Les défis de la chaîne d'approvisionnement ont été un sujet de premier plan dans l'actualité récemment. Parmi les incidents notables, citons la violation des données de SolarWinds, l'attaque par ransomware de Colonial Pipeline et la pénurie mondiale de puces. Par conséquent, l'amélioration de la résilience de la chaîne d'approvisionnement et la réduction des risques liés à la chaîne d'approvisionnement sont devenues des préoccupations majeures pour de nombreuses organisations, qu'il s'agisse d'entreprises figurant dans le classement Fortune 500 ou de petites et moyennes entreprises.
Les gestionnaires de risques ont une tâche difficile à accomplir. Les chaînes d'approvisionnement d'aujourd'hui sont incroyablement complexes et, pour les grandes organisations, elles peuvent se composer de milliers de fournisseurs tiers, quatrièmes et nièmes. Malheureusement, de nombreuses organisations n'ont pas une visibilité suffisante sur leurs propres fournisseurs, et encore moins sur les fournisseurs de leurs fournisseurs.
Cet article souligne la valeur de la résilience de la chaîne d'approvisionnement et présente cinq mesures que vous pouvez prendre pour réduire le risque de subir une défaillance catastrophique de la chaîne d'approvisionnement. Si vous souhaitez en savoir plus sur la manière de mettre en place un solide programme de gestion des risques de la chaîne d'approvisionnement, consultez notre article sur la gestion des risques de la chaîne d'approvisionnement.
Les chaînes d'approvisionnement sont devenues incroyablement complexes au cours des deux dernières décennies, à mesure que la mondialisation s'étendait. Par conséquent, de nombreuses organisations manquent de visibilité sur leurs chaînes d'approvisionnement étendues, ce qui peut s'avérer incroyablement préjudiciable. Par exemple, les décideurs clés des organisations finalement touchées par la brèche de Kaseya ne savaient peut-être pas que leurs MSP utilisaient la solution de Kaseya en premier lieu. Des problèmes de ce type peuvent entraîner des retards coûteux en cas de violation de données ou d'autres incidents de sécurité.
En outre, les attaques visant la chaîne d'approvisionnement sont de plus en plus fréquentes. Elles visent désormais des éléments essentiels de la chaîne d'approvisionnement mondiale, tels que les gazoducs et les usines de transformation de la viande. Les attaquants ont découvert qu'en compromettant les goulets d'étranglement critiques de la chaîne d'approvisionnement, ils peuvent extorquer d'importants paiements par ransomware sans trop de difficultés.
Il est plus important que jamais de prendre des mesures proactives pour améliorer la résilience de votre chaîne d'approvisionnement, vous protéger des cyberattaques menées par les fournisseurs et comprendre le niveau de risque auquel votre organisation est confrontée.
La vérité est que la mise en place d'une chaîne d'approvisionnement robuste et résiliente est difficile. Vous devez gérer des parties prenantes internes qui ont des fournisseurs privilégiés, ainsi que des centaines ou des milliers de fournisseurs externes, dont beaucoup peuvent présenter des risques inacceptables pour votre organisation. Vous trouverez ci-dessous les mesures que vous pouvez prendre pour comprendre et atténuer les risques dans le cadre d'un plan de résilience de la chaîne d'approvisionnement.
Il est essentiel d'avoir une bonne visibilité sur votre chaîne d'approvisionnement. De nombreuses organisations ne savent pas du tout avec quels fournisseurs elles travaillent en raison de structures départementales cloisonnées et d'un manque d'organisation. Par conséquent, la première étape, et la plus importante, consiste à centraliser les données sur les fournisseurs en un seul endroit où vous pouvez suivre les fournisseurs, les profils de risque et les contrats.
La centralisation des données sur les fournisseurs permet également à votre équipe d'identifier rapidement et efficacement les fournisseurs présentant un risque profilé élevé. La centralisation des données sur les fournisseurs permet de disposer d'un point de référence unique pour les relations avec les fournisseurs ; elle vous aide à suivre facilement l'état des contrats, les perturbations potentielles et les changements potentiels du risque inhérent ou profilé en temps quasi réel.
Outre le suivi des fournisseurs, vous devez également surveiller le fonctionnement de votre chaîne d'approvisionnement en temps réel. Veillez à mettre en place un système de suivi des expéditions entrantes et sortantes, des performances contractuelles et d'autres données essentielles sur les fournisseurs. Vous pourrez ainsi être alerté de tout problème précoce susceptible de provoquer des perturbations ultérieures.
La résilience de la chaîne d'approvisionnement dépend largement de l'identification des fournisseurs les plus critiques pour votre organisation, puis de la réduction du risque à un niveau résiduel acceptable. Les fournisseurs critiques varient selon les secteurs. Par exemple, les entreprises manufacturières sont beaucoup plus exposées aux perturbations liées aux matières premières que les entreprises de logiciels. Une entreprise de logiciels en tant que service peut dépendre entièrement d'un fournisseur de services en nuage comme AWS ou Azure, mais aussi d'une entreprise de recrutement externalisée. Lorsqu'elles planifient la manière de réduire les risques, elles ont tout intérêt à se concentrer non seulement sur les sites de basculement et les sauvegardes des données, mais aussi à s'assurer qu'elles disposent d'un processus de sauvegarde pour embaucher des talents.
