Gestion du risque fournisseur : Le Guide Définitif

Types et exemples de risques liés aux fournisseurs

Risques liés à la cybersécurité

Certains des risques les plus importants auxquels sont confrontées les chaînes d'approvisionnement du 21e siècle sont les violations de données et autres incidents cyber , qui peuvent mettre en péril les fournisseurs, leurs clients et même les clients de leurs clients. Dans de nombreux cas, les grandes entreprises disposent de solides programmes de cybersécurité, mais ceux-ci ne s'étendent pas toujours aux organisations tierces dont les connaissances et les capacités en matière de cybersécurité sont parfois bien moindres. Par exemple, en 2013, Target a été victime d'une violation massive de données qui a exposé les informations personnelles de 40 millions de consommateurs. Le point d'entrée des attaquants était un sous-traitant en chauffage, ventilation et climatisation qui avait desservi de nombreux sites Target.

La faille de SolarWinds

Un autre exemple marquant est l'attaque de SolarWinds en 2020, qui a compromis la plateforme Orion de l'entreprise. Il s'agit de l'une des attaques cyber les plus vastes et les plus sophistiquées de l'histoire récente. La violation de la chaîne d'approvisionnement de SolarWinds a fait des ravages parmi les consommateurs d'Orion dans le monde entier, malgré tous les efforts déployés pour reconnaître et minimiser les risques. En fait, une étude a révélé que le coût moyen pour les entreprises touchées par l'attaque de SolarWinds était d'environ 12 millions de dollars.

Prevalent a constaté que 37 % des parties concernées n'avaient pas de politique de gestion des incidents documentée pour répondre à la violation de SolarWinds. Cette intrusion a pris de nombreuses organisations au dépourvu, révélant des lacunes dans les procédures internes concernant les rapports aux clients et un manque de planification appropriée de la réponse aux incidents.

La faille de SolarWinds est un exemple frappant de la façon dont les organisations peuvent subir les effets en cascade des risques de cybersécurité de la chaîne d'approvisionnement. Même si les fournisseurs directs d'une organisation n'ont pas utilisé SolarWinds, leurs sous-traitants peuvent l'avoir fait. Il s'agit également d'un exemple de risque de quatrième partie, où les lacunes en matière de cybersécurité de sous-traitants inconnus peuvent avoir un impact négatif sur une chaîne d'approvisionnement existante (et même soigneusement gérée). Ces risques soulignent l'importance d'acquérir une compréhension détaillée et complète de votre chaîne d'approvisionnement, y compris des sous-traitants, de comptabiliser avec précision les risques potentiels et de créer de manière proactive un plan de réponse aux incidents en cas de survenance d'événements.

Risques de conformité

Les récentes perturbations des chaînes d'approvisionnement mondiales ont renforcé l'attention portée à la gestion des risques d'entreprise, non seulement au niveau du conseil d'administration, mais aussi parmi les régulateurs et les législateurs. Bien que plusieurs réglementations prévoient des exigences en matière de risques liés à la sécurité informatique des fournisseurs, la plupart des organisations fondent leurs programmes de conformité sur les meilleures pratiques définies par le NIST ou l'ISO.

NIST

Les organisations qui traitent des informations du gouvernement américain sont tenues d'adhérer aux directives du NIST (National Institute of Standards and Technology). Étant donné que le NIST publie des ressources pour la gestion des risques applicables à toute entreprise, près de 50 % des organisations du secteur privé ont également adopté ses lignes directrices. Plusieurs publications spéciales du NIST décrivent les contrôles relatifs à la sécurité informatique des fournisseurs, notamment SP 800-53, SP 800-161 et le NIST Cybersecurity Framework.

ISO

L'Organisation internationale de normalisation (ISO) est un organisme d'experts qui élabore des normes volontaires, fondées sur le consensus, pour résoudre des problèmes mondiaux. Les normes ISO de gestion de la sécurité de l'information font partie de la famille ISO 2700, les normes ISO 27001 et ISO 27002 étant les plus connues. La section 15 des normes ISO 27001 et ISO 27002 résume les exigences pour traiter en toute sécurité avec différents types de tiers. Cette norme s'ajoute à la norme ISO 270036-2, qui se concentre spécifiquement sur les exigences de sécurité de l'information pour les relations entre fournisseurs et acquéreurs.

Réglementation en dehors de la sécurité informatique

La sécurité informatique n'est pas la seule catégorie de risque de conformité lorsqu'il s'agit des relations avec les fournisseurs. Ainsi, plusieurs exemples de réglementations ESG exigent la surveillance des pratiques des fournisseurs en matière de changement climatique et de développement durable (E), de justice sociale, d'équité salariale, de protection des travailleurs (S), de gouvernance, de lutte contre les pots-de-vin et la corruption, et de diversité (G).

Risques commerciaux et financiers

Les risques liés à la chaîne d'approvisionnement des entreprises peuvent prendre de nombreuses formes. Par exemple, un fournisseur clé peut faire faillite et ne pas être en mesure d'honorer ses contrats. En fait, certaines études montrent que 25 % des entreprises ont été affectées par la faillite d'un fournisseur au cours de l'année écoulée.

Les fusions et acquisitions peuvent également signaler un changement de stratégie ou une consolidation du marché qui pourrait avoir une incidence sur la prestation de services, les prix ou les conditions contractuelles. En outre, la rotation des dirigeants ou les problèmes juridiques peuvent avoir un impact sur la culture, la stratégie et la capacité d'une organisation à atteindre ses objectifs.

Les organisations sont également de plus en plus soumises à des sanctions réglementaires en matière de divulgation financière et d'éthique. Par exemple, l'Office of the Comptroller of the Currency (OCC) fournit des orientations spécifiques aux banques qui nouent des relations avec des tiers tels que des fournisseurs de services de cloud, des agrégateurs de données, des entreprises de fintech et des sous-traitants.

Lors de l'évaluation des fournisseurs potentiels, il est essentiel de comprendre la situation financière de l'organisation, les obligations contractuelles existantes et les autres facteurs qui pourraient les empêcher d'exécuter efficacement votre contrat. Moins la diligence raisonnable est exercée avant l'intégration d'un fournisseur, plus vous risquez de subir une interruption importante de vos activités.

Une stratégie formelle et documentée de gestion des risques liés aux tiers peut aider à gérer ces risques. Les fournisseurs doivent être évalués de manière uniforme sur la base d'un ensemble prédéterminé de paramètres qui permettent de comparer facilement les fournisseurs concurrents et d'identifier les fournisseurs potentiels qui pourraient avoir des difficultés à remplir leurs obligations contractuelles.

Risques liés aux événements

La mondialisation a considérablement complexifié les chaînes d'approvisionnement. Par exemple, une catastrophe naturelle telle qu'un ouragan, un incendie de forêt, un tremblement de terre ou un tsunami dans un pays peut avoir des répercussions sur les chaînes d'approvisionnement dans le monde entier. Le risque de voir la chaîne d'approvisionnement perturbée par des catastrophes naturelles devrait augmenter en raison du changement climatique.

Un changement des conditions politiques ou de sécurité dans le pays d'un fournisseur clé peut également provoquer des chocs négatifs au niveau de l'offre. Les conflits tels que les guerres, les changements de politique fiscale, les problèmes de stabilité interne et les embargos commerciaux en sont des exemples. Il est donc essentiel de surveiller les conditions politiques, sociales et économiques dans les régions des fournisseurs et d'analyser leur impact potentiel sur votre chaîne d'approvisionnement. Pour comprendre les risques géopolitiques, il est essentiel de disposer d'une visibilité sur les violations commises par l'Office of Foreign Assets Control (OFAC), les entreprises d'État et les personnes politiquement exposées (PEP).

Voici quelques exemples significatifs de risques événementiels :

La pandémie de COVID-19

La pandémie de COVID-19 illustre parfaitement la manière dont une crise sanitaire peut perturber les chaînes d'approvisionnement à l'échelle mondiale. En janvier et février 2020, la Chine a été au centre de la crise du COVID-19, provoquant des ruptures généralisées de la chaîne d'approvisionnement qui ont été exacerbées par des changements radicaux dans la demande de certains produits. Par exemple, les chaînes d'approvisionnement ont été interrompues pour des équipements de protection individuelle essentiels tels que les masques respiratoires N95 et les écrans faciaux, alors que la demande montait en flèche. Les perturbations se sont étendues aux chaînes d'approvisionnement des biens de consommation au fur et à mesure que la pandémie progressait, et de nouvelles variantes ont déclenché de nouvelles fermetures au niveau mondial.

