Meilleures pratiques en matière d'évaluation des risques pour les tiers

Pourquoi les évaluations des risques par des tiers sont-elles essentielles ?

Ces dernières années, les entreprises et les chaînes d'approvisionnement mondiales ont été gravement perturbées par des événements tels que la pandémie de COVID-19 en cours, des conditions météorologiques extrêmes, des cyberattaques importantes et d'autres crises. Ces perturbations ont entraîné des défaillances opérationnelles, des pertes financières et des problèmes juridiques pour de nombreuses organisations. Bien que nombre de ces événements aient été inévitables, les organisations dotées de solides programmes de gestion des risques des tiers ont souvent été en mesure de minimiser ou d'atténuer leurs effets.

En mettant en œuvre un processus solide d'évaluation des risques liés aux tiers, votre organisation peut approfondir sa compréhension de sa chaîne d'approvisionnement et évaluer de manière globale des risques difficiles à cerner, tels que le risque de concentration, le risque ESG de la quatrième partie et le risque de réputation. Cela renforce sa résilience en cas de crise tout en lui permettant de prendre des décisions commerciales intelligentes et éclairées sur le risque posé par l'engagement de nouveaux fournisseurs.

Quelles sont les différentes catégories de risques liés aux tiers ?

Lorsque vous travaillez avec des tiers, vous devez tenir compte de trois types de risques principaux : les risques profilés, les risques inhérents et les risques résiduels. Ces types de risques déterminent le niveau d'approfondissement de votre processus d'évaluation et les mesures correctives que vous devez exiger des fournisseurs en fonction de leur sécurité de l'information et de leurs pratiques commerciales.

• Le risque profilé est le risque qu'un tiers représente pour votre organisation sur la base d'informations observables de l'extérieur, telles que sa localisation, son secteur d'activité, son recours à des tiers, sa propriété ou ses politiques de base en matière d'ESG. Les tiers qui opèrent dans une région géopolitiquement instable ou qui ont recours à plusieurs tiers peuvent mériter un examen plus approfondi au cours du processus d'évaluation des risques liés aux tiers.

• Le risque inhérent est le risque que pose un tiers en fonction de ses contrôles internes et de ses pratiques commerciales. Par exemple, une organisation qui accèdera aux données de vos clients et qui a fait l'objet d'un audit et d'une vérification par un tiers pour se conformer au GDPR peut avoir un score de risque inhérent inférieur à celui d'une organisation qui n'a pas de programme formalisé de sécurité de l'information ou de confidentialité des données.

• Le risque résiduel est le niveau de risque qui subsiste après que le fournisseur a mis en œuvre les exigences de votre organisation ou s'il a mis en œuvre les contrôles compensatoires appropriés. Le risque résiduel est parfois appelé "risque acceptable" lorsqu'une organisation accepte les risques restants associés au tiers.

Il est important de prendre en compte ces trois types de risques lors de l'évaluation et de la gestion des tiers afin d'identifier, d'atténuer et de gérer efficacement les dangers potentiels qu'ils peuvent représenter pour votre organisation.

Comment évaluer les risques liés aux tiers ?

L'évaluation du risque pour les tiers implique le calcul de scores de risque qui tiennent compte de la probabilité qu'un événement se produise et de son impact potentiel. Prenons l'exemple d'un fournisseur qui fournit des services à un hôpital et traite de grandes quantités d'informations sanitaires protégées (PHI), mais qui n'est pas en conformité avec la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA).

Dans ce cas, le fournisseur serait considéré comme un associé commercial et soumis aux mêmes exigences réglementaires que le prestataire de soins de santé. L'impact de ce scénario serait important, pouvant entraîner des amendes à la fois pour le prestataire de soins de santé et pour l'associé commercial. La probabilité que les autorités de réglementation découvrent la non-conformité serait également élevée. Cela représenterait un risque inacceptable pour tout organisme de soins de santé et entraînerait probablement la résiliation du contrat.

Cet exemple souligne l'importance de procéder à des évaluations approfondies des risques liés aux tiers, en particulier pour les organisations qui traitent de grandes quantités de données sensibles, comme les entrepreneurs publics et les prestataires de soins de santé. Dans de nombreuses situations, des réglementations telles que l'HIPAA tiennent l'organisation principale responsable de la non-conformité de ses fournisseurs, ce qui rend crucial pour les organisations d'évaluer et d'atténuer correctement les risques associés à leurs relations avec les tiers.

Étapes de l'évaluation du risque par un tiers

1. Réunir les parties prenantes internes

Les programmes d'évaluation des risques par des tiers les plus réussis impliquent la contribution et/ou la participation des parties prenantes, représentant des rôles multiples avec des priorités différentes. Comprendre ces priorités peut vous aider à rationaliser votre programme et à vous assurer que des étapes clés ne sont pas manquées ou négligées. En constituant une équipe interfonctionnelle chargée de planifier et de guider votre programme d'évaluation, vous pouvez contribuer à garantir l'adoption par l'organisation et le succès à long terme.

2. Définir votre niveau acceptable de risque résiduel

Il est important de comprendre que même avec les meilleurs efforts, un certain niveau de risque sera toujours présent lorsque l'on travaille avec des tiers. Avant d'évaluer les partenaires potentiels, vous devez déterminer le niveau de risque acceptable pour votre organisation. Cela permettra de rendre la sélection des fournisseurs et la gestion des risques plus efficaces et plus uniformes. Cette méthode peut également vous aider à identifier rapidement les tiers qui pourraient ne pas correspondre à vos objectifs commerciaux et à votre tolérance au risque.

3. Élaborer votre processus d'évaluation des risques liés aux tiers

Pour gérer efficacement les risques liés aux tiers, il est essentiel de mettre en place un processus normalisé. Toutefois, le processus d'évaluation des risques peut varier en fonction du tiers, de son niveau de criticité pour votre chaîne d'approvisionnement, de son accès à des données sensibles et de sa vulnérabilité aux événements de continuité. Par exemple, les tiers dont la criticité et le risque potentiel sont élevés devront faire l'objet d'un contrôle préalable plus approfondi que ceux dont le risque est moindre. Un processus structuré permettra à votre programme de fonctionner plus efficacement et vous aidera à prendre de meilleures décisions, basées sur le risque, concernant vos relations avec les tiers.

Commencer par une évaluation interne de profilage et de hiérarchisation peut aider à catégoriser vos fournisseurs et à définir le type, la portée et la fréquence des évaluations requises pour chaque groupe.

4. Envoyer des questionnaires d'évaluation des risques par des tiers

Pour gérer efficacement le risque lié aux tiers, il est important de recueillir des informations sur les contrôles internes du fournisseur. L'un des moyens d'y parvenir est d'envoyer des questionnaires. Ces questionnaires peuvent couvrir un large éventail de sujets, tels que les pratiques en matière de sécurité de l'information, les exigences de conformité, la stabilité financière et les données des fournisseurs des quatrième et neuvième parties.

Lorsqu'elles choisissent des questionnaires pour l'évaluation des risques primaires, les entreprises doivent décider si elles utilisent un questionnaire standard ou si elles créent leur propre questionnaire. Les questionnaires normalisés tels que le questionnaire SIG (Standard Information Gathering), le questionnaire H-ISAC pour les organismes de santé et le questionnaire PCF ( Prevalent Compliance Framework) sont largement acceptés et connus de la plupart des vendeurs et des fournisseurs. Toutefois, si un tiers possède déjà une certification de sécurité de l'information, telle que CMMC ou SOC 2, celle-ci peut être acceptée au lieu d'exiger une réponse d'évaluation. Vous pouvez également les compléter par des évaluations exclusives et/ou ad hoc afin de recueillir des informations sur des contrôles spécifiques ou des risques potentiels en dehors de la cybersécurité.

Une autre option consiste à utiliser des cadres lors de la conception des questionnaires d'évaluation des fournisseurs. Des cadres tels que le NIST Cybersecurity Framework, ISO 27001 et NIST 800-30 peuvent contribuer à garantir que les questionnaires sont standardisés dans toute la chaîne d'approvisionnement et qu'ils reflètent les meilleures pratiques. En outre, si des réglementations spécifiques telles que le GDPR ou le PCI-DSS s'appliquent, il peut être avantageux d'incorporer des questions relatives à ces normes directement dans le programme.

5. Compléter les évaluations par une surveillance continue des risques

Les vulnérabilités en matière de cybersécurité, les défis liés à la chaîne d'approvisionnement et les exigences de conformité évoluent en permanence. Par conséquent, effectuez une surveillance continue des risques pour détecter tout cyber, risque commercial, financier ou de réputation survenant entre vos évaluations périodiques des fournisseurs. Vous pouvez également utiliser les données relatives aux risques pour vérifier que les réponses à l'évaluation d'un tiers sont cohérentes avec les activités réelles de l'entreprise.

Violation des données des fournisseurs, informations d'identification exposées et autres risques Cyber

Dans le paysage actuel, en constante évolution, cyber , les organisations doivent surveiller de manière proactive les risques de cybersécurité externes dans l'ensemble de leur écosystème de fournisseurs, plutôt que d'adopter une approche ponctuelle pour évaluer les risques liés aux fournisseurs. Les risques potentiels à surveiller sont les suivants :

• Exposition des titres de compétences

• Violations de données et incidents confirmés

• Applications web mal configurées et vulnérabilités

• Typosquattage et autres menaces sur les marques.

Pour plus d'informations sur l'identification de ces risques et d'autres, consultez notre article sur les meilleures pratiques de gestion des risques de la chaîne d'approvisionnement (C-SCRM) surCyber .

Finances, pratiques commerciales et réputation des tiers

Outre les risques liés à la cybersécurité, il est essentiel de surveiller la stabilité financière, les pratiques commerciales et la réputation des fournisseurs. Une faillite financière, des perturbations opérationnelles ou une mauvaise presse peuvent avoir des répercussions importantes sur votre entreprise et sur les défis environnementaux, sociaux et de gouvernance (ESG), tels que l'esclavage moderne, la corruption et les questions de protection des consommateurs. Pour atténuer ces risques, recherchez les pratiques commerciales des fournisseurs, l'approvisionnement en matières premières et d'autres processus clés qui pourraient poser des problèmes de réputation ou d'éthique. En outre, demandez à des clients et partenaires de référence de vous donner une idée plus précise de la capacité du tiers à respecter les accords de niveau de service et autres obligations contractuelles.

Sélection d'une stratégie de surveillance

Il est important de disposer d'une stratégie complète et efficace lors de l'élaboration d'un programme de surveillance. De nombreuses entreprises utilisent des logiciels de surveillance automatisée des menaces pour identifier et évaluer les risques. Cela peut aider les organisations à recueillir efficacement des informations provenant de diverses sources, telles que des sources ouvertes.

6. Catégoriser et remédier aux risques

Lors de l'évaluation des risques liés aux tiers, il est essentiel de les classer en deux catégories : les risques acceptables et les risques inacceptables. Les risques inacceptables doivent être traités avant de travailler avec le fournisseur. La correction de ces risques peut prendre diverses formes, comme l'exigence d'une certification de sécurité telle que SOC 2, l'arrêt des relations avec les fournisseurs de quatrième et de neuvième parties, ou la modification des pratiques commerciales susceptibles d'entraîner des perturbations de la chaîne d'approvisionnement ou d'autres perturbations.

Il est également essentiel de disposer d'une stratégie de réponse aux incidents définie en cas de violation de données ou d'autres perturbations causées par un fournisseur. Avec un plan préétabli, vous pouvez accélérer considérablement le temps de réponse et minimiser l'impact sur votre organisation.

Comment lancer un programme d'évaluation des risques liés aux tiers ?

De nombreuses entreprises commettent l'erreur d'utiliser une combinaison d'e-mails et de feuilles de calcul lorsqu'elles lancent un programme d'évaluation. Cette approche manuelle peut prendre du temps et être difficile à gérer, en particulier lorsque l'on travaille avec de nombreux fournisseurs. En outre, elle aboutit souvent à des données limitées et peu fiables.

Pour créer un programme d'évaluation efficace, il faut envisager d'utiliser un réseau de renseignements sur les fournisseurs qui donne accès à une bibliothèque de rapports sur les risques liés aux fournisseurs, basés sur des données d'évaluation normalisées. Une autre option est une solution automatisée d'évaluation des risques par un tiers, qui permet une plus grande personnalisation et un meilleur contrôle du processus d'évaluation. Par ailleurs, un fournisseur de services gérés peut effectuer des évaluations en votre nom si vous préférez une approche moins interventionniste.

Prochaines étapes

Prevalent propose des solutions et des services d'évaluation des risques pour les tiers dans le cadre de sa plateforme complète de gestion des risques pour les tiers. Pour discuter de vos besoins spécifiques avec un expert de Prevalent , demandez une démonstration personnalisée dès aujourd'hui.