Essayer de gérer la sécurité des données des fournisseurs, la sécurité de l'information et, plus généralement, les risques liés aux tiers, peut s'avérer une lourde tâche. La mise en œuvre d'un programme efficace de surveillance des tiers (TPM) réduit considérablement les risques tout en vous permettant de gérer les fournisseurs en toute confiance.
La surveillance des tiers continue de prendre de l'importance. Les acteurs de la menace ont commencé à cibler fortement les organisations de la chaîne d'approvisionnement cyber en cherchant à compromettre les entreprises en amont et en aval. Dans le même temps, les risques géopolitiques, les risques ESG et les exigences de conformité ne cessent de croître.
Une solution de surveillance continue des tiers devrait être incluse dans chaque programme de gestion des risques liés aux tiers afin de garantir une analyse et une réaction en temps réel. Un programme complet de surveillance des tiers peut vous aider à atténuer l'impact des violations de données des fournisseurs, des perturbations de la chaîne d'approvisionnement et de la presse négative sur votre organisation. Dans cet article, nous donnons un aperçu de la méthodologie de surveillance des risques liés aux tiers et des termes clés. Nous abordons également les nombreux avantages de la mise en œuvre d'un programme efficace.
La surveillance des risques liés aux tiers expliquée
Regardez cette présentation pour apprendre comment obtenir une visibilité continue sur cyber, les menaces commerciales, financières et ESG liées aux vendeurs et aux fournisseurs.
La surveillance des risques par des tiers consiste à recueillir et à analyser en permanence des données observables de l'extérieur sur la position des fournisseurs en matière de cybersécurité, d'éthique commerciale, de situation financière et de contexte géopolitique afin d'identifier les risques potentiels de la chaîne d'approvisionnement. La surveillance des tiers est essentielle pour préserver la stabilité de l'écosystème des fournisseurs et garantir la sécurité des données, en particulier dans les domaines à haut risque tels que les soins de santé ou les services financiers.
Les organisations et les parties prenantes peuvent obtenir un aperçu continu de la posture de conformité des fournisseurs en intégrant une collecte et une analyse approfondies des données de sécurité à une approche de gestion des risques par des tiers, en aidant à la défense des systèmes internes, en effectuant des visites sur place et en examinant les dossiers.
Les chaînes d'approvisionnement internationales étant de plus en plus connectées, le risque lié aux tiers a augmenté de manière exponentielle. La surveillance active des tiers en matière de cybersécurité et de risques financiers, éthiques, de réputation et opérationnels est essentielle pour garantir la stabilité et la résilience de la chaîne d'approvisionnement de votre organisation. La surveillance des tiers garantit la durabilité, la confiance et la transparence de la relation avec le fournisseur. Vous trouverez ci-dessous quelques exemples marquants de cas où une surveillance accrue des tiers aurait pu aider les organisations à éviter les problèmes.
Pour évaluer avec précision le risque lié aux tiers, il est essentiel de compléter les évaluations périodiques "internes" des fournisseurs par une surveillance continue "externe" des menaces. Ces évaluations des risques liés aux tiers, les questionnaires et l'utilisation de la surveillance des tiers permettent aux organisations d'avoir confiance dans les relations avec les tiers à l'avenir.
Ce type d'approche TPM se concentre sur les questionnaires sur les risques liés aux fournisseurs, la diligence raisonnable et la documentation fournie par le fournisseur. Un examen attentif de la documentation et de l'approche du fournisseur en matière de sécurité peut s'avérer inestimable pour les programmes TPM. Assurez-vous que les politiques de sécurité du fournisseur correspondent à ses réponses au questionnaire d'évaluation et aux exigences de conformité. En outre, vous devez vérifier non seulement l'organisation tierce, mais aussi les quatrième et neuvième parties avec lesquelles elle travaille.
Il est également essentiel de porter un regard extérieur sur une organisation. A-t-elle des informations d'identification exposées sur le dark web ? S'il s'agit d'une grande entreprise, existe-t-il des dossiers financiers accessibles au public qui pourraient permettre à votre organisation de se faire une idée de sa solvabilité financière ? Veillez à effectuer un contrôle préalable rigoureux, notamment en utilisant les outils TPRM et les informations accessibles au public.
Cyber Les défis sont nombreux dans la communauté en ligne. Il ne se passe pas une semaine sans qu'on entende parler d'importantes violations de données, dont certaines passent inaperçues pendant des mois avant d'être découvertes. Cyber Les attaquants perfectionnent leurs méthodes d'accès aux informations personnelles et professionnelles en se concentrant sur le point d'accès le plus faible : les fournisseurs tiers de l'entreprise. Les fournisseurs tiers peuvent être reliés par des systèmes informatiques ou des intégrations, et il peut s'agir de fournisseurs de SaaS ou de processeurs de données. Ces tiers peuvent ne pas disposer du même niveau de protection cyber que leurs clients, ce qui en fait une cible plus facile pour les pirates. Prevalent fournit des renseignements sur les risques liés à cyber pour plus de 550 000 entreprises en surveillant plus de 1 500 forums criminels, des milliers de pages oignons, plus de 80 forums d'accès spéciaux sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage pour les informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
Dans un monde plus conscient sur le plan social, faire des affaires avec des tiers signifie s'assurer que les fournisseurs non seulement respectent les lois et les normes de travail nationales, mais aussi que leur personnel reflète fidèlement la société dans son ensemble. La plupart des produits d'évaluation des risques liés aux tiers, en revanche, sont principalement axés sur les menaces de cybersécurité, ignorant les problèmes de diversité et d'inclusion, ce qui peut entraîner une presse négative et un préjudice de réputation. Laplateforme de gestion des risques liés aux tiers Prevalent fournit des outils pour évaluer les politiques de recrutement des tiers en matière de diversité et d'inclusion. Elle est également dotée d'une intégration intégrée avec des informations continues sur la réputation et la réglementation pour vous aider à vérifier les résultats de votre évaluation.
Les vulnérabilités des tiers englobent bien plus que les questions de cybersécurité. L'incertitude financière, par exemple, peut avoir un impact sur la capacité d'un fournisseur à fournir des pièces et des services. Une visite de l'OSHA peut entraîner la fermeture d'une installation. Une conclusion défavorable d'un examen réglementaire ou éthique peut détourner l'attention de la direction et mettre votre entreprise en péril. Bien qu'il soit important de se tenir au courant de tous les incidents qui mettent les fournisseurs en danger, les violations de la cybersécurité éclipsent souvent les autres types d'événements à risque dans l'actualité. Il n'est donc pas étonnant que la majorité des systèmes de gestion des risques des tiers ne parviennent pas à fournir à leurs clients des renseignements essentiels sur les finances et la réputation. PrevalentLa plateforme de gestion des risques liés aux tiers d'EDC suit en permanence les bases de données publiques et privées des risques de réputation et des données financières, fournissant les informations, les données de suivi et les rapports nécessaires pour anticiper les perturbations éventuelles des fournisseurs.
Les gouvernements du monde entier luttent activement contre l'esclavage moderne, qui comprend la traite et le travail forcé des adultes et des enfants. La loi britannique de 2015 sur l'esclavage moderne, la loi australienne sur l'esclavage moderne et la loi californienne sur la transparence des chaînes d'approvisionnement sont également des exemples de législations qui visent à mettre fin à l'esclavage moderne. Les organisations doivent veiller à la responsabilisation des politiques de travail de leurs chaînes d'approvisionnement pour se conformer à ces règles, sous peine d'amendes, de sanctions judiciaires et d'une mauvaise couverture médiatique. Les entreprises doivent effectuer des évaluations des contrôles des fournisseurs dans le cadre d'enquêtes sur les chaînes d'approvisionnement, surveiller les systèmes et valider les résultats par un contrôle externe continu de leurs pratiques réelles.
La surveillance des risques géopolitiques continue de gagner en importance en 2023. Les relations entre les États-Unis et la Chine continuent de se détériorer, tandis que les tensions avec des pays comme la Russie, l'Iran et la Corée du Nord augmentent. Plus les tensions augmentent, plus le risque d'une interruption soudaine des activités découlant de mesures commerciales, d'APT et d'autres événements s'accroît. Les mesures commerciales prises à l'encontre de la Chine à l'automne 2022 illustrent les perturbations soudaines de l'approvisionnement qui peuvent résulter des activités d'un État-nation. Une surveillance rigoureuse des risques géopolitiques peut permettre d'alerter rapidement sur d'éventuelles mesures commerciales, tarifs douaniers, actions en justice et autres risques d'origine géopolitique.
Les risques ESG sont au cœur des préoccupations de nombreuses organisations en 2023. Les nouvelles réglementations ESG, telles que le projet de directive européenne sur le devoir de diligence des entreprises et la loi allemande sur le devoir de diligence de la chaîne d'approvisionnement, obligent les entreprises à contrôler leur chaîne d'approvisionnement en fonction des préoccupations ESG. Ces dispositions contrastent avec la précédente génération de lois ESG, qui exigeaient simplement des organisations qu'elles rendent compte des mesures prises en matière d'ESG. Lors du contrôle des risques ESG, il est essentiel d'aller au-delà des tiers et de contrôler l'ensemble de la chaîne d'approvisionnement étendue. Ces dernières années, de nombreuses organisations ont subi d'énormes atteintes à leur réputation parce qu'elles n'ont pas réussi à identifier efficacement les préjudices ESG importants causés par des fournisseurs de quatrième et de troisième rangs en aval.
Entre deux évaluations des risques liés aux fournisseurs, beaucoup de choses peuvent se produire. C'est pourquoi il est important de fournir une visibilité permanente des menaces pesant sur les fournisseurs. Les risques externes pour les tiers sont constamment suivis et analysés par le Vendor Threat Monitor de Prevalent. Cette approche recherche les risques et les vulnérabilités de cyber sur l'Internet et le dark web, ainsi que les flux publics et privés d'informations sur la réputation et les données financières. Le module Vendor Threat Monitor est combiné à l'évaluation des risques des fournisseurs (inside-out Vendor Risk Assessment) dans le cadre de la plateforme de gestion des risques des tiers (Third-Party Risk Management Platform) de Prevalent. Les données d'analyse et d'évaluation de chaque fournisseur sont consolidées dans un registre unique des risques, ce qui vous permet de comparer facilement les résultats et de rationaliser l'analyse des risques, les rapports et les initiatives de réponse.
Les fournisseurs, les détaillants, les investisseurs et les autres personnes qui font des affaires avec une entreprise sont considérés comme des tiers. Cependant, il existe une autre dimension à laquelle toutes les entreprises doivent prêter attention : les partenaires et fournisseurs de leurs tiers, également appelés "quatrièmes parties". Les quatrièmes partenaires (ou "Nième parties", comme on les appelle dans la chaîne d'approvisionnement) ne sont pas liés contractuellement à une entité, mais ils sont liés à ses tiers.
L'analyse des risques menée sur les tiers avant l'intégration peut éclairer la sélection des fournisseurs et donner un aperçu des problèmes potentiels futurs. Elle peut également révéler la nécessité de procéder à des évaluations supplémentaires pour recueillir des informations complémentaires sur les contrôles de sécurité des fournisseurs, les initiatives de conformité et d'autres facteurs susceptibles d'avoir un impact sur le flux de travail opérationnel de votre organisation. Le fait de disposer d'informations préalables peut permettre de gagner beaucoup de temps et d'argent, en particulier si votre organisation dispose d'une chaîne d'approvisionnement complexe impliquant de nombreux fournisseurs.
La surveillance continue vous fournit des informations en temps réel sur le statut du risque de réputation de vos fournisseurs tiers. Les informations sur les divulgations financières, les violations de l'éthique, les pénalités réglementaires, les problèmes environnementaux et les procédures judiciaires peuvent vous aider à anticiper la presse négative dans votre chaîne d'approvisionnement et la "culpabilité par association" potentielle de votre organisation.
La surveillance continue permet aux équipes de cybersécurité de recueillir rapidement des données précises et actualisées sur les vulnérabilités des tiers, les fuites d'informations d'identification et autres expositions. Ces informations peuvent aider votre équipe à renforcer ses défenses, à fixer des limites et/ou à émettre des avertissements en réponse à un site Web compromis ou à une violation de la sécurité, afin que vous puissiez agir immédiatement pour protéger vos systèmes sensibles et les données de vos clients.
La surveillance continue peut aider à établir des profils de fournisseurs et à déterminer leur risque inhérent. Ces informations peuvent vous aider à hiérarchiser la portée et la fréquence des évaluations périodiques des risques, basées sur des questionnaires, en fonction du risque potentiel et de la criticité de chaque tiers pour votre entreprise. En outre, la surveillance peut déclencher une évaluation supplémentaire, ad hoc, si un incident de sécurité majeur ou un événement organisationnel est identifié.
La surveillance des postures de cybersécurité et des pratiques commerciales de vos tiers peut vous aider à vérifier l'exactitude des réponses aux évaluations et à boucler la boucle de l'analyse des risques. Recherchent-ils régulièrement les logiciels malveillants et appliquent-ils des correctifs à leurs systèmes ? Suivent-ils des pratiques d'embauche éthiques ? La surveillance continue est un excellent moyen de déterminer si vos fournisseurs tiers respectent vos exigences en matière de sécurité, de conformité et d'éthique.
Avec l'augmentation des attaques par des tiers ( cyber ) et les problèmes de confidentialité qui font l'objet de nouvelles lois, il est plus important que jamais de s'assurer que vos fournisseurs peuvent manipuler des données confidentielles en toute sécurité. En revanche, la collecte, la gestion et l'examen manuels des risques sont peu fiables, sources d'erreurs et coûteux. Grâce à notre plateforme unique et intégrée de gestion des risques des tiers (TPRM), Prevalent facilite et accélère l'application et la prévention des risques. Demandez une démonstration pour voir si Prevalent vous convient.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024