La guerre en Ukraine

L'invasion de l'Ukraine par la Russie en 2022 a contraint plusieurs fabricants mondiaux à interrompre leur productionet a menacé l'approvisionnement mondial en blé. et a menacé l'approvisionnement mondial en blé. Des entreprises telles que Carlsberg, Coca-Cola, Mondelez International, Nestlé et le fabricant d'acier et mineur ArcelorMittal ont jusqu'à présent suspendu leurs activités. L'Ukraine est également l'un des principaux producteurs de métaux de terres rares tels que le cuivre, qui est un intrant important pour de nombreux produits manufacturés et électroniques. Ces perturbations ont obligé les entreprises à recueillir des informations auprès de leurs fournisseurs ayant des activités en Ukraine et à adapter leurs calendriers et processus de production en conséquence.

Les sanctions sont un autre élément à prendre en compte. Suite à l'invasion de l'Ukraine par la Russie, plusieurs pays ont bloqué les exportations et imposé des sanctions au gouvernement russe, ce qui a eu un impact sur la capacité des entreprises russes à mener des activités internationales. En réponse, les experts prévoient une augmentation des attaques russes cyber contre les gouvernements occidentaux et les entreprises basées en Occident.

L'obstruction du canal de Suez

Un autre exemple récent de perturbation imprévue de la chaîne d'approvisionnement est le blocage du canal de Suez par un porte-conteneurs géant pendant 6 jours en mars 2021, entraînant un blocage des échanges commerciaux estimé à 9,6 milliards de dollars par jour.

Il est impossible de prévoir les pandémies, les guerres ou les catastrophes longtemps à l'avance, mais il est possible d'atténuer le risque et d'en limiter l'impact sur votre organisation. Outre l'élaboration d'un plan, les organisations peuvent également effectuer des simulations sur leurs chaînes d'approvisionnement. Ces simulations peuvent vous aider à comprendre les parties les plus vulnérables de votre chaîne d'approvisionnement et l'impact des catastrophes naturelles sur les activités de l'entreprise.

Responsabilité sociale des entreprises et risques ESG

Le concept d'"entreprise citoyenne" existe depuis un certain temps, mais il évolue au fur et à mesure que la prise de conscience s'accroît. Il fut un temps où les organisations pouvaient répondre à la définition de la responsabilité sociale des entreprises (RSE) en rendant à la communauté des services sous forme de dons de temps et d'argent. Toutefois, la RSE est de plus en plus associée aux pratiques environnementales, sociales et de gouvernance (ESG). Il s'agit notamment des approches de votre entreprise en matière de durabilité environnementale, de ses relations avec les clients, les employés et les communautés, et de la manière dont elle traite la rémunération des dirigeants, les contrôles internes et les droits des actionnaires.

En outre, le recours à l'esclavage et au travail des enfants est un problème croissant dans plusieurs industries, par exemple :

• La situation critique de la minorité ouïghoure a mis la pression sur les entreprises qui fabriquent des produits en Chine. Un rapport publié en 2020 cite 83 marques mondiales qui utilisent des usines de travail forcé en Chine, dont Nike, Gap, Target, Apple et H&M. Outre la pression croissante en faveur d'un boycott de ces marques par les consommateurs, le Congrès a adopté en 2021 la loi sur la prévention du travail forcé des Ouïghours (Uyghur Forced Labor Prevention Act ) afin de bloquer l'importation de produits liés au travail forcé en Chine.
• Des reportages sur le travail des enfants dans les mines de cobalt utilisées dans les batteries ont attiré l'attention sur les pratiques de la chaîne d'approvisionnement d'Apple, de Microsoft, de Tesla, de Samsung et d'autres entreprises. Outre l'atteinte à leur réputation, plusieurs de ces entreprises ont fait l'objet de poursuites judiciaires en raison de leurs pratiques.
• En mars 2024, un fabricant de pièces détachées du Tennessee, qui fournit de grandes entreprises telles que John Deere et Yamaha, a été contraint de renoncer à 1,5 million de dollars de bénéfices après que le ministère du travail a découvert que des enfants étaient employés à des tâches dangereuses. En outre, l'entreprise a été condamnée à une amende de 296 951 dollars pour avoir soumis "10 enfants à un travail oppressif", selon le ministère.

La pression réglementaire s'accroît également. La Securities and Exchange Commission (SEC) des États-Unis a récemment adopté des amendements qui exigeront "certaines informations liées au climat dans leurs déclarations d'enregistrement et leurs rapports annuels", y compris "les chaînes de valeur en amont et en aval". Le Parlement de l'Union européenne (UE) a demandé aux entreprises de l'UE "d'identifier et, le cas échéant, de prévenir, de faire cesser ou d'atténuer les effets négatifs de leurs activités sur les droits de l'homme, tels que le travail des enfants et l'exploitation des travailleurs, et sur l'environnement, tels que la pollution et la perte de biodiversité".

Risques liés à la capacité

Que ce soit en raison d'événements commerciaux, de la conjoncture économique ou de catastrophes naturelles, il se peut que les fournisseurs ne soient pas en mesure de respecter leurs délais de livraison. C'est pourquoi il est important de mesurer en permanence la capacité des fournisseurs, notamment en suivant l'état actuel des commandes, les performances par rapport à l'historique des commandes, les réponses des fournisseurs et les accusés de réception. Une vision proactive de la capacité des fournisseurs peut aider votre organisation à être plus agile en cas de perturbation.

Risques liés à la performance

La mesure des risques liés à la capacité est étroitement liée à celle des risques liés à la performance des fournisseurs, également appelés indicateurs clés de performance (ICP), qui peuvent inclure des mesures de qualité, des performances de livraison dans les délais et d'autres risques liés au respect des niveaux de service convenus. Pour gérer les performances des fournisseurs, il est essentiel de disposer d'un tableau de bord clair offrant une visibilité au niveau de l'entreprise et de fixer des clauses contractuelles avec des accords de niveau de service (SLA) exécutoires.

Préoccupations spécifiques à l'industrie en matière de gestion des risques liés aux fournisseurs

Chaque industrie est confrontée à des défis uniques lorsqu'elle traite avec des fournisseurs de troisième, quatrième et neuvième partie. Il est essentiel de prendre en compte les facteurs propres à votre secteur d'activité et de procéder à des examens réguliers et détaillés afin de déterminer si des changements dans le secteur peuvent mettre en péril votre chaîne d'approvisionnement.

Problèmes de SRM dans le secteur de la santé

La pandémie de COVID-19 a mis en évidence de nombreuses lacunes dans la chaîne d'approvisionnement des soins de santé aux États-Unis. Les pénuries d'équipements de protection individuelle (EPI) et d'autres dispositifs médicaux essentiels ont duré des mois. Le secteur des soins de santé est confronté à de nombreux risques uniques liés à la chaîne d'approvisionnement en raison de la nature imprévisible des crises sanitaires et de la portée mondiale des crises de la chaîne d'approvisionnement induites par la demande.

Les organismes de santé basés aux États-Unis doivent également prêter une attention particulière aux lois sur la confidentialité des données et à la cybersécurité de la chaîne d'approvisionnement. Dans de nombreux cas, les fournisseurs tiers seront tenus d'adhérer aux mêmes normes de cybersécurité que l'organisme de soins de santé en vertu de réglementations telles que la clause d'"associé commercial" de l'HIPAA. Pour plus d'informations sur l'amélioration de la gestion des risques dans la chaîne d'approvisionnement des soins de santé, nous vous recommandons de consulter le diaporama de HHS Cyber Supply Chain Risk Management (C-SCRM).

Questions relatives à la fabrication et au commerce de détail SRM

Les entreprises de fabrication et de vente au détail doivent prêter une attention particulière à l'intérêt croissant que la société porte aux pratiques ESG (environnement, social, gouvernance). Les investisseurs et les gouvernements examinent de plus en plus attentivement la manière dont les fabricants et les détaillants s'approvisionnent en matières premières, non seulement par l'intermédiaire de tiers, mais aussi par le biais de la chaîne d'approvisionnement élargie des quatrième et neuvième parties.

Les exigences de conformité ESG, telles que la directive européenne sur le devoir de diligence des entreprises, créent des mandats pour examiner de manière affirmative la chaîne d'approvisionnement à la recherche de travail forcé et d'autres pratiques immorales, et les amendes pour non-conformité peuvent être lourdes. Nous recommandons aux entreprises de fabrication et de vente au détail de s'assurer de manière proactive que l'ESG est pris en compte à chaque étape du cycle de vie de la gestion du risque fournisseur pour des raisons de conformité, d'éthique et de réputation. Les réglementations vont sans aucun doute se renforcer dans ce domaine, c'est pourquoi une approche proactive de l'ESG réduira sans aucun doute les défis futurs pour votre organisation.

Services informatiques, logiciels et chaîne d'approvisionnement Cybersécurité

À première vue, les entreprises de services informatiques et de logiciels ne sont peut-être pas soumises aux mêmes niveaux de risque lié aux fournisseurs que les entreprises d'autres secteurs. La plupart des entreprises de logiciels n'ont pas besoin de s'approvisionner en produits et matières premières dans des pays politiquement instables, et la plupart n'ont pas à s'inquiéter autant des catastrophes naturelles affectant les fournisseurs tiers. En revanche, elles sont exposées à un risque important de cyberattaques.

Ces dernières années, les acteurs malveillants ont eu de plus en plus recours à la compromission de tiers de sociétés de logiciels et d'informatique pour distribuer des logiciels malveillants et nuire aux clients. Ces attaques illustrent l'importance cruciale pour les sociétés informatiques et les autres entreprises d'évaluer rigoureusement les pratiques de sécurité de l'information des fournisseurs de logiciels tiers et des autres organisations ayant accès aux infrastructures informatiques sensibles.

Ces problèmes sont particulièrement aigus pour les fournisseurs de services gérés et les autres fournisseurs de services informatiques qui ont des clients dans plusieurs secteurs d'activité. Par exemple, la faille Kaseya de 2021 a exploité une vulnérabilité dans une solution utilisée par les fournisseurs de services gérés (MSP). Cet exploit a permis aux attaquants de distribuer des ransomwares aux clients des fournisseurs de services gérés utilisant la solution Kaseya.

Comprendre les risques profilés, inhérents et résiduels dans la chaîne d'approvisionnement

Le risque lié aux fournisseurs peut être classé en trois catégories : risque inhérent, risque profilé et risque résiduel. La compréhension de ces catégories de risques vous permettra de hiérarchiser efficacement les ressources et d'atténuer les risques tout au long de la chaîne d'approvisionnement étendue.

Profil de risque du fournisseur

Risque profilé tient compte des risques basés sur les services fournis par le fournisseur, les types de données et de systèmes auxquels il a accès et le secteur dans lequel il opère. Par exemple, si une entreprise manufacturière se procure 90 % de ses matières premières auprès d'un seul fournisseur situé dans un pays politiquement instable, ce fournisseur présentera un risque élevé. À l'inverse, le fournisseur d'un seul composant mineur et facilement remplaçable présente un risque faible. Lorsque vous examinez les risques liés aux fournisseurs, vous devez tenir compte des éléments suivants :

• Exigences de conformité : Le site , tel que le projet de directive européenne sur le devoir de vigilance des entreprises, imposera probablement de lourdes amendes aux organisations qui n'intègrent pas les meilleures pratiques ESG dans la chaîne d'approvisionnement. Les fournisseurs qui ont une forte probabilité d'être concernés par les questions ESG, ou qui ont de mauvais antécédents en matière de gestion des questions ESG, représentent un risque plus élevé.

• Accès aux données et aux systèmes informatiques : Le risque profilé d'un fournisseur tiers est directement lié à l'étendue et au type de données et de systèmes informatiques auxquels il a accès. Les organisations ayant un niveau élevé d'accès aux informations confidentielles présentent un risque profilé plus élevé. Si un fournisseur stocke, traite ou interagit avec les données de votre entreprise, son programme de sécurité est en fait votre programme de sécurité.

• Emplacement : Les organisations qui opèrent dans des environnements politiquement instables représentent un risque profilé plus élevé que les organisations qui ne le font pas. L'instabilité politique peut rapidement perturber les chaînes d'approvisionnement, compromettre les données sensibles et entraîner d'autres conséquences négatives difficiles à prévoir.

Les gestionnaires du risque fournisseur doivent tenir compte de nombreux facteurs lorsqu'ils évaluent le risque profilé des fournisseurs potentiels. Ne faites pas l'erreur de sauter l'étape du risque profilé, car elle fournit un contexte essentiel pour sélectionner les questionnaires pour chaque niveau de fournisseur dans votre écosystème tiers. Sans une bonne compréhension du risque profilé, vous poserez inévitablement les mauvaises questions, obtiendrez des données non pertinentes et obtiendrez des scores de risque inhérent inexacts.

Risque inhérent au fournisseur

Le risque inhérent indique le niveau de risque d'un fournisseur avant la prise en compte de tout contrôle spécifique requis par votre organisation. Par exemple, si une organisation de soins de santé recherche des sociétés d'analyse de données pour l'aider à traiter les données des patients, une société ne disposant pas de documents démontrant des politiques conformes à la loi HIPAA représenterait un risque inhérent élevé inacceptable. L'hôpital aurait le choix d'exiger du fournisseur qu'il mette en œuvre des politiques et des procédures conformes à la loi HIPAA ou de se retirer du contrat. Lorsque vous analysez le risque inhérent d'un fournisseur potentiel, tenez compte des éléments suivants :

• Si le fournisseur subissait une cyberattaque majeure qui le mettait dans l'incapacité d'exécuter son contrat, votre chaîne d'approvisionnement subirait-elle une perturbation majeure ?

• Le fournisseur satisfait-il actuellement à toutes les exigences de conformité qui découleraient de votre organisation ? (par exemple, HIPAA, CCPA GDPR)

• Le fournisseur dispose-t-il de son propre programme de gestion des risques liés aux fournisseurs qui lui permet de continuer à livrer en cas de perturbation par une quatrième ou une nième partie ?

• Le fournisseur potentiel a-t-il mis en place un programme de conformité ESG ? Évalue-t-il les quatrième et neuvième parties en ce qui concerne les pots-de-vin, la corruption, l'esclavage moderne et les autres risques ESG?

Poser ces questions et d'autres questions pertinentes peut vous aider à discerner le risque inhérent qu'un fournisseur potentiel pose à votre organisation et à sa chaîne d'approvisionnement. Les réponses à ces questions vous permettront de rédiger un ensemble détaillé d'exigences pour un fournisseur en fonction de la combinaison de son profil et du risque inhérent.

Risque résiduel du fournisseur

Le risque résiduel est le risque qui subsiste après qu'un fournisseur a mis en œuvre avec succès les contrôles requis par votre organisation. Indépendamment du risque profilé du fournisseur, du risque inhérent et des activités de remédiation, il restera toujours un certain risque résiduel. L'objectif d'un programme efficace de gestion du risque fournisseur est de ramener le risque résiduel à un niveau que votre organisation peut tolérer dans l'ensemble de sa chaîne d'approvisionnement.

Pour atteindre un niveau acceptable de risque résiduel, vous devrez vous assurer que tous les fournisseurs ont satisfait aux exigences "incontournables" de votre organisation pour garantir des chaînes d'approvisionnement sûres et conformes. Ces exigences peuvent inclure :

• Programmes de sécurité de l'information robustes et documentés

• Planification approfondie de la reprise après sinistre

• Visibilité sur les quatrième et neuvième parties

• Un programme de conformité ESG

• Visibilité sur l'approvisionnement en matières premières (par exemple, minéraux de conflit)

N'oubliez pas que le risque résiduel n'est pas statique tout au long du cycle de vie de la gestion du risque fournisseur. Il est essentiel de surveiller les tiers tout au long du cycle de vie du contrat afin de rester au courant des changements du risque résiduel résultant de changements organisationnels ou environnementaux.

Schéma d'une stratégie de gestion du risque fournisseur

1. Former une équipe SRM interdépartementale

L'identification et la quantification des risques liés aux fournisseurs peuvent être décourageantes à première vue. Il est donc essentiel de disposer de la bonne équipe pour la gestion et la gouvernance de votre programme SRM. Les participants peuvent inclure des représentants des équipes chargées des achats et de l'approvisionnement, de la gestion des risques, de la sécurité et de l'informatique, du service juridique et de la conformité, ainsi que de la confidentialité des données. Il est également essentiel de s'engager avec la gestion des produits et la fabrication pour comprendre les risques potentiels à chaque nœud de la chaîne de valeur.

2. Choisir un cadre de gestion des risques

En fondant votre programme de gestion des risques sur un cadre de gestion des risques, vous disposez d'une base de bonnes pratiques et d'orientations. De nombreuses organisations s'alignent sur les cadres NIST ou ISO, en fonction de leur secteur d'activité et d'autres facteurs. Les lignes directricesspécifiques du NIST à prendre en considération sont le NIST CSF v2.0, le NIST SP 800-53 et le NIST SP 800-161. Pour les normes ISO, commencez par ISO 27001 et ISO 27036-2.

3. Tenir compte du risque dans les processus d'appel d'offres grâce à la diligence raisonnable précontractuelle

Lors de l'évaluation de nouveaux fournisseurs, veillez à ce que les processus d'appel d'offres, de demande de renseignements et d'autres appels d'offres incluent la collecte d'informations sur les risques commerciaux, financiers et de réputation à partir de sources telles que

• Actualités commerciales (par exemple, activités de fusion et d'acquisition, actions réglementaires et juridiques, changements opérationnels et changements de direction)
• Couverture médiatique défavorable (p. ex. violations ESG, esclavage moderne, pots-de-vin, corruption)
• Listes de violations de données
• Dossiers financiers
• Listes de sanctions (par exemple, OFAC, UE, ONU, BOE, FBI, BIS, etc.)
• Listes d'application de la loi à l'échelle mondiale et dossiers judiciaires (par exemple, FDA, US HHS, UK FSA, SEC, etc.).
• Listes des entreprises d'État
• Listes de personnes politiquement exposées (PEP)

Les réseaux de renseignements sur les risques et les services de profilage des risques peuvent contribuer à automatiser ce processus. Lorsque de nouveaux fournisseurs sont sélectionnés, veillez à mettre en place un processus solide de gestion du cycle de vie des contrats pour rationaliser et sécuriser le processus.

4. Centraliser la visibilité sur les profils des fournisseurs

La création et la maintenance d'une base de données centralisée des fournisseurs sont essentielles pour garantir l'efficacité du programme SRM. La base de données doit inclure des profils complets de fournisseurs et fournir un accès basé sur les rôles aux contacts de l'entreprise, aux données démographiques, aux connexions de^quatrième et de neuvième parties, et aux renseignements sur les risques - en commençant par toutes les données sur les risques profilés et les informations sur les risques externes saisies au cours de la phase d'approvisionnement et de sélection.

5. Classer et hiérarchiser les fournisseurs en fonction du risque inhérent.

Pour garantir l'efficacité du programme SRM et utiliser au mieux des ressources limitées, vous voudrez classer et hiérarchiser vos fournisseurs en fonction de leur risque inhérent. Comme nous l'avons vu précédemment, le risque inhérent est le risque d'un fournisseur avant la prise en compte de tout contrôle spécifique requis par votre organisation. Une évaluation efficace du risque inhérent (voir le tableau ci-dessous) peut combiner des données provenant de simples questionnaires internes ainsi que des données externes sur le risque recueillies pendant la phase de sourcing.

Un tableau simple de notation des risques SRM

6. Effectuer des évaluations périodiques des risques pour assurer la conformité

Une fois vos fournisseurs profilés, catégorisés et hiérarchisés, il devrait être facile de déterminer la fréquence et la portée des évaluations de risques futures pour chaque catégorie de fournisseurs. Par exemple, vous pouvez effectuer des évaluations annuelles des fournisseurs critiques en fonction des normes industrielles, des mandats réglementaires ou des exigences organisationnelles uniques. Les évaluations peuvent demander des informations sur les contrôles de sécurité interne, les plans de continuité des activités, les plans de reprise après sinistre, etc. Pour plus de détails sur les types d'évaluation, consultez notre article de blog, Comment sélectionner un questionnaire d'évaluation du risque fournisseur.

7. Surveiller en permanence les nouveaux risques liés aux fournisseurs

Les risques liés aux fournisseurs émergent constamment en réponse à l'évolution rapide de l'environnement économique, géopolitique et de la cybersécurité. Il est donc important de surveiller en permanence vos fournisseurs essentiels pour détecter les nouveaux risques commerciaux, financiers, de réputation et cyber . Ces informations peuvent être utilisées pour ajuster les scores de risque fournisseur et déclencher des activités de réponse, d'atténuation et de remédiation, telles que la recherche de nouveaux fournisseurs, la modification des itinéraires d'expédition ou l'exigence d'évaluations supplémentaires.

8. Assurer le respect des SLA et des exigences de performance

La plupart des mécanismes d'évaluation et de suivi abordés dans ce billet peuvent également être personnalisés pour évaluer la performance des fournisseurs par rapport aux accords de niveau de service et autres exigences contractuelles. Commencez par établir les indicateurs clés de performance (ICP) des fournisseurs et attribuez des seuils et des propriétaires pour chaque ICP en fonction des attributs du contrat. Une plateforme automatisée peut déclencher des alertes lorsque les KPI ne sont pas atteints ou lorsque les indicateurs de risque clés (KRI) sont dépassés.

9. Se protéger contre les risques lorsque les contrats des fournisseurs prennent fin

L'intégration est souvent négligée dans la gestion des risques liés aux fournisseurs, de sorte que les risques de sécurité sont souvent accrus après la fin d'un contrat. C'est pourquoi il est essentiel d'examiner les profils des fournisseurs dont le contrat est résilié et de procéder à des évaluations d'intégration. Ces évaluations peuvent être utilisées pour valider que les conditions finales du contrat sont respectées, que les livraisons sont effectuées, que l'accès informatique et/ou physique est révoqué, que les biens sont restitués et que les données sensibles sont détruites. Voici une liste de contrôle pour vous aider à démarrer.

Conseils pour votre programme SRM

Reconnaître que le risque lié aux fournisseurs ne s'arrête pas aux tierces parties

Le risque pour une organisation ne se limite pas à ses associés et fournisseurs directs (tiers). Des dommages peuvent également être causés par leurs partenaires, également connus sous le nom de "quatrième partie", ainsi que par ceux qui se trouvent plus loin dans la chaîne d'approvisionnement. La difficulté de reconnaître ces organisations, les risques associés posés par les tiers et leur capacité à administrer et à mettre en œuvre des contrôles contre ces risques est une préoccupation majeure pour les entreprises aujourd'hui. La complexité de l'évaluation et de la réponse à ces types de risques nécessite un programme solide et complet de gestion des risques liés aux tiers.

Créer des plans de réponse aux incidents pour les principaux fournisseurs

Quelle que soit la solidité de vos programmes de gestion des risques et d'approvisionnement, des problèmes peuvent survenir. Pour les parties particulièrement critiques de votre chaîne d'approvisionnement, prenez le temps d'élaborer des plans d'urgence qui vous permettront d'assurer une transition rapide en cas d'incident. Cela peut faire la différence entre des perturbations étendues à l'ensemble de votre organisation et un petit accroc dans les opérations. Plus le fournisseur est important, plus il est essentiel d'élaborer des plans d'intervention spécifiques et réalisables en cas d'incident.

Mettre en place un programme de formation SRM

Pour les grandes entreprises, il peut être extrêmement difficile de garantir des chaînes d'approvisionnement sûres et solides dans toute l'entreprise. Les différents départements peuvent disposer de systèmes distincts pour la recherche et la sélection des fournisseurs, de sorte qu'il peut être difficile d'identifier et de suivre tous les fournisseurs tiers (et leurs chaînes d'approvisionnement, à leur tour).

Un programme de formation SRM peut aider à aligner les décideurs dans l'ensemble de l'organisation et à fournir des normes claires sur la façon dont les individus et les départements doivent intégrer, contrôler, gérer et supprimer les tiers. Sans normes claires et communiquées de manière uniforme, un programme SRM peut rapidement dérailler.

Prochaines étapes

Vous vous demandez comment commencer ? Découvrez nos solutions de gestion du risque fournisseur, notre service de surveillance du risque fournisseur et notre service de diligence raisonnable en matière d'approvisionnement. Vous souhaitez savoir si les solutions et services de Prevalent peuvent convenir à votre organisation ? Demandez une démonstration.