La surveillance des risques liés aux tiers expliquée

Qu'est-ce que la surveillance des risques par des tiers et comment fonctionne-t-elle ?

La surveillance des risques par des tiers consiste à recueillir et à analyser en permanence des données observables de l'extérieur sur la position des fournisseurs en matière de cybersécurité, d'éthique commerciale, de situation financière et de contexte géopolitique afin d'identifier les risques potentiels de la chaîne d'approvisionnement. La surveillance des tiers est essentielle pour préserver la stabilité de l'écosystème des fournisseurs et garantir la sécurité des données, en particulier dans les domaines à haut risque tels que les soins de santé ou les services financiers.

Les organisations et les parties prenantes peuvent obtenir un aperçu continu de la posture de conformité des fournisseurs en intégrant une collecte et une analyse approfondies des données de sécurité à une approche de gestion des risques par des tiers, en aidant à la défense des systèmes internes, en effectuant des visites sur place et en examinant les dossiers.

Pourquoi la surveillance des risques par des tiers est-elle importante ?

Les chaînes d'approvisionnement internationales étant de plus en plus connectées, le risque lié aux tiers a augmenté de manière exponentielle. La surveillance active des tiers en matière de cybersécurité et de risques financiers, éthiques, de réputation et opérationnels est essentielle pour garantir la stabilité et la résilience de la chaîne d'approvisionnement de votre organisation. La surveillance des tiers garantit la durabilité, la confiance et la transparence de la relation avec le fournisseur. Vous trouverez ci-dessous quelques exemples marquants de cas où une surveillance accrue des tiers aurait pu aider les organisations à éviter les problèmes.

• Violation de Marriott - En 2018, Marriott a subi une violation de données en raison de sa fusion avec Starwood. Début 2020, Marriott a annoncé qu'une autre violation de données avait entraîné la fuite de 5,2 millions de comptes clients, y compris des adresses, des anniversaires, des numéros de téléphone et des informations sur les titulaires de cartes de fidélité. Cette violation de données a été causée par deux propriétaires de franchise Marriott dont l'accès aux systèmes de l'entreprise a été piraté. Même dans le cas d'un partenaire de confiance proche comme un franchisé, nous recommandons de surveiller de près tous les tiers qui ont accès à votre infrastructure d'entreprise. Souvent, ces franchisés n'ont pas les mêmes normes de cybersécurité que leurs sociétés mères, ce qui entraîne des vulnérabilités pour l'ensemble de l'organisation.
• Magecart - Magecart, un groupe de cybercriminels, a mené de nombreuses attaques contre de grands détaillants dans le monde entier depuis 2015. Les récentes attaques contre Ticketmaster, British Airways, Newegg, Feedify et d'autres entreprises seraient l'œuvre du groupe. Les pirates de Magecart infectent généralement les serveurs web tiers utilisés par leurs victimes afin de dérober des informations sensibles, telles que les informations relatives aux cartes de crédit.
• Violation de sécurité chez Atrium Health - En 2018, Atrium Health a connu une violation de données qui a exposé les données confidentielles de plus de 2,65 millions de patients. Une compromission des serveurs utilisés par le fournisseur de facturation d'Atrium Health, AccuDoc Solutions, a provoqué la fuite.
• Violation des données d'Amazon - Une importante violation des données a touché Amazon, eBay, Shopify et PayPal en 2020. Une base de données tierce d'environ huit millions d'achats de détail en ligne au Royaume-Uni a été rendue publique. Ce n'est pas la première fois qu'Amazon est victime d'un incident causé par un tiers. En 2017, des attaquants ont piraté de nombreux vendeurs tiers affiliés à Amazon et ont utilisé leurs comptes pour publier de fausses offres.
• Violation de données chez General Electric (GE) - GE a annoncé une violation de données en 2020, qui a été causée par son fournisseur de services Canon Business Process Services. Un serveur de messagerie électronique piraté a entraîné la divulgation publique d'informations permettant d'identifier des bénéficiaires et des employés actuels et anciens de GE.
• Arrêt des activités chez Toyota - En février 2022, Toyota a arrêté ses activités au Japon après qu'un important fournisseur de plastique, Kojima Industries, a été victime d'une violation de données. Kojima avait accès à distance aux usines de fabrication de Toyota, ce qui augmentait considérablement le risque pour Toyota. Suite à cet arrêt temporaire, Toyota a subi des pertes financières et opérationnelles.

Méthodologie TPM

Pour évaluer avec précision le risque lié aux tiers, il est essentiel de compléter les évaluations périodiques "internes" des fournisseurs par une surveillance continue "externe" des menaces. Ces évaluations des risques liés aux tiers, les questionnaires et l'utilisation de la surveillance des tiers permettent aux organisations d'avoir confiance dans les relations avec les tiers à l'avenir.

Évaluation par un tiers de l'intérieur vers l'extérieur

Ce type d'approche TPM se concentre sur les questionnaires sur les risques liés aux fournisseurs, la diligence raisonnable et la documentation fournie par le fournisseur. Un examen attentif de la documentation et de l'approche du fournisseur en matière de sécurité peut s'avérer inestimable pour les programmes TPM. Assurez-vous que les politiques de sécurité du fournisseur correspondent à ses réponses au questionnaire d'évaluation et aux exigences de conformité. En outre, vous devez vérifier non seulement l'organisation tierce, mais aussi les quatrième et neuvième parties avec lesquelles elle travaille.

Surveillance des risques par des tiers

Il est également essentiel de porter un regard extérieur sur une organisation. A-t-elle des informations d'identification exposées sur le dark web ? S'il s'agit d'une grande entreprise, existe-t-il des dossiers financiers accessibles au public qui pourraient permettre à votre organisation de se faire une idée de sa solvabilité financière ? Veillez à effectuer un contrôle préalable rigoureux, notamment en utilisant les outils TPRM et les informations accessibles au public.

Types de surveillance des risques par des tiers

Évaluation et surveillance des risques liés à la cybersécurité

Cyber Les défis sont nombreux dans la communauté en ligne. Il ne se passe pas une semaine sans qu'on entende parler d'importantes violations de données, dont certaines passent inaperçues pendant des mois avant d'être découvertes. Cyber Les attaquants perfectionnent leurs méthodes d'accès aux informations personnelles et professionnelles en se concentrant sur le point d'accès le plus faible : les fournisseurs tiers de l'entreprise. Les fournisseurs tiers peuvent être reliés par des systèmes informatiques ou des intégrations, et il peut s'agir de fournisseurs de SaaS ou de processeurs de données. Ces tiers peuvent ne pas disposer du même niveau de protection cyber que leurs clients, ce qui en fait une cible plus facile pour les pirates. Prevalent fournit des renseignements sur les risques liés à cyber pour plus de 550 000 entreprises en surveillant plus de 1 500 forums criminels, des milliers de pages oignons, plus de 80 forums d'accès spéciaux sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage pour les informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.

Évaluation et suivi des risques liés à la diversité

Dans un monde plus conscient sur le plan social, faire des affaires avec des tiers signifie s'assurer que les fournisseurs non seulement respectent les lois et les normes de travail nationales, mais aussi que leur personnel reflète fidèlement la société dans son ensemble. La plupart des produits d'évaluation des risques liés aux tiers, en revanche, sont principalement axés sur les menaces de cybersécurité, ignorant les problèmes de diversité et d'inclusion, ce qui peut entraîner une presse négative et un préjudice de réputation. Laplateforme de gestion des risques liés aux tiers Prevalent fournit des outils pour évaluer les politiques de recrutement des tiers en matière de diversité et d'inclusion. Elle est également dotée d'une intégration intégrée avec des informations continues sur la réputation et la réglementation pour vous aider à vérifier les résultats de votre évaluation.

Surveillance des risques financiers et de réputation

Les vulnérabilités des tiers englobent bien plus que les questions de cybersécurité. L'incertitude financière, par exemple, peut avoir un impact sur la capacité d'un fournisseur à fournir des pièces et des services. Une visite de l'OSHA peut entraîner la fermeture d'une installation. Une conclusion défavorable d'un examen réglementaire ou éthique peut détourner l'attention de la direction et mettre votre entreprise en péril. Bien qu'il soit important de se tenir au courant de tous les incidents qui mettent les fournisseurs en danger, les violations de la cybersécurité éclipsent souvent les autres types d'événements à risque dans l'actualité. Il n'est donc pas étonnant que la majorité des systèmes de gestion des risques des tiers ne parviennent pas à fournir à leurs clients des renseignements essentiels sur les finances et la réputation. PrevalentLa plateforme de gestion des risques liés aux tiers d'EDC suit en permanence les bases de données publiques et privées des risques de réputation et des données financières, fournissant les informations, les données de suivi et les rapports nécessaires pour anticiper les perturbations éventuelles des fournisseurs.

Évaluation et suivi des risques liés à l'esclavage moderne

Les gouvernements du monde entier luttent activement contre l'esclavage moderne, qui comprend la traite et le travail forcé des adultes et des enfants. La loi britannique de 2015 sur l'esclavage moderne, la loi australienne sur l'esclavage moderne et la loi californienne sur la transparence des chaînes d'approvisionnement sont également des exemples de législations qui visent à mettre fin à l'esclavage moderne. Les organisations doivent veiller à la responsabilisation des politiques de travail de leurs chaînes d'approvisionnement pour se conformer à ces règles, sous peine d'amendes, de sanctions judiciaires et d'une mauvaise couverture médiatique. Les entreprises doivent effectuer des évaluations des contrôles des fournisseurs dans le cadre d'enquêtes sur les chaînes d'approvisionnement, surveiller les systèmes et valider les résultats par un contrôle externe continu de leurs pratiques réelles.

Surveillance des risques géopolitiques

La surveillance des risques géopolitiques continue de gagner en importance en 2023. Les relations entre les États-Unis et la Chine continuent de se détériorer, tandis que les tensions avec des pays comme la Russie, l'Iran et la Corée du Nord augmentent. Plus les tensions augmentent, plus le risque d'une interruption soudaine des activités découlant de mesures commerciales, d'APT et d'autres événements s'accroît. Les mesures commerciales prises à l'encontre de la Chine à l'automne 2022 illustrent les perturbations soudaines de l'approvisionnement qui peuvent résulter des activités d'un État-nation. Une surveillance rigoureuse des risques géopolitiques peut permettre d'alerter rapidement sur d'éventuelles mesures commerciales, tarifs douaniers, actions en justice et autres risques d'origine géopolitique.

Suivi des risques ESG

Les risques ESG sont au cœur des préoccupations de nombreuses organisations en 2023. Les nouvelles réglementations ESG, telles que le projet de directive européenne sur le devoir de diligence des entreprises et la loi allemande sur le devoir de diligence de la chaîne d'approvisionnement, obligent les entreprises à contrôler leur chaîne d'approvisionnement en fonction des préoccupations ESG. Ces dispositions contrastent avec la précédente génération de lois ESG, qui exigeaient simplement des organisations qu'elles rendent compte des mesures prises en matière d'ESG. Lors du contrôle des risques ESG, il est essentiel d'aller au-delà des tiers et de contrôler l'ensemble de la chaîne d'approvisionnement étendue. Ces dernières années, de nombreuses organisations ont subi d'énormes atteintes à leur réputation parce qu'elles n'ont pas réussi à identifier efficacement les préjudices ESG importants causés par des fournisseurs de quatrième et de troisième rangs en aval.

Surveillance continue par des tiers

Entre deux évaluations des risques liés aux fournisseurs, beaucoup de choses peuvent se produire. C'est pourquoi il est important de fournir une visibilité permanente des menaces pesant sur les fournisseurs. Les risques externes pour les tiers sont constamment suivis et analysés par le Vendor Threat Monitor de Prevalent. Cette approche recherche les risques et les vulnérabilités de cyber sur l'Internet et le dark web, ainsi que les flux publics et privés d'informations sur la réputation et les données financières. Le module Vendor Threat Monitor est combiné à l'évaluation des risques des fournisseurs (inside-out Vendor Risk Assessment) dans le cadre de la plateforme de gestion des risques des tiers (Third-Party Risk Management Platform) de Prevalent. Les données d'analyse et d'évaluation de chaque fournisseur sont consolidées dans un registre unique des risques, ce qui vous permet de comparer facilement les résultats et de rationaliser l'analyse des risques, les rapports et les initiatives de réponse.

Les 4èmes partis et au-delà

Les fournisseurs, les détaillants, les investisseurs et les autres personnes qui font des affaires avec une entreprise sont considérés comme des tiers. Cependant, il existe une autre dimension à laquelle toutes les entreprises doivent prêter attention : les partenaires et fournisseurs de leurs tiers, également appelés "quatrièmes parties". Les quatrièmes partenaires (ou "Nième parties", comme on les appelle dans la chaîne d'approvisionnement) ne sont pas liés contractuellement à une entité, mais ils sont liés à ses tiers.

Avantages de la surveillance continue des risques par des tiers

1. Informer la Diligence raisonnable en matière de passation de marchés

L'analyse des risques menée sur les tiers avant l'intégration peut éclairer la sélection des fournisseurs et donner un aperçu des problèmes potentiels futurs. Elle peut également révéler la nécessité de procéder à des évaluations supplémentaires pour recueillir des informations complémentaires sur les contrôles de sécurité des fournisseurs, les initiatives de conformité et d'autres facteurs susceptibles d'avoir un impact sur le flux de travail opérationnel de votre organisation. Le fait de disposer d'informations préalables peut permettre de gagner beaucoup de temps et d'argent, en particulier si votre organisation dispose d'une chaîne d'approvisionnement complexe impliquant de nombreux fournisseurs.

2. Minimiser les risques pour la réputation

La surveillance continue vous fournit des informations en temps réel sur le statut du risque de réputation de vos fournisseurs tiers. Les informations sur les divulgations financières, les violations de l'éthique, les pénalités réglementaires, les problèmes environnementaux et les procédures judiciaires peuvent vous aider à anticiper la presse négative dans votre chaîne d'approvisionnement et la "culpabilité par association" potentielle de votre organisation.

3. Réduire les risques de violation des données

La surveillance continue permet aux équipes de cybersécurité de recueillir rapidement des données précises et actualisées sur les vulnérabilités des tiers, les fuites d'informations d'identification et autres expositions. Ces informations peuvent aider votre équipe à renforcer ses défenses, à fixer des limites et/ou à émettre des avertissements en réponse à un site Web compromis ou à une violation de la sécurité, afin que vous puissiez agir immédiatement pour protéger vos systèmes sensibles et les données de vos clients.

4. Classer les évaluations par ordre de priorité

La surveillance continue peut aider à établir des profils de fournisseurs et à déterminer leur risque inhérent. Ces informations peuvent vous aider à hiérarchiser la portée et la fréquence des évaluations périodiques des risques, basées sur des questionnaires, en fonction du risque potentiel et de la criticité de chaque tiers pour votre entreprise. En outre, la surveillance peut déclencher une évaluation supplémentaire, ad hoc, si un incident de sécurité majeur ou un événement organisationnel est identifié.

5. Valider les réponses à l'évaluation

La surveillance des postures de cybersécurité et des pratiques commerciales de vos tiers peut vous aider à vérifier l'exactitude des réponses aux évaluations et à boucler la boucle de l'analyse des risques. Recherchent-ils régulièrement les logiciels malveillants et appliquent-ils des correctifs à leurs systèmes ? Suivent-ils des pratiques d'embauche éthiques ? La surveillance continue est un excellent moyen de déterminer si vos fournisseurs tiers respectent vos exigences en matière de sécurité, de conformité et d'éthique.

Mise en place d'un programme de surveillance des risques liés aux tiers

Avec l'augmentation des attaques par des tiers ( cyber ) et les problèmes de confidentialité qui font l'objet de nouvelles lois, il est plus important que jamais de s'assurer que vos fournisseurs peuvent manipuler des données confidentielles en toute sécurité. En revanche, la collecte, la gestion et l'examen manuels des risques sont peu fiables, sources d'erreurs et coûteux. Grâce à notre plateforme unique et intégrée de gestion des risques des tiers (TPRM), Prevalent facilite et accélère l'application et la prévention des risques. Demandez une démonstration pour voir si Prevalent vous convient.