Au cours de cette étape, il est également crucial de cartographier les dépendances et de comprendre les vendeurs de vendeurs. Cartographiez les flux de données et les dépendances entre les fournisseurs pour visualiser les dépendances des tiers. Les plateformes de gestion des risques des tiers disposent souvent d'une fonctionnalité intégrée permettant de cartographier facilement les dépendances. Cependant, vous pouvez également recueillir des données sur les dépendances dans le cadre d'un questionnaire sur les risques liés aux tiers et cartographier manuellement les relations de la chaîne d'approvisionnement.
D'autres risques peuvent être beaucoup plus centralisés. Les constructeurs automobiles souffrent actuellement d'une pénurie aiguë de puces en raison des arrêts de fabrication liés au COVID en Chine en 2020. Cette situation s'est avérée désastreuse, car même une petite augmentation des cas de COVID dans une poignée de pays peut entraîner une pénurie de puces qui se propage dans l'économie et entraîne une inflation extrême des prix des véhicules neufs et d'occasion.
L'identification des fournisseurs sans lesquels votre entreprise ne peut pas fonctionner est une étape essentielle pour construire la résilience de votre chaîne d'approvisionnement. Lorsque vous connaissez vos fournisseurs critiques, vous devez ensuite plonger en profondeur et comprendre les chaînes d'approvisionnement de vos fournisseurs. La collecte de ces informations peut vous alerter sur des problèmes qui pourraient empêcher votre tiers de fonctionner à l'avenir, tout en vous permettant de mieux comprendre la posture de risque devotre chaîne d'approvisionnement.
Dans le cadre de la visibilité de votre chaîne d'approvisionnement et de votre chaîne d'approvisionnement étendue, envisagez de classer vos fournisseurs en fonction de leur importance pour l'entreprise. La hiérarchisation implique d'abord de comprendre le profil de risque d'un fournisseur, puis de créer des catégories de fournisseurs en fonction de leur importance pour l'entreprise. Cela peut aider à déterminer les contrôles appropriés à mettre en place et à concentrer vos efforts de réduction des risques sur les fournisseurs les plus critiques.
Disposer d'un écosystème de chaîne d'approvisionnement diversifié peut se traduire par une redondance bien plus importante et une réduction des risques. Lors de l'intégration de nouveaux fournisseurs, tenez compte du risque géographique et du risque lié à une quatrième partie. Plusieurs fournisseurs dépendent-ils d'un même fournisseur tiers à haut risque ? Vos fournisseurs sont-ils concentrés dans une seule zone géographique ?
Plus votre écosystème de chaîne d'approvisionnement est diversifié géographiquement, mieux c'est. Les catastrophes naturelles peuvent rapidement paralyser une organisation si plusieurs fournisseurs essentiels à la mission sont touchés. De même, si l'une de vos tierces parties dépend d'une seule quatrième partie, une seule catastrophe, un seul incident financier ou un seul problème juridique peut mettre en péril votre chaîne d'approvisionnement.
Lors de l'intégration de nouveaux fournisseurs, il convient de tenir compte des points suivants :
Votre fournisseur est-il essentiel aux opérations commerciales ?
Le fournisseur peut-il être facilement remplacé en cas de perturbation de son activité ou de celle de ses tiers ?
Sont-ils dépendants des mêmes fournisseurs tiers que les autres tiers avec lesquels vous travaillez ?
Un contrat avec eux augmenterait-il ou réduirait-il la résilience de votre chaîne d'approvisionnement ?
Avez-vous une visibilité sur les risques liés aux tierces et aux quatrièmes parties ?
Une fois que vous avez identifié les fournisseurs critiques et que vous avez une visibilité sur votre chaîne d'approvisionnement immédiate, vous devez commencer à travailler pour comprendre votre risque. L'application d'une matrice des risques liés aux fournisseurs peut aider à identifier rapidement les fournisseurs qui présentent des risques importants pour votre organisation. Une matrice des risques liés aux fournisseurs peut permettre à votre organisation d'évaluer numériquement et uniformément les fournisseurs en fonction d'une variété de risques, en éliminant beaucoup d'hypothèses et d'interprétations subjectives. Les risques sont classés en fonction de leur probabilité et de leur gravité, ce qui vous permet de concentrer vos efforts sur les risques qui sont à la fois probables et importants.
L'utilisation d'une matrice des risques liés aux fournisseurs donne de la cohérence aux comparaisons des fournisseurs pendant le processus de recherche et de sélection.
Lors de l'évaluation des risques, vous pouvez également effectuer des évaluations de base par rapport aux normes et cadres industriels. Par exemple, si vous envisagez d'intégrer un fournisseur qui traitera de grandes quantités de données sensibles, il peut être utile d'évaluer sa conformité avec le cadre de cybersécurité du NIST ou la norme ISO 27001.
