Comment gérer les risques informatiques et non informatiques liés aux tiers ?

Le risque lié aux tiers se présente sous de nombreuses formes. Ces conseils vous permettront d'avoir une vue d'ensemble des vendeurs, des fournisseurs et des partenaires.
Par :
Scott Lang
,
VP, Marketing produit
19 avril 2024
Partager :
Blog 2024 Risques non informatiques

La menace omniprésente des attaques de tiers cyber- mérite une diligence raisonnable lors de l'évaluation de nouveaux vendeurs, de fournisseurs, de partenaires et de sous-traitants, ainsi que de ceux qui existent déjà. Cependant, les professionnels de la sécurité et de la gestion des risques ne doivent pas négliger les risques importants existant en dehors de l'informatique, tels que ceux associés à la réputation, à la finance, au droit, à la conformité et aux perturbations ESG.

Il s'agit souvent de risques "moins importants" qui, en l'absence de lignes directrices claires pour l'évaluation des fournisseurs, peuvent être tout aussi préjudiciables à la réputation, à la marque et à la valeur d'une entreprise, ainsi qu'à sa capacité à respecter ses engagements contractuels. Ce billet passe en revue cinq des catégories de risques non informatiques les plus importantes

Dossier exécutif : Gestion des risques informatiques et non informatiques

Découvrez comment obtenir une vision plus globale des risques liés aux vendeurs, aux fournisseurs et aux partenaires.

Lire la suite
Ressources en vedette Gestion des risques non informatiques

5 Risques non informatiques à surveiller

Les cinq catégories principales de risques non informatiques suivantes peuvent avoir un impact sur la capacité de votre entreprise à remplir ses obligations.

Risques non informatiques, risques opérationnels, risques liés à la conformité, risques liés à la responsabilité sociale des entreprises, risques financiers, risques liés à la réputation


1. Risque opérationnel : perturbations de la chaîne d'approvisionnement

La pandémie de COVID-19 et les perturbations de la chaîne d'approvisionnement qui en ont résulté ont clairement montré que les entreprises peuvent être affectées par des événements non informatiques. Par exemple, Armstrong Flooring et Revlon, le géant des cosmétiques, ont tous deux cité des perturbations de la chaîne d'approvisionnement dans leurs déclarations de faillite.

Les risques opérationnels continueront d'exister dans le monde post-COVID. Dans un environnement politique instable, le risque est omniprésent. L'invasion russe de l'Ukraine a non seulement affecté l'approvisionnement en céréales, en engrais et en gaz naturel, mais elle a également interrompu la production de deux entreprises ukrainiennes responsables de 45 à 54 % de l'approvisionnement mondial en néon de qualité semi-conducteur utilisé dans la fabrication des puces. Les attaquesincessantes des rebelles houthis contre le transport maritime en mer Rouge menacent de perturber le transport maritime mondial. En outre, des catastrophes inattendues peuvent avoir un impact significatif sur les opérations de la chaîne d'approvisionnement, comme l'effondrement du pont Francis Scott Key, qui a entraîné une baisse de la production et de la consommation. l'effondrement dupont Francis Scott Key, qui a entraîné le détournement de 80 millions de dollars de fret maritime et de camionnage de l'un des plus grands ports américains.

Pour les professionnels de la gestion des risques, il est essentiel de comprendre la résilience de leur chaîne d'approvisionnement. Il s'agit notamment d'évaluer les plans de réponse aux incidents, de continuité des activités et de reprise après sinistre. Grâce à une compréhension globale des capacités de vos fournisseurs, votre organisation peut mieux se préparer à réduire les risques opérationnels liés aux pandémies, aux catastrophes environnementales et à d'autres crises potentielles.

2. Risque de conformité entraînant des amendes et des poursuites judiciaires

Les cadres réglementaires deviennent de plus en plus complexes chaque année. La plupart d'entre eux, notamment HIPAA, PCI-DSS, GDPR, PDPA, la Loi sur le secteur privé du Québec et CCPA/CPRA, sont axés sur la protection des informations personnelles des clients et des employés. Elles ont en commun d'exiger des organisations qu'elles comprennent où se situe le risque (généralement par le biais d'une évaluation du risque), qu'elles maintiennent un plan d'atténuation de ce risque et qu'elles fassent rapport aux autorités de réglementation. Cette obligation s'étend aux risques présentés par les fournisseurs, les associés commerciaux, les sous-traitants et les partenaires.

Perry Johnson & Associates (PJ&A), un fournisseur de services de transcription médicale, a été victime d'une violation en mars 2023 et a exposé les informations personnelles de plus de 9 000 000 de personnes, attirant l'attention du ministère américain de la santé et des services sociaux (HHS) et donnant lieu à des recours collectifs intent és contre plusieurs de ses clients médicaux et contre des clients perdus. Bien qu'un accord d'association commerciale ait certainement été conclu entre PJ&A et ses clients, cet accord n'a pas empêché l'entreprise d'être confrontée à une atteinte à sa réputation et à des problèmes juridiques qui lui sont propres.

Alors que les organisations poursuivent leur transformation numérique, les exigences de conformité s'étendent à de nouveaux services et fournisseurs, notamment l'hébergement web, le traitement des paiements et les fournisseurs de services cloud. Pour atténuer ce risque, vous devez comprendre quelles normes réglementaires s'appliquent à votre organisation et à ses fournisseurs, mais aussi évaluer pleinement les opérations et les contrôles de vos fournisseurs. Après tout, les sanctions et les poursuites judiciaires peuvent être coûteuses, perturber les opérations et nuire à la réputation.

3. Risque de responsabilité sociale des entreprises lié à un mauvais comportement ESG

Le concept d'"entreprise citoyenne" existe depuis un certain temps, mais il évolue au fur et à mesure que la prise de conscience s'accroît. Il fut un temps où les organisations pouvaient répondre à la définition de la responsabilité sociale des entreprises (RSE) en rendant à la communauté des services sous forme de dons de temps et d'argent. Toutefois, la RSE est de plus en plus associée aux pratiques environnementales, sociales et de gouvernance (ESG ). Il s'agit notamment des approches de votre entreprise en matière de durabilité environnementale, de ses relations avec les clients, les employés et les communautés, et de la manière dont elle traite la rémunération des dirigeants, les contrôles internes et les droits des actionnaires.

Le recours à l'esclavage et au travail des enfants est un problème croissant dans plusieurs secteurs d'activité. Par exemple, des reportages sur le travail des enfants dans les mines de cobalt utilisées dans les batteries ont attiré l'attention sur les pratiques de la chaîne d'approvisionnement d'Apple, de Microsoft, de Tesla, de Samsung et d'autres entreprises. Outre l'atteinte à leur réputation, plusieurs entreprises ont fait l'objet de poursuites judiciaires en raison de leurs pratiques.

La pression réglementaire s'accroît également dans les domaines du climat, de la gouvernance et de la lutte contre la corruption. Le Parlement de l'Union européenne (UE) a adopté la loi sur le devoir de diligence des entreprises et la directive sur le développement durable des entreprises, qui imposent aux entreprises de l'UE "d'identifier et, le cas échéant, de prévenir, de faire cesser ou d'atténuer les effets négatifs de leurs activités sur les droits de l'homme, tels que le travail des enfants et l'exploitation des travailleurs, et sur l'environnement, par exemple la pollution et la perte de biodiversité". La loi allemande sur le devoir de diligence dans la chaîne d'approvisionnement (Supply Chain Due Diligence Act) exige des garanties similaires.

Naviguer dans les exigences ESG peut être un défi pour les responsables des risques habitués à se concentrer uniquement sur les questions liées à l'informatique. Comprendre les directives réglementaires et industrielles en matière d'ESG peut aider à évaluer les fournisseurs potentiels, les vendeurs ou d'autres tiers en fonction des politiques de votre organisation et des attentes de vos clients.

4. Risque financier lié aux problèmes de viabilité des fournisseurs

La santé financière des fournisseurs et des partenaires stratégiques est essentielle dans l'évaluation des risques liés aux tiers. Après tout, un fournisseur ne peut soutenir ses clients que s'il est financièrement sain - et il peut être trop tard pour procéder à des ajustements après l'annonce d'un dépôt de bilan. Un risque financier peut également survenir si l'un des concurrents de votre entreprise acquiert un revendeur ou un distributeur clé, ce qui peut entraîner la fermeture d'un marché géographique ou vertical en attendant que d'autres canaux soient mis en place.

La compréhension du risque financier d'un fournisseur va au-delà de l'examen du bilan de l'année précédente. Par exemple, la perte d'un client ou d'un partenaire de distribution ou l'absence de bénéfices pourrait entraîner une restructuration ou l'abandon d'offres spécifiques. En outre, la perte de cadres clés peut être le signe d'une baisse des revenus ou d'un procès à venir.

Alors que de nombreuses organisations examinent le risque financier avant d'intégrer un nouveau fournisseur, les responsables des risques exigent un suivi continu de leurs fournisseurs et partenaires afin d'atténuer et de gérer le risque tout au long de la relation.

5. Risque pour la réputation de faire des affaires avec des entreprises non éthiques

Qu'elles soient justes ou non, les organisations sont jugées à l'aune de leurs fréquentations. Il est donc logique que vous soyez attentif aux pratiques de vos partenaires. L'atteinte à la réputation résultant d'une collaboration avec des vendeurs ou des fournisseurs contraires à l'éthique peut nuire à votre entreprise. La divulgation soudaine d'actions contraires à l'éthique peut perturber les chaînes d'approvisionnement, car les fournisseurs déplacent ou reconstruisent leurs activités et intentent des actions en justice.

Les gestionnaires de risques doivent surveiller les sources publiques et privées d'informations sur la réputation, les poursuites judiciaires et les sanctions imminentes telles que l'Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis, la liste des sanctions du Royaume-Uni et la liste consolidée des sanctions de l'UE tout au long du cycle de vie de l'entreprise.

6 stratégies pour réduire le risque de réputation des fournisseurs

Découvrez les risques de réputation à surveiller, les sanctions à éviter et comment automatiser et simplifier vos initiatives de gestion du risque de réputation.

Lire la suite
Livre blanc sur le risque de réputation des fournisseurs 2024 02

Prochaines étapes : Apprendre à gérer les risques liés aux tiers de manière globale

Les processus de gestion des risques liés aux tiers doivent évoluer pour que les entreprises puissent rester à l'affût des menaces informatiques et non informatiques. Découvrez comment obtenir une vision holistique des vendeurs, des fournisseurs et des partenaires tout au long du cycle de vie des tiers dans notre livre blanc, Comment gérer les risques des tiers informatiques et non informatiques. Ce document comprend des conseils essentiels sur la façon de :

  • Associer les types de risques de tiers aux domaines informatiques et non informatiques.
  • Aligner les équipes internes sur les risques liés aux tiers qui leur importent le plus.
  • Faire correspondre les types de risques liés aux tiers et les équipes à chaque étape du cycle de vie des fournisseurs.

Grâce à ce guide complet, votre organisation peut maîtriser les risques liés aux tiers, qu'ils soient ou non informatiques. Vous souhaitez savoir comment Prevalent peut vous aider ? Demandez une démonstration et un appel stratégique pour discuter de votre projet avec l'un de nos experts.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo