Il est essentiel de comprendre l'impact des réglementations industrielles et gouvernementales sur votre chaîne d'approvisionnement afin de réduire les risques pour votre entreprise et de rassurer vos clients. Cet article présente plusieurs exigences de conformité à prendre en compte dans le cadre d'un programme plus large de gestion des risques liés aux fournisseurs.
Alors que les entreprises sont soumises depuis des années à des réglementations en matière de sécurité de l'information et de confidentialité des données, plusieurs mandats ont récemment évolué pour mettre davantage l'accent sur les relations avec les fournisseurs. Dans le même temps, nous assistons à l'introduction d'exigences de conformité ESG ayant des implications significatives pour les chaînes d'approvisionnement. Dans cet article, nous aborderons les catégories d'exigences de conformité des fournisseurs, nous passerons en revue les principales réglementations qui concernent directement le risque fournisseur et nous discuterons de la manière dont elles s'intègrent dans votre programme de gestion des relations avec les fournisseurs.
Trois principaux types d'exigences de conformité s'appliquent aux fournisseurs tiers :
Ce n'est un secret pour personne que la conformité en matière de sécurité de l'information est une considération essentielle lorsque l'on travaille avec des éditeurs de logiciels, des fournisseurs de services SaaS et d'autres vendeurs de technologies de l'information. Toutefois, il est essentiel de veiller à ce que vos fournisseurs non informatiques intègrent également les normes de sécurité de l'information dans leurs pratiques commerciales.
Tout fournisseur peut présenter des risques de violation de données s'il a accès aux informations, systèmes ou installations sensibles de votre organisation. Prenons les exemples suivants :
Les pratiques environnementales, sociales et de gouvernance (ESG) dans la chaîne d'approvisionnement sont de plus en plus cruciales pour de nombreuses organisations. Plusieurs pays sont en train de mettre en place des réglementations exigeant des organisations qu'elles fassent preuve de diligence raisonnable en matière d'ESG tout au long de leur chaîne d'approvisionnement de manière proactive. Voici quelques exemples de questions ESG ayant un impact sur les chaînes d'approvisionnement :
La confidentialité des données est également une préoccupation importante lorsque l'on travaille avec des fournisseurs. Des réglementations telles que le règlement général sur la protection des données (RGPD), la loi californienne sur la protection de la vie privée des consommateurs (CCPA) et la loi SHIELD de New York fixent des normes sur la manière dont les données des consommateurs peuvent être acquises, traitées et partagées. Les préoccupations relatives à la confidentialité des données des fournisseurs peuvent découler de situations telles que :
Découvrez les meilleures pratiques en matière de résilience de la chaîne d'approvisionnement
Approfondissez vos connaissances sur les risques liés aux fournisseurs et obtenez des conseils prescriptifs pour développer votre programme de gestion des risques liés aux fournisseurs.
Même les fournisseurs n'appartenant pas au secteur des technologies de l'information peuvent avoir accès à des PII, PHI, à la propriété intellectuelle ou à d'autres informations sensibles susceptibles de présenter des risques de non-conformité pour votre organisation. Voici quelques exigences majeures en matière de sécurité de l'information à prendre en compte lorsque vous travaillez avec des fournisseurs :
La loiHIPAA (Health Insurance Portability and Accountability Act) exige des organisations qu'elles mettent en œuvre des contrôles de sécurité de l'information pour sécuriser les informations de santé protégées (PHI) des patients. Les exigences de l'HIPAA régissent plusieurs types d'organisations, notamment les prestataires de soins de santé, les fournisseurs de plans de santé et les centres d'échange d'informations sur les soins de santé.
En vertu de la règle HIPAA Business Associate, les vendeurs et fournisseurs tiers qui stockent ou traitent des PHI sont également soumis à la surveillance HIPAA. Si les associés commerciaux de l'HIPAA ont tendance à être des fournisseurs de TI, ce n'est pas toujours le cas. Les associés commerciaux peuvent également inclure des fournisseurs tels que :
La règle de l'associé commercial de l'HIPAA s'applique à tout tiers qui stocke ou traite des PHI. Selon le ministère de la santé et des services sociaux, un associé commercial est "une personne ou une entité qui exerce certaines fonctions ou activités impliquant l'utilisation ou la divulgation d'informations de santé protégées au nom d'une entité couverte, ou qui lui fournit des services".
La certification du modèle de maturité de la cybersécurité (CMMC) est un cadre créé par le ministère américain de la défense (DoD) pour améliorer la sécurité de sa chaîne d'approvisionnement, connue sous le nom de base industrielle de la défense (DIB).
Dans le cadre du CMMC 2.0, les organisations souhaitant travailler avec le ministère de la défense devront respecter des normes spécifiques en matière de sécurité de l'information et être certifiées pour l'un des trois niveaux du CMMC, en fonction du type de données qu'elles traitent et de l'étendue de leur accès à des informations classifiées :
La CMMC s'appliquera à tous les contractants principaux, sous-traitants et fournisseurs de la chaîne d'approvisionnement du DoD. Le DoD prévoit que plus de 300 000 organisations seront concernées par les réglementations de la CMMC. Les organisations qui ne se conforment pas à la CMMC peuvent perdre la possibilité de soumissionner à des contrats avec le ministère américain de la défense. La réglementation finale sur la CMMC 2.0 est en cours, avec une mise en œuvre progressive prévue pour la fin de l'année et jusqu'en 2025.
Le National Institute of Standards and Technology (NIST) publie des cadres de cybersécurité contenant les meilleures pratiques pour la mise en place de programmes efficaces de sécurité de l'information. Toutes les agences fédérales américaines, les contractants et les sous-traitants qui travaillent avec des agences fédérales doivent se conformer aux mandats de sécurité du NIST.
Les documents du NIST ne sont pas juridiquement contraignants, mais plusieurs réglementations sont basées sur les contrôles et les normes du NIST. De nombreuses organisations publiques et privées exigent des certifications tierces basées sur les directives du NIST. Plusieurs publications spéciales du NIST décrivent les contrôles qui obligent les organisations à établir et à mettre en œuvre des processus d'identification, d'évaluation et de gestion des risques liés à la chaîne d'approvisionnement. Il s'agit notamment de :
Les exigences du NIST relatives aux fournisseurs tiers sont les suivantes :
Le NIST n'est pas un organisme de réglementation. Il n'y a donc pas de sanctions légales directes en cas de non-conformité, sauf si des réglementations telles que l'HIPAA, qui utilise la norme NIST SP 800-66, l'exigent. Cependant, si votre organisation travaille avec des agences gouvernementales américaines, la conformité aux normes du NIST est nécessaire. La non-conformité des fournisseurs tiers aux normes NIST peut néanmoins présenter des risques et nuire aux relations avec les clients.
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Les réglementations conçues pour répondre aux préoccupations environnementales, sociales et de gouvernance (ESG) exigent de plus en plus des organisations qu'elles identifient et traitent de manière proactive les questions ESG dans leurs chaînes d'approvisionnement étendues.
Les premières réglementations ESG, telles que la loi britannique sur l'esclavage moderne et la loi californienne sur la transparence des chaînes d'approvisionnement (CTSCA), exigent principalement des organisations qu'elles rendent compte de leurs efforts pour atténuer les pratiques contraires à l'éthique dans leurs chaînes d'approvisionnement. Toutefois, les réglementations ESG plus récentes et plus strictes exigent des actions telles que la réalisation d'audits de routine des pratiques ESG des fournisseurs, la résiliation des contrats avec les fournisseurs contraires à l'éthique et la surveillance proactive des chaînes d'approvisionnement pour détecter les risques ESG potentiels.
Les exigences de conformité ESG se répartissent en deux grandes catégories :
Les réglementations ESG existantes et à venir pour votre programme de gestion des risques fournisseurs comprennent la loi canadienne sur la lutte contre le travail forcé et le travail des enfants dans les chaînes d'approvisionnement, la loi britannique sur l'esclavage moderne, la loi allemande sur la diligence raisonnable dans la chaîne d'approvisionnement et la directive européenne sur la diligence raisonnable en matière de développement durable des entreprises.
La loi sur la lutte contre le travail forcé et le travail des enfants dans les chaînes d'approvisionnement, également connue sous le nom de S-211, est une loi qui exige des institutions gouvernementales canadiennes et de certaines entités du secteur privé qu'elles "fassent rapport sur les mesures prises pour prévenir et réduire le risque de recours au travail forcé ou au travail des enfants par elles-mêmes ou dans leurs chaînes d'approvisionnement". La loi prévoit également un régime d'inspection pour faire appliquer ses dispositions. Comme la loi britannique sur l'esclavage moderne, la loi australienne sur l'esclavage et d'autres lois similaires, la loi vise à contribuer à la lutte mondiale contre le travail forcé, le travail des enfants et d'autres formes d'esclavage moderne.
Toutes les organisations gouvernementales canadiennes qui produisent, achètent ou distribuent des biens au Canada doivent se conformer à la loi. En outre, les entités commerciales doivent se conformer à la loi si elles sont soit a) cotées en bourse au Canada, soit b) font des affaires au Canada et y possèdent des actifs d'au moins 20 millions de dollars, génèrent un chiffre d'affaires d'au moins 40 millions de dollars et emploient en moyenne au moins 250 personnes.
La loi sur l'esclavage moderne (Modern Slavery Act) de 2015 est une loi britannique qui exige des organisations qu'elles communiquent publiquement leurs pratiques pour s'assurer que le travail forcé, la traite des êtres humains et d'autres formes de servitude involontaire n'ont pas lieu dans leurs entreprises ou leurs chaînes d'approvisionnement.
La section "Transparence dans les chaînes d'approvisionnement" de la loi (partie 6, section 54) définit les informations que les organisations doivent divulguer, notamment :
La loi britannique sur l'esclavage moderne s'applique aux organisations opérant au Royaume-Uni et dont le chiffre d'affaires annuel est égal ou supérieur à 36 millions de livres sterling.
La loi allemande sur le devoir de diligence dans la chaîne d'approvisionnement oblige les organisations à mettre en œuvre un devoir de diligence en matière de droits de l'homme dans leur chaîne d'approvisionnement. Cette loi exige des entreprises qu'elles prennent toutes les mesures nécessaires pour prévenir les risques en matière de droits de l'homme, qu'elles rendent compte de leurs efforts, qu'elles remédient aux risques et qu'elles conservent la documentation pendant sept ans.
Les entreprises couvertes doivent mettre à jour leurs processus de diligence raisonnable en matière de chaîne d'approvisionnement et aligner leurs activités sur les dispositions de la loi, qui couvrent les domaines suivants :
À partir de 2023, toutes les entreprises opérant en Allemagne et employant au moins 3 000 personnes seront soumises à la loi allemande sur le devoir de vigilance à l'égard de la chaîne d'approvisionnement. En 2024, la loi s'étendra aux entreprises de plus de 1 000 employés.
La directive sur le devoir de diligence des entreprises en matière de développement durable (DDDD) impose aux entreprises des obligations spécifiques de diligence raisonnable concernant leurs activités et leurs chaînes d'approvisionnement afin d'identifier, de prévenir, d'atténuer et de rendre compte des incidences négatives sur l'environnement, le travail et les droits de l'homme. Le Parlement européen a publié le projet final en janvier 2024. Si elle est adoptée, la loi entrera en vigueur par étapes à partir de 2027.
Si la loi est promulguée, elle exigera des organisations qu'elles.. :
Si elles sont adoptées, les règles de la directive sur le devoir de diligence en matière de développement durable s'appliqueront aux entreprises de l'UE et aux sociétés mères employant plus de 500 personnes et réalisant un chiffre d'affaires mondial supérieur à 150 millions d'euros. Les obligations s'appliqueront aux entreprises employant plus de 250 personnes et réalisant un chiffre d'affaires supérieur à 40 millions d'euros si elles génèrent au moins 20 millions d'euros dans l'un des secteurs suivants :
Les exigences en matière de confidentialité des données sont une autre préoccupation majeure pour les organisations qui travaillent avec des fournisseurs tiers. Des réglementations telles que le GDPR et CCPA limitent la manière dont les données personnelles peuvent être partagées, stockées et traitées entre les entreprises, et des amendes importantes sont imposées en cas de violation de la conformité.
Le règlement général sur la protection des données (RGPD) est une loi sur la protection de la vie privée qui régit l'utilisation, la circulation et la protection des données collectées sur les citoyens de l'Union européenne (UE). Le GDPR s'applique à toute organisation qui collecte, stocke, traite ou transfère des données personnelles sur des individus en Europe, quelle que soit sa localisation.
Les tiers étant souvent responsables de la gestion des données personnelles pour le compte de leurs clients, les entreprises doivent s'assurer que leurs fournisseurs et vendeurs ont mis en place des contrôles et une gouvernance en matière de protection des données. Ce processus implique la réalisation d'évaluations de contrôle de la confidentialité des données, l'analyse des résultats pour détecter les risques potentiels et l'obligation pour les tiers de remédier aux risques afin d'éviter les risques réglementaires, financiers et d'atteinte à la réputation.
En fait, le GDPR exige des organisations qu'elles procèdent à des évaluations des risques afin d'identifier les risques liés à la protection de la vie privée, tant en interne que chez les tiers qui manipulent, traitent ou stockent des données à caractère personnel pour le compte de l'organisation. Le considérant 76 - Évaluation des risques - stipule que "le risque devrait être évalué sur la base d'une évaluation objective, par laquelle il est établi si les opérations de traitement des données comportent un risque ou un risque élevé".
Le GDPR s'applique à toute organisation qui stocke ou traite des données appartenant à des résidents de l'Union européenne.
La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act ) réglemente la collecte et la vente des données des consommateurs par les entreprises afin de protéger les informations personnelles sensibles des résidents californiens et de permettre aux consommateurs de contrôler la manière dont les entreprises utilisent ces informations.
Le site CCPA s'applique aux données des consommateurs collectées auprès de tout résident de Californie, qu'il s'agisse d'une entreprise dont le siège social se trouve dans cet État ou d'une entreprise qui y fait des affaires. Les entreprises doivent surveiller les fournisseurs ayant accès aux données des résidents californiens et mettre en œuvre des mesures proactives pour s'assurer que les données soumises à CCPA sont traitées correctement.
Le site CCPA a été élargi en 2023 avec le California Privacy Rights Act (CPRA), ajoutant de nouvelles obligations de conformité qui imposent des accords stricts avec des tiers pour garantir la collecte, l'utilisation et l'élimination sécurisées des informations sur les consommateurs.
La loi CCPA s'applique aux entreprises qui collectent des informations personnelles auprès des résidents de Californie, aux prestataires de services et aux tiers auxquels les entreprises transfèrent ces informations. Bien que la loi CCPA soit une loi d'État, elle s'applique à toute entité à but lucratif - où qu'elle soit - qui fait des affaires avec des consommateurs californiens et des tiers :
Construire un programme de gestion du risque fournisseur plus proactif
Notre guide des meilleures pratiques fournit un aperçu normatif pour maîtriser le risque lié aux fournisseurs, de l'intégration à l'exclusion.
Aujourd'hui, l'environnement des risques liés aux tiers est complexe et en constante évolution. Votre programme de gestion des risques fournisseurs doit donc être en mesure de répondre aux exigences de conformité réglementaire et de garantir la résilience de votre entreprise tout au long de votre chaîne d'approvisionnement.
Avec la solution de gestion du risque fournisseur de Prevalent, vous pouvez automatiser vos activités d'évaluation du risque fournisseur, de surveillance, d'analyse et de reporting à l'aide d'une plateforme unique et unifiée. En même temps, vous bénéficiez d'une couverture intégrée pour des dizaines de réglementations de conformité et de cadres de meilleures pratiques. Découvrez comment vous pouvez rationaliser votre conformité au risque fournisseur et planifiez une démonstration dès aujourd'hui.
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024
La version finale du NIST CSF 2.0 fournit des orientations améliorées en matière de gestion des risques liés à la cybersécurité de la chaîne d'approvisionnement. Vérifier...
09/25/2024
Découvrez comment l'intégration du cadre de protection de la vie privée du NIST à la gestion des risques des tiers (TPRM) permet aux organisations d'améliorer...
09/12/2024