Les données et la sécurité ne sont pas tout. Vous devez également vous préoccuper des risques financiers et de réputation. Si une organisation a recours à l'esclavage dans sa chaîne d'approvisionnement, elle s'expose à de graves risques éthiques et de relations publiques. Les autres risques ESG comprennent la destruction de l'environnement, les pots-de-vin, la corruption et d'autres risques liés à des pratiques commerciales peu recommandables ternissant la réputation de votre organisation.
Il est également crucial que vous passiez au crible les risques financiers des fournisseurs, en particulier s'ils présentent un profil de risque élevé. Si votre organisation dépend fortement d'un fournisseur dont la structure et les performances financières sont médiocres, une faillite ou une perturbation soudaine pourrait rapidement faire dérailler votre chaîne d'approvisionnement.
Conseil rapide : Lors de l'évaluation des fournisseurs pour évaluer la résilience de votre chaîne d'approvisionnement, veillez à ne pas considérer uniquement les fournisseurs tiers, mais également les quatrième et neuvième parties. Un fournisseur peut sembler solide comme le roc et présenter un profil à faible risque, mais s'il dépend lui-même de tiers à risque, il peut présenter un risque important.
Rapport gratuit sur les risques liés aux fournisseurs
Obtenez gratuitement un rapport Prevalent Vendor Threat Monitor (VTM) pour un tiers de votre choix. Vous obtiendrez une vue "extérieure" des expositions et des menaces provenant de centaines de milliers de sources publiques et privées.
Certains fournisseurs peuvent présenter un faible risque profilé, mais représentent néanmoins un niveau substantiel de risque inhérent. Par exemple, si vous travaillez avec une entreprise de CVC qui a régulièrement accès à vos environnements informatiques internes, le risque peut être important. Si, à première vue, un fournisseur de systèmes CVC semble présenter un niveau de risque extrêmement faible, il est important de ne pas négliger son accès et les services qu'il fournit.
Un retard dans l'installation d'un système de chauffage, de ventilation et de climatisation ne met peut-être pas votre entreprise en danger, mais l'introduction par ce fournisseur d'un logiciel malveillant dans votre système de traitement des cartes de crédit représente un risque extrêmement élevé. Ce risque pourrait être atténué en réglementant soigneusement l'accès des fournisseurs aux équipements informatiques, en appliquant le principe du moindre privilège et en veillant à ce que les fournisseurs soient effectivement exclus et que leurs informations d'identification soient révoquées à la fin du contrat.
D'autres fournisseurs à haut risque seront plus évidents. Pour revenir à l'exemple de la société SaaS, un fournisseur de services en nuage peut faire ou défaire une société de logiciels en pleine croissance. En tant que tel, il est logique pour l'entreprise de logiciels de s'engager dans des stratégies sérieuses d'atténuation des risques, telles que l'utilisation de sauvegardes hors site et une planification approfondie en cas de panne prolongée. Lorsque vous atténuez les risques, votre objectif doit être de réduire le risque et d'améliorer la résilience de la chaîne d'approvisionnement en utilisant des stratégies d'atténuation et en réduisant le risque à un niveau résiduel acceptable.
La mise en place d'une chaîne d'approvisionnement résiliente n'est pas un processus ponctuel. Vous devez vous concentrer sur des améliorations continues à la fois pour comprendre le risque que posent les fournisseurs et pour améliorer continuellement vos stratégies d'atténuation. Au fur et à mesure que vous progressez vers un programme complet de gestion des risques liés aux tiers, vous voudrez utiliser des questionnaires d'évaluation des risques liés aux fournisseurs à plusieurs niveaux et éventuellement vous orienter vers une solution logicielle de gestion des risques liés aux tiers.
Une mise en œuvre réussie de la résilience de la chaîne d'approvisionnement permet à votre organisation de surpasser ses concurrents lorsque surviennent des risques qui affectent l'ensemble du marché. Investir dans des systèmes de gestion des risques pour la chaîne d'approvisionnement offre de nombreux avantages. Les organisations qui donnent la priorité au développement et à la mise en œuvre d'une stratégie de gestion des risques pour leur chaîne d'approvisionnement ont plus de chances de réduire leurs risques que celles qui ne le font pas.
Les entreprises qui mettent en œuvre des stratégies de gestion des risques dans leurs chaînes d'approvisionnement bénéficient d'un net avantage concurrentiel par rapport aux autres entreprises de leur secteur. Les organisations qui appliquent la puissance d'une plateforme de gestion des risques dédiée aux tiers à leurs stratégies d'atténuation des risques en bénéficient encore plus.
Vous vous demandez comment commencer ? Découvrez nos solutions pour la résilience de la chaîne d'approvisionnement, ou consultez notre webinaire à la demande : Risque de la chaîne d'approvisionnement : les quatrièmes parties et au-delà. Vous souhaitez savoir si les solutions et services de Prevalentpeuvent convenir à votre organisation ? Demandez une démonstration.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024