probablement aussi dans quelle mesure vous êtes préparé au cas où il deviendrait une véritable pandémie. Le virus semblant provenir de Chine, et de nombreuses organisations internationales s'y approvisionnant pour une partie de leurs chaînes d'approvisionnement, il est naturel de commencer à réfléchir à la manière dont le risque de concentration s'inscrit dans votre plan plus large de gestion des risques et de réponse aux incidents. Dans ce blog, je vais définir le risque de concentration et discuter d'un processus proactif de sensibilisation à la réponse aux incidents, destiné à assurer la stabilité et la résilience pendant les périodes d'interruption.

Qu'est-ce que le risque de concentration dans le contexte des tiers ?

Issu du secteur bancaire et adapté pour être utilisé dans de multiples secteurs, le risque de concentration décrit le niveau de risque dans la chaîne d'approvisionnement d'une organisation en raison de la concentration dans un seul secteur, une seule région géographique ou un seul partenaire. Le risque provient d'un manque de diversification dans le portefeuille de fournisseurs.

Qu'est-ce qu'un plan de réponse aux incidents ?

Un plan de réponse aux incidents consiste en une liste préétablie d'actions à entreprendre, de tâches à accomplir et de personnes à contacter en cas d'incident ou d'événement susceptible d'avoir un impact sur l'entreprise (par exemple, une catastrophe naturelle qui touche un centre de données ou une attaque DDoS qui paralyse un site Web). Il existe une myriade d'exemples de plans de réponse aux incidents disponibles via une simple recherche sur Google. Je vous recommande d'examiner votre plan de réponse aux incidents existant et de le comparer à d'autres exemples et meilleures pratiques du secteur, ainsi que d'effectuer des tests de scénarios de réponse aux incidents liés à des tiers.

Qu'est-ce que la résilience ?

Larésilience est définie comme "la capacité de se remettre rapidement de difficultés". L'accent est mis sur la rapidité. En ce qui concerne votre chaîne d'approvisionnement, la résilience est la capacité de votre organisation à s'adapter rapidement aux circonstances en limitant les effets négatifs en aval (par exemple, en transférant la production vers des centres de données ou des installations de secours ou secondaires). La résilience doit être un élément moteur de votre plan de réponse aux incidents.

Ce à quoi ressemble un plan de réponse aux incidents proactif et mature

En ce qui concerne les risques provenant de tiers, un plan de réponse proactive aux incidents comprend cinq (5) étapes :

  1. Notification de vulnérabilité - identification d'une vulnérabilité ou d'un incident et notification à une liste préprogrammée de parties intéressées.
  2. Réponse aux incidents - élaboration d'un ensemble standard de tâches et de délais pour évaluer l'impact d'un incident et établir un calendrier de réponse et de remédiation
  3. Identifier l'impact des tiers - rechercher la source de l'incident parmi les fournisseurs, les partenaires, les vendeurs ou d'autres tiers.
  4. Rapports périodiques de la direction - rapports standardisés montrant les valeurs avant et après et les progrès vers l'état final souhaité avec des paramètres mesurables.
  5. Gestion du risque jusqu'à la fermeture - retour à un état acceptable (ou à une nouvelle normalité).

La maturité du plan de réponse aux incidents peut être classée dans l'un des trois niveaux suivants :

Niveau 1 - Manuel

Dans un plan de réponse à un incident mature de niveau 1 :

  • Des courriels sont envoyés aux tiers lorsque des incidents sont découverts.
  • La tierce partie répond par courriel en indiquant l'impact du risque et le calendrier d'atténuation.
  • Les informations sont suivies manuellement à l'aide de feuilles de calcul.
  • Les rapports sont générés manuellement pour la visibilité de l'exécutif

Avec autant de travail manuel, vous pouvez rapidement voir les lacunes d'un tel processus ; nous savons que le travail manuel entraîne des erreurs, et que les erreurs entraînent des risques - des risques de manquer des éléments importants qui peuvent aider à diagnostiquer et à résoudre un incident.

Niveau 2 - Automatisation avec interaction humaine

Dans un plan de réponse à un incident mature de niveau 2 :

  • La classification basée sur les risques est intégrée dans un référentiel tiers.
  • La notification d'incident basée sur un portail et la demande de réponse aux risques sont transmises aux tierces parties appropriées.
  • Les réponses aux risques basées sur le portail sont directement mises à jour par des tiers
  • Un suivi et des rapports basés sur un portail sont utilisés pour la mise à jour des cadres.

Un plan de réponse aux incidents mature de niveau 2 commence à traiter le travail manuel inhérent à un plan de niveau 1 par la centralisation dans un système spécifique limité par certains processus.

Niveau 3 - Modèle basé sur les données

Un plan de réponse aux incidents matures de niveau 3 contient les caractéristiques suivantes :

  • Au moment de l'incident, un outil de surveillance génère de manière proactive une notification de prise de conscience du risque à l'entreprise, contenant à la fois l'impact et la notation.
  • Des tiers ont accès au système, de sorte qu'il existe une visibilité universelle sur la sensibilisation et le suivi de l'atténuation des risques, avec des mises à jour en temps réel.
  • Toutes les parties sont automatiquement notifiées via un processus de flux de travail défini chaque fois qu'un changement de statut se produit (même sur leurs appareils mobiles).
  • Les rapports destinés aux dirigeants sont automatisés

Comment une solution de gestion des risques par un tiers peut aider

Prevalent peut aider les organisations à mesurer l'efficacité du programme de réponse aux incidents de leurs tiers par le biais d'évaluations visant à révéler leur niveau de maturité, ainsi qu'à examiner les contrôles internes compensatoires en place - par le biais d'évaluations standard - pour empêcher les incidents de devenir rapidement incontrôlables. Ce niveau de visibilité est universellement partagé entre vous et vos tiers pour une transparence totale. Pour compléter ces évaluations est un service de surveillance des affairescyber qui associe la technologie, l'analyse des données et les idées des analystes pour évaluer les risques commerciaux tels que les événements d'actualité et la réponse des relations publiques aux incidents.

En outre, la plateformePrevalent dispose d'une fonction de cartographie des relations unique dans le secteur, qui identifie les relations entre votre organisation et les tiers afin de découvrir les dépendances et de visualiser les chemins d'information. Vous pouvez ainsi vérifier les plans de basculement et de résilience de votre organisation, ce qui limite les effets du risque de concentration.

Prises ensemble, ces solutions constituent une base solide pour comprendre l'étendue de votre risque de concentration, ainsi que vos plans de réponse aux incidents et ceux de vos fournisseurs, afin de garantir votre résilience et votre agilité.

Prêt à passer à l'étape suivante ?

Contactez Prevalent dès aujourd'hui pour une évaluation gratuite d'une heure de votre maturité . Nous déterminerons les domaines dans lesquels vos pratiques actuelles pourraient être améliorées pour réduire les risques.

Tags :
Partager :
Leadership brenda ferraro 2
Brenda Ferraro
Vice-président des risques liés aux tiers

Brenda Ferraro possède plusieurs années d'expérience de première main dans la gestion des risques liés aux fournisseurs, aux services et aux entreprises de traitement des données. Dans sa quête pour réduire les risques liés aux tiers, elle a organisé une myriade de parties prenantes et conçu une approche pour gérer les risques, qui a été reconnue par les régulateurs et une multitude de centres d'analyse et de sécurité de l'information (ISAC). Dans son rôle avec Prevalent, Brenda travaille avec les entreprises pour construire des écosystèmes de solutions uniques qui éliminent les complexités de la gestion des risques des tiers par le biais d'une plate-forme, d'un cadre et d'une méthodologie de gouvernance communs, simples et abordables. Avant de rejoindre Prevalent, Brenda a dirigé des organisations dans le cadre de la normalisation des contrôles, de la réponse aux incidents, de l'amélioration des processus, de l'établissement de rapports basés sur des données et de la gouvernance dans des entreprises telles que Aetna, Coventry, Arrowhead Healthcare Centers, PayPal/eBay, Charles Schwab et Edwards Air Force Base. Elle est titulaire des certifications vBSIMM, CTPRP, ITIL et CPM.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo