Les réclamations de tierces parties ont fait un tabac... comme dans 50 millions de dollars.

Eh bien, c'est finalement arrivé. En tant qu'ancien avocat plaidant, je m'y attendais depuis un certain temps : un règlement juridique important pour des plaintes de négligence pour n'avoir pas protégé correctement les informations des clients. Dans ce cas particulier, les informations des clients ont été exposées lorsqu'un fournisseur tiers de Wendy's n'a pas installé les contrôles de sécurité appropriés sur ses systèmes de point de vente. Les systèmes de point de vente sont des cibles clés pour les criminels, car ils sont souvent gérés par des fournisseurs tiers disposant de ressources limitées et, par conséquent, de contrôles de sécurité insuffisants. Le résultat ici a été un paiement de 50 millions de dollars pour régler les réclamations juridiques des clients. Le pire, c'est que, selon Wendy's, 27,5 millions de dollars ont été versés de sa propre poche après avoir épuisé la couverture d'assurance.

Ce qui est particulièrement remarquable ici, c'est que la perte de Wendy's n'est pas le résultat d'une action réglementaire, d'un défaut de conformité, d'une perte d'activité due à une violation de données ou même d'une perte de revenus due à une atteinte à la réputation. Cette perte résulte d'une action en justice selon laquelle Wendy's a fait preuve de négligence dans la gestion de son fournisseur tiers. Un examen du procès lui-même suggère que cette approche pourrait être utilisée dans de nombreux autres cas où une entreprise n'a pas réussi à gérer correctement ses fournisseurs.

Il faut davantage de gouvernance par des tiers en matière d'externalisation - les accords juridiques ne suffisent pas.

L'externalisation des processus commerciaux clés qui impliquent l'accès aux informations sur les clients et aux systèmes commerciaux essentiels est aujourd'hui monnaie courante. Pour les entreprises des secteurs réglementés, comme les services financiers et la santé, la gestion des risques liés aux fournisseurs est une exigence de longue date. Cependant, les entreprises des secteurs non réglementés ont été lentes à adopter ce concept.

Pourquoi ? Eh bien, c'est coûteux et extrêmement chronophage lorsqu'il est fait manuellement. Les professionnels de la gestion des risques finissent par consacrer plus de 50 % de leur temps à des activités administratives et de bureau, ce qui leur laisse peu de temps pour identifier et gérer les risques. De nombreuses entreprises tentent de résoudre ces problèmes en s'appuyant sur des clauses contractuelles exigeant d'un fournisseur qu'il maintienne des contrôles de sécurité adéquats. Il s'agit d'une approche dangereuse, car les autorités de réglementation financière ont déterminé il y a longtemps que le fait de s'appuyer sur les clauses contractuelles d'un fournisseur sans prendre de mesures pour déterminer si ce dernier respecte ces exigences est absolument inadéquat (et peut-être négligent ?).

Ce que les entreprises peuvent apprendre de Wendy's

Alors, comment Wendy's aurait-elle pu éviter ce problème de 50 millions de dollars ? Son fournisseur de points de vente aurait dû être évalué régulièrement (dans ce cas, au moins une fois par an) pour déterminer s'il maintenait des contrôles de sécurité suffisants. En raison de la nature critique des services du fournisseur de TPV, Wendy's aurait également dû s'engager dans une surveillance continue des menaces, afin de voir si d'autres menaces dans l'environnement du fournisseur auraient pu avoir un impact sur ses services. Toute déficience identifiée par Wendy's aurait dû être traitée et corrigée par le fournisseur en temps opportun. Enfin, Wendy's aurait besoin de rapports vérifiables qui documentent les mesures prises pour protéger les renseignements sur les clients qu'elle a confiés à un tiers.

Vous avez maintenant 50 millions de raisons de prendre au sérieux la gestion du risque fournisseur. Pour en savoir plus sur la manière dont la plateforme intégrée de gestion des risques liés aux tiers de Prevalentpeut vous aider à obtenir une vue d'ensemble des risques liés aux fournisseurs, regardez une démo ou contactez-nous dès aujourd'hui.