Demandez une démo

Structures de gestion des risques liés aux tiers : vue d'ensemble

Aucune approche n'est idéale pour toutes les organisations, mais certains cadres couramment utilisés constituent un bon point de départ. Voici ce qu'il faut savoir.
Par :
Thomas Humphreys
,
Prevalent Expert en conformité
19 août 2024
Partager :
2024 Blog Vue d'ensemble des cadres TPRM

La mise en place d'un programme de gestion des risques liés aux tiers est un processus complexe qui implique la gestion de centaines, voire de milliers, de fournisseurs répartis sur plusieurