Les 5 principales erreurs de conformité en matière de gestion des risques liés aux tiers

Préparez votre organisation au prochain audit du TPRM en tirant les leçons de ces erreurs courantes.

Par :

Tom Garruba

Directeur des services TPRM, Echelon Risk + Cyber

27 juin 2023

Au cours de mes 20 années de travail dans les domaines de la cybersécurité, de la confidentialité des données, de l'audit, de la conformité et du conseil, j'ai tiré de précieuses leçons. Par exemple, lors du déploiement du programme de gestion des risques des tiers (TPRM) dans une entreprise de soins de santé figurant au classement Fortune 10, j'ai découvert à quel point il est essentiel d'anticiper les besoins des auditeurs et des examinateurs du programme.

En fait, la simplification des initiatives de conformité a été l'un des principaux moteurs de tous les programmes de TPRM auxquels j'ai participé, et j'ai dû surmonter de nombreux obstacles en cours de route. Voici cinq des principaux écueils que j'ai rencontrés en matière de conformité au TPRM, ainsi que des conseils sur la manière de les surmonter.

Erreurs courantes en matière de conformité au TPRM

1. Manque de documentation

La collecte de preuves documentées des contrôles, des processus et des procédures est au cœur de tous les audits de conformité. Cependant, lorsque je travaille avec des clients, je constate souvent que leur documentation est dépassée, obsolète et/ou incohérente par rapport aux réglementations actuelles et aux meilleures pratiques. Dans de nombreux cas, il n'y a aucune indication de propriété, de révision ou d'approbation - et les outils et techniques requis ne sont souvent pas annexés aux procédures existantes. Pire encore, la plupart des documents que j'ai examinés n'étaient pas suffisamment bien rédigés pour que les nouveaux membres de l'équipe puissent se les approprier si nécessaire.

2. Ignorance des politiques et des normes de l'entreprise

La plupart des programmes de TPRM font de leur mieux pour respecter les exigences réglementaires et les normes industrielles, mais nombre d'entre eux ne sont pas alignés sur les politiques et les normes de l'entreprise ou de l'organisation. En voici quelques exemples :

renoncer à vérifier les antécédents des nouveaux vendeurs ou fournisseurs (par exemple, examiner les violations récentes, la situation financière, les problèmes opérationnels, etc.)
Ne pas établir de normes de connectivité basées sur la sensibilité des données (par exemple, quand autoriser l'accès via des VPN ou des passerelles sécurisées).
Ne pas cloisonner les zones "interdites" ou les zones du réseau qui devraient être séparées (par exemple, par un accès privilégié).
L'utilisation de contrats non approuvés lorsque les acheteurs sont malhonnêtes
Contourner le processus de TPRM afin d'intégrer le plus rapidement possible un nouveau fournisseur.

Aller au-delà des politiques approuvées de l'entreprise expose votre organisation à des risques inutiles et pourrait avoir pour conséquence que votre projet ne reçoive pas le financement dont il a besoin pour être couronné de succès.

3. Absence de mesures significatives

Le fait de ne pas mesurer les progrès accomplis dans la réalisation des objectifs en matière de risques ralentira le processus d'audit. Examinez honnêtement vos mesures existantes. Par exemple, sont-ils.. :

Rendre compte avec précision des risques commerciaux et des risques liés aux fournisseurs ?
Découvrir les ajustements potentiels des données et de l'information ?
Représentatif de l'environnement d'évaluation réel ?
Fournir des rapports pertinents et contextuels sur les risques à la direction et aux principales unités opérationnelles ?
Apporter un soutien et une valeur ajoutée à toutes les parties prenantes ?

4. Pas d'inventaire centralisé des fournisseurs

L'un des principaux défis des nouveaux programmes de TPRM est de savoir qui sont les vendeurs et les fournisseurs. Certains peuvent être gérés par l'équipe de sécurité informatique, tandis que d'autres le sont par le service des achats ou un autre service. L'absence d'une liste de fournisseurs faisant autorité peut bloquer votre projet de TPRM. C'est pourquoi il est important de déterminer qui possède et tient à jour l'inventaire des fournisseurs de votre organisation.

Veillez à ce que la documentation relative à la politique de gestion de la relation client reflète la propriété de votre groupe ou fasse référence à la politique du propriétaire. En outre, synchronisez régulièrement les équipes impliquées dans la gestion des inventaires de fournisseurs, telles que les services d'approvisionnement, les propriétaires d'entreprise, les services juridiques et (en dernier recours) les services de comptabilité fournisseurs.

5. Toujours en mode réactif

Trop de programmes de TPRM fonctionnent en mode réactif et sont constamment sur la brèche. C'est l'aboutissement des quatre erreurs de conformité précédentes, où les programmes manquent de documentation, de politiques, de mesures et/ou d'un inventaire central des fournisseurs. Une approche plus proactive de la conformité au TPRM rationalisera vos opérations, vous permettra de mettre à jour la documentation au fur et à mesure des changements, et ouvrira les lignes de communication avec les parties prenantes en ce qui concerne les mesures et les autres besoins du programme.

Regarder le webinaire

Rejoignez Tom Garrubba, directeur des services de gestion des risques liés aux tiers chez Echelon Risk + Cyber, qui décortique les principales erreurs de conformité des programmes de gestion des risques liés aux tiers.

Comment éviter les erreurs de conformité au TPRM

Voici quatre conseils pour adopter une approche plus proactive de la conformité au TPRM :

1. Centraliser la documentation des vendeurs et des fournisseurs à des fins d'attestation et d'examen

Votre solution de TPRM doit vous permettre (ainsi qu'à vos fournisseurs) de télécharger la documentation, les politiques, les preuves, etc. vers des profils de fournisseurs centralisés. Elle doit également être en mesure d'analyser la documentation à l'aide de mots-clés afin de déterminer la pertinence des preuves. Si l'analyse révèle un faible niveau d'adhésion, votre solution TPRM doit vous permettre de demander automatiquement au fournisseur de fournir des documents supplémentaires ou mis à jour.

2. Élaborer et renforcer les mesures de recherche, de sélection et d'évaluation des fournisseurs à l'échelle de l'entreprise

Lorsque vous établissez ou affinez votre programme de gestion des risques liés aux tiers, envisagez de formaliser les éléments suivants :

Réglementer les politiques, les normes, les systèmes et les processus afin de protéger les systèmes et les données
Rôles et responsabilités (par exemple, RACI) de tous les membres de l'équipe concernés
Inventaires de tiers pour comprendre l'ampleur et la portée de l'implication des fournisseurs
Classification par des tiers et approches de catégorisation
Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
Indicateurs clés de performance (ICP) et indicateurs clés de risque (ICR) pour évaluer votre programme et les tiers.
Exigences en matière de conformité et de rapports contractuels
Processus de réponse aux incidents
Rapports internes sur les parties prenantes à l'intention de la direction et du conseil d'administration
Stratégies d'atténuation des risques et de remédiation

Chacun de ces éléments est essentiel à l'élaboration d'un plan de programme de gestion des risques technologiques complet, capable de résister à l'examen des auditeurs.

3. Identifier des mesures significatives

Les domaines KPI/KRI à prendre en considération sont les suivants

Les mesures de risque qui vous aident à comprendre le risque de faire des affaires avec un vendeur ou un fournisseur (par exemple, leur respect des contrôles).
Mesures de la menace fournies par des fournisseurs de renseignements sur les menaces en source ouverte qui ajoutent un contexte à l'environnement de l'entreprise.
Mesures de conformité pour comprendre les performances par rapport aux engagements
Mesures de couverture pour déterminer si vous avez couvert votre base de vendeurs ou de fournisseurs

Prevalent propose un livre électronique sur les KPI/KRI qui énumère 25 des mesures les plus importantes à prendre en compte dans le cadre de votre programme de TPRM.

4. Créer un inventaire central des fournisseurs

Votre solution de TPRM doit vous permettre de créer un inventaire des fournisseurs, soit en téléchargeant une feuille de calcul contenant des informations de profil, soit en utilisant une connexion API avec une solution existante d'approvisionnement ou de comptabilité fournisseurs. Au fur et à mesure que vous intégrez des tiers dans votre inventaire central, établissez des profils comprenant des informations démographiques, la propriété effective, les technologies de quatrième partie, les scores ESG, les récentes informations sur les activités et la réputation, l'historique des violations de données, les récentes conclusions réglementaires et les performances financières. Le fait de disposer de ces informations en un seul endroit facilitera considérablement tous les autres processus de gestion des risques technologiques.

Prochaines étapes

Pour plus de conseils sur le renforcement de votre programme de gestion des risques liés aux tiers et l'amélioration de votre préparation au prochain audit, consultez mon webinaire à la demande avec Prevalent, The Top Third-Party Risk Management Compliance Mistakes (Les principales erreurs de conformité en matière de gestion des risques liés aux tiers).

Tags : Conformité