Les 5 éléments constitutifs de la gestion du risque lié aux tiers

Pour mettre en place un programme de gestion des risques liés aux tiers (TPRM) et le faire évoluer vers des niveaux de maturité plus élevés, vous devez faire ces 5 choses.
Par :
Brenda Ferraro
,
Vice-président des risques liés aux tiers
05 décembre 2019
Partager :
Blog building blocks déc 2019

J'ai passé la majeure partie des 15 dernières années à travailler en tant que praticien de la gestion des risques de tiers, ainsi qu'à conseiller des centaines de clients de tous les secteurs d'activité pour les aider à mettre en place leurs programmes TPRM. Ce que j'ai appris au fil du temps, c'est qu'il existe cinq blocs de construction qui constituent la base d'un programme TPRM réussi. Chaque bloc est successif, ce qui signifie que vous pouvez progresser de bas en haut pour atteindre votre objectif ultime, à savoir un programme transparent, efficace et évolutif.

Voici un aperçu des éléments constitutifs du TPRM et de leur importance.

1. Comprendre

Ce que vous comprenez de votre programme existant de gestion des risques liés aux tiers vous aide à prendre des décisions très importantes, et même à savoir où commencer le programme. Commencez par comprendre votre univers de fournisseurs pour déterminer le paysage des risques de votre portefeuille de fournisseurs. Quels sont les fournisseurs que vous avez ?

2. Classer

Ensuite, organisez les données en catégories afin d'établir un classement approprié des risques. J'ai constaté que de nombreuses entreprises n'ont pas de modèle de classification formel en place - parfois même les entreprises les plus grandes et les plus matures n'en ont pas. Sans modèle de classification, vous ne serez pas en mesure de classer vos fournisseurs ou de déterminer le type de diligence raisonnable à appliquer. Pour classer correctement vos fournisseurs, commencez par identifier les données les plus critiques nécessitant le plus de diligence raisonnable, puis descendez à partir de là. Et n'oubliez pas que la taille du fournisseur ne dicte pas toujours le niveau de diligence raisonnable. Les petites entreprises familiales peuvent présenter un risque plus élevé en fonction des types de données qu'elles traitent.

3. Stratifier

Une fois que vous avez classé vos fournisseurs en fonction des données qu'ils traitent, identifiez d'autres facteurs de risque clés tels que la portée de la mission, le lieu du service, le volume de données, le type de service, etc. pour une diligence raisonnable en matière de risque. Interrogez les équipes internes pour identifier le type de mission du fournisseur, le type d'hébergement en place, le type de contenu exposé.

4. Normaliser le site

C'est ici, enfin, que vous commencez à mesurer les réponses des fournisseurs par rapport aux normes de contrôle. Une fois que le risque est observé par le biais des renseignements sur les menaces ou des réponses aux questionnaires, déterminez la tolérance au risque sur la base des contrôles clés de votre entreprise (par exemple, les incontournables) afin de prendre des décisions éclairées, fondées sur le risque. À ce stade, vous configurez la manière dont vous effectuez une diligence raisonnable. Et n'oubliez pas que vous n'êtes pas obligé de chercher à remédier à tous les risques ; si l'entreprise estime que les risques se situent dans des niveaux acceptables de tolérance au risque, vous pouvez plutôt vous concentrer sur les valeurs aberrantes.

5. Agir

Jusqu'à présent, vous avez décidé de l'identité de vos fournisseurs, de leur classification et de leur stratification en fonction des données qu'ils traitent et d'autres attributs, et de la tolérance au risque que vous êtes prêt à accepter. C'est dans ce dernier élément que la disposition des risques intervient. Déterminez si votre organisation exige du fournisseur qu'il mette en place des contrôles compensatoires, ou si vous appliquez un programme d'atténuation des risques pour les ramener à un niveau acceptable.

Ces éléments constitutifs répondront-ils à 100 % de vos exigences en matière de gestion des risques liés aux tiers ? Probablement pas. Cependant, il s'agit d'un point de départ solide pour aborder les domaines critiques que les organisations ont tendance à négliger dans leur hâte de construire des programmes TPRM.

Prevalent peut aider

Prevalent offre la seule plateforme unifiée de gestion des risques liés aux tiers spécialement conçue pour le secteur. Livrée dans la simplicité du cloud, la plateforme Prevalent combine des évaluations automatisées des fournisseurs, une surveillance continue des menaces et un réseau d'évaluations partagées standard pour que les organisations obtiennent une vue à 360 degrés des fournisseurs afin de simplifier la conformité, de réduire les risques et d'améliorer l'efficacité. De plus, Prevalent offre aux clients des services de conseil experts pour optimiser et faire évoluer leurs programmes de gestion des risques.

Pourquoi ne pas commencer par une évaluation de la maturité ? Prevalent peut vous aider à déterminer où vous en êtes dans le développement de votre programme et vous fournir une feuille de route vers des niveaux de maturité plus élevés. Contactez-nous dès aujourd'hui.

Tags :
Partager :
Leadership brenda ferraro 2
Brenda Ferraro
Vice-président des risques liés aux tiers

Brenda Ferraro possède plusieurs années d'expérience de première main dans la gestion des risques liés aux fournisseurs, aux services et aux entreprises de traitement des données. Dans sa quête pour réduire les risques liés aux tiers, elle a organisé une myriade de parties prenantes et conçu une approche pour gérer les risques, qui a été reconnue par les régulateurs et une multitude de centres d'analyse et de sécurité de l'information (ISAC). Dans son rôle avec Prevalent, Brenda travaille avec les entreprises pour construire des écosystèmes de solutions uniques qui éliminent les complexités de la gestion des risques des tiers par le biais d'une plate-forme, d'un cadre et d'une méthodologie de gouvernance communs, simples et abordables. Avant de rejoindre Prevalent, Brenda a dirigé des organisations dans le cadre de la normalisation des contrôles, de la réponse aux incidents, de l'amélioration des processus, de l'établissement de rapports basés sur des données et de la gouvernance dans des entreprises telles que Aetna, Coventry, Arrowhead Healthcare Centers, PayPal/eBay, Charles Schwab et Edwards Air Force Base. Elle est titulaire des certifications vBSIMM, CTPRP, ITIL et CPM.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo