Évaluer correctement les dangers potentiels posés par des tiers est un élément crucial de la stratégie de gestion des risques d'une organisation. Les risques liés aux tiers peuvent inclure des menaces de cybersécurité, des problèmes de confidentialité des données, des problèmes de conformité et des risques opérationnels - ainsi que des risques environnementaux, sociaux et de gouvernance (ESG), des risques financiers et des risques de réputation. En réalisant des évaluations approfondies des risques liés aux tiers, adaptées à un profil de risque spécifique, votre organisation peut identifier et atténuer les risques inacceptables tout au long du cycle de vie de ses relations avec les vendeurs et les fournisseurs.
Les évaluations des risques par des tiers permettent non seulement à votre organisation de détecter et de réduire les risques de manière proactive, mais aussi de se préparer à d'éventuels incidents. En outre, la réalisation d'évaluations complètes des risques par des tiers renforce la confiance des clients, fournit des preuves supplémentaires de conformité aux organismes de réglementation et permet à votre entreprise de découvrir et de comprendre les risques tout au long de sa chaîne d'approvisionnement distribuée.
Les évaluations du risque lié aux tiers sont menées tout au long du cycle de vie du risque lié aux fournisseurs afin d'évaluer de manière holistique le risque organisationnel posé par des vendeurs et des fournisseurs spécifiques. Les organisations procèdent généralement à des évaluations à plusieurs moments de la relation avec le tiers, notamment :
Pendant la phase initiale de sélection et d'approvisionnement, identifier et classer par ordre de priorité les fournisseurs et vendeurs potentiels présentant un profil de risque acceptable.
Avant d'accorder l'accès à des systèmes et à des données sensibles au cours du processus d'intégration, comme une forme de diligence raisonnable pour évaluer les risques potentiels.
Périodiquement, tout au long du partenariat, afin de vérifier la conformité aux accords de niveau de service, d'évaluer le respect des contrats et de répondre aux exigences d'audit.
Pendant le processus d'exclusion, s'assurer que l'accès au système est supprimé et que les données sont protégées ou éliminées conformément à la réglementation.
En cas d'incident de sécurité, déterminer la portée et l'impact de la violation
Les évaluations des risques liés aux tiers s'appuient sur des questionnaires qui sollicitent des informations sur les contrôles de sécurité et de confidentialité d'un tiers. Elles peuvent également recueillir des informations sur les données financières et opérationnelles du tiers, ainsi que sur ses politiques en matière de questions environnementales, sociales et de gouvernance (ESG). Les risques identifiés au cours du processus d'évaluation sont généralement évalués en fonction de facteurs tels que la gravité du problème et la probabilité d'occurrence. Les résultats sont souvent mis en correspondance avec les exigences clés décrites dans les cadres industriels ou réglementaires tels que ISO, HIPAA, PCI DSS, UK Modern Slavery ACT, GDPR, NIST CSF et d'autres réglementations fondamentales. Cela aide les organisations à adopter une approche proactive pour identifier et atténuer les risques associés à la collaboration avec des partenaires externes.
L'évaluation des risques par des tiers expliquée
Regardez cette vidéo pour apprendre comment les évaluations vous permettent non seulement d'identifier et d'atténuer de manière proactive les risques liés aux tiers, mais aussi d'être mieux préparé en cas d'incidents avec les fournisseurs.
Ces dernières années, les entreprises et les chaînes d'approvisionnement mondiales ont été gravement perturbées par des événements tels que la pandémie de COVID-19 en cours, des conditions météorologiques extrêmes, des cyberattaques importantes et d'autres crises. Ces perturbations ont entraîné des défaillances opérationnelles, des pertes financières et des problèmes juridiques pour de nombreuses organisations. Bien que nombre de ces événements aient été inévitables, les organisations dotées de solides programmes de gestion des risques des tiers ont souvent été en mesure de minimiser ou d'atténuer leurs effets.
En mettant en œuvre un processus solide d'évaluation des risques liés aux tiers, votre organisation peut approfondir sa compréhension de sa chaîne d'approvisionnement et évaluer de manière globale des risques difficiles à cerner, tels que le risque de concentration, le risque ESG de la quatrième partie et le risque de réputation. Cela renforce sa résilience en cas de crise tout en lui permettant de prendre des décisions commerciales intelligentes et éclairées sur le risque posé par l'engagement de nouveaux fournisseurs.
Lorsque vous travaillez avec des tiers, vous devez tenir compte de trois types de risques principaux : les risques profilés, les risques inhérents et les risques résiduels. Ces types de risques déterminent le niveau d'approfondissement de votre processus d'évaluation et les mesures correctives que vous devez exiger des fournisseurs en fonction de leur sécurité de l'information et de leurs pratiques commerciales.
Le risque profilé est le risque qu'un tiers représente pour votre organisation sur la base d'informations observables de l'extérieur, telles que sa localisation, son secteur d'activité, son recours à des tiers, sa propriété ou ses politiques de base en matière d'ESG. Les tiers qui opèrent dans une région géopolitiquement instable ou qui ont recours à plusieurs tiers peuvent mériter un examen plus approfondi au cours du processus d'évaluation des risques liés aux tiers.
Le risque inhérent est le risque que pose un tiers en fonction de ses contrôles internes et de ses pratiques commerciales. Par exemple, une organisation qui accèdera aux données de vos clients et qui a fait l'objet d'un audit et d'une vérification par un tiers pour se conformer au GDPR peut avoir un score de risque inhérent inférieur à celui d'une organisation qui n'a pas de programme formalisé de sécurité de l'information ou de confidentialité des données.
Le risque résiduel est le niveau de risque qui subsiste après que le fournisseur a mis en œuvre les exigences de votre organisation ou s'il a mis en œuvre les contrôles compensatoires appropriés. Le risque résiduel est parfois appelé "risque acceptable" lorsqu'une organisation accepte les risques restants associés au tiers.
Il est important de prendre en compte ces trois types de risques lors de l'évaluation et de la gestion des tiers afin d'identifier, d'atténuer et de gérer efficacement les dangers potentiels qu'ils peuvent représenter pour votre organisation.
L'évaluation du risque pour les tiers implique le calcul de scores de risque qui tiennent compte de la probabilité qu'un événement se produise et de son impact potentiel. Prenons l'exemple d'un fournisseur qui fournit des services à un hôpital et traite de grandes quantités d'informations sanitaires protégées (PHI), mais qui n'est pas en conformité avec la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA).
Dans ce cas, le fournisseur serait considéré comme un associé commercial et soumis aux mêmes exigences réglementaires que le prestataire de soins de santé. L'impact de ce scénario serait important, pouvant entraîner des amendes à la fois pour le prestataire de soins de santé et pour l'associé commercial. La probabilité que les autorités de réglementation découvrent la non-conformité serait également élevée. Cela représenterait un risque inacceptable pour tout organisme de soins de santé et entraînerait probablement la résiliation du contrat.
Cet exemple souligne l'importance de procéder à des évaluations approfondies des risques liés aux tiers, en particulier pour les organisations qui traitent de grandes quantités de données sensibles, comme les entrepreneurs publics et les prestataires de soins de santé. Dans de nombreuses situations, des réglementations telles que l'HIPAA tiennent l'organisation principale responsable de la non-conformité de ses fournisseurs, ce qui rend crucial pour les organisations d'évaluer et d'atténuer correctement les risques associés à leurs relations avec les tiers.
Les programmes d'évaluation des risques par des tiers les plus réussis impliquent la contribution et/ou la participation des parties prenantes, représentant des rôles multiples avec des priorités différentes. Comprendre ces priorités peut vous aider à rationaliser votre programme et à vous assurer que des étapes clés ne sont pas manquées ou négligées. En constituant une équipe interfonctionnelle chargée de planifier et de guider votre programme d'évaluation, vous pouvez contribuer à garantir l'adoption par l'organisation et le succès à long terme.
Il est important de comprendre que même avec les meilleurs efforts, un certain niveau de risque sera toujours présent lorsque l'on travaille avec des tiers. Avant d'évaluer les partenaires potentiels, vous devez déterminer le niveau de risque acceptable pour votre organisation. Cela permettra de rendre la sélection des fournisseurs et la gestion des risques plus efficaces et plus uniformes. Cette méthode peut également vous aider à identifier rapidement les tiers qui pourraient ne pas correspondre à vos objectifs commerciaux et à votre tolérance au risque.
Pour gérer efficacement les risques liés aux tiers, il est essentiel de mettre en place un processus normalisé. Toutefois, le processus d'évaluation des risques peut varier en fonction du tiers, de son niveau de criticité pour votre chaîne d'approvisionnement, de son accès à des données sensibles et de sa vulnérabilité aux événements de continuité. Par exemple, les tiers dont la criticité et le risque potentiel sont élevés devront faire l'objet d'un contrôle préalable plus approfondi que ceux dont le risque est moindre. Un processus structuré permettra à votre programme de fonctionner plus efficacement et vous aidera à prendre de meilleures décisions, basées sur le risque, concernant vos relations avec les tiers.
Commencer par une évaluation interne de profilage et de hiérarchisation peut aider à catégoriser vos fournisseurs et à définir le type, la portée et la fréquence des évaluations requises pour chaque groupe.
Pour gérer efficacement le risque lié aux tiers, il est important de recueillir des informations sur les contrôles internes du fournisseur. L'un des moyens d'y parvenir est d'envoyer des questionnaires. Ces questionnaires peuvent couvrir un large éventail de sujets, tels que les pratiques en matière de sécurité de l'information, les exigences de conformité, la stabilité financière et les données des fournisseurs des quatrième et neuvième parties.
Lorsqu'elles choisissent des questionnaires pour l'évaluation des risques primaires, les entreprises doivent décider si elles utilisent un questionnaire standard ou si elles créent leur propre questionnaire. Les questionnaires normalisés tels que le questionnaire SIG (Standard Information Gathering), le questionnaire H-ISAC pour les organismes de santé et le questionnaire PCF ( Prevalent Compliance Framework) sont largement acceptés et connus de la plupart des vendeurs et des fournisseurs. Toutefois, si un tiers possède déjà une certification de sécurité de l'information, telle que CMMC ou SOC 2, celle-ci peut être acceptée au lieu d'exiger une réponse d'évaluation. Vous pouvez également les compléter par des évaluations exclusives et/ou ad hoc afin de recueillir des informations sur des contrôles spécifiques ou des risques potentiels en dehors de la cybersécurité.
Une autre option consiste à utiliser des cadres lors de la conception des questionnaires d'évaluation des fournisseurs. Des cadres tels que le NIST Cybersecurity Framework, ISO 27001 et NIST 800-30 peuvent contribuer à garantir que les questionnaires sont standardisés dans toute la chaîne d'approvisionnement et qu'ils reflètent les meilleures pratiques. En outre, si des réglementations spécifiques telles que le GDPR ou le PCI-DSS s'appliquent, il peut être avantageux d'incorporer des questions relatives à ces normes directement dans le programme.
Modèle gratuit : Les 20 principales questions du TPRM (XLS)
Utilisez ce questionnaire gratuit sur les risques liés aux tiers pour démarrer votre processus d'évaluation des risques liés aux tiers en posant les 20 principales questions de contrôle aux fournisseurs.
Les vulnérabilités en matière de cybersécurité, les défis liés à la chaîne d'approvisionnement et les exigences de conformité évoluent en permanence. Par conséquent, effectuez une surveillance continue des risques pour détecter tout cyber, risque commercial, financier ou de réputation survenant entre vos évaluations périodiques des fournisseurs. Vous pouvez également utiliser les données relatives aux risques pour vérifier que les réponses à l'évaluation d'un tiers sont cohérentes avec les activités réelles de l'entreprise.
Dans le paysage actuel, en constante évolution, cyber , les organisations doivent surveiller de manière proactive les risques de cybersécurité externes dans l'ensemble de leur écosystème de fournisseurs, plutôt que d'adopter une approche ponctuelle pour évaluer les risques liés aux fournisseurs. Les risques potentiels à surveiller sont les suivants :
Exposition des titres de compétences
Violations de données et incidents confirmés
Applications web mal configurées et vulnérabilités
Typosquattage et autres menaces sur les marques.
Pour plus d'informations sur l'identification de ces risques et d'autres, consultez notre article sur les meilleures pratiques de gestion des risques de la chaîne d'approvisionnement (C-SCRM) surCyber .
Outre les risques liés à la cybersécurité, il est essentiel de surveiller la stabilité financière, les pratiques commerciales et la réputation des fournisseurs. Une faillite financière, des perturbations opérationnelles ou une mauvaise presse peuvent avoir des répercussions importantes sur votre entreprise et sur les défis environnementaux, sociaux et de gouvernance (ESG), tels que l'esclavage moderne, la corruption et les questions de protection des consommateurs. Pour atténuer ces risques, recherchez les pratiques commerciales des fournisseurs, l'approvisionnement en matières premières et d'autres processus clés qui pourraient poser des problèmes de réputation ou d'éthique. En outre, demandez à des clients et partenaires de référence de vous donner une idée plus précise de la capacité du tiers à respecter les accords de niveau de service et autres obligations contractuelles.
Il est important de disposer d'une stratégie complète et efficace lors de l'élaboration d'un programme de surveillance. De nombreuses entreprises utilisent des logiciels de surveillance automatisée des menaces pour identifier et évaluer les risques. Cela peut aider les organisations à recueillir efficacement des informations provenant de diverses sources, telles que des sources ouvertes.
Lors de l'évaluation des risques liés aux tiers, il est essentiel de les classer en deux catégories : les risques acceptables et les risques inacceptables. Les risques inacceptables doivent être traités avant de travailler avec le fournisseur. La correction de ces risques peut prendre diverses formes, comme l'exigence d'une certification de sécurité telle que SOC 2, l'arrêt des relations avec les fournisseurs de quatrième et de neuvième parties, ou la modification des pratiques commerciales susceptibles d'entraîner des perturbations de la chaîne d'approvisionnement ou d'autres perturbations.
Il est également essentiel de disposer d'une stratégie de réponse aux incidents définie en cas de violation de données ou d'autres perturbations causées par un fournisseur. Avec un plan préétabli, vous pouvez accélérer considérablement le temps de réponse et minimiser l'impact sur votre organisation.
De nombreuses entreprises commettent l'erreur d'utiliser une combinaison d'e-mails et de feuilles de calcul lorsqu'elles lancent un programme d'évaluation. Cette approche manuelle peut prendre du temps et être difficile à gérer, en particulier lorsque l'on travaille avec de nombreux fournisseurs. En outre, elle aboutit souvent à des données limitées et peu fiables.
Pour créer un programme d'évaluation efficace, il faut envisager d'utiliser un réseau de renseignements sur les fournisseurs qui donne accès à une bibliothèque de rapports sur les risques liés aux fournisseurs, basés sur des données d'évaluation normalisées. Une autre option est une solution automatisée d'évaluation des risques par un tiers, qui permet une plus grande personnalisation et un meilleur contrôle du processus d'évaluation. Par ailleurs, un fournisseur de services gérés peut effectuer des évaluations en votre nom si vous préférez une approche moins interventionniste.
Prevalent propose des solutions et des services d'évaluation des risques pour les tiers dans le cadre de sa plateforme complète de gestion des risques pour les tiers. Pour discuter de vos besoins spécifiques avec un expert de Prevalent , demandez une démonstration personnalisée dès aujourd'hui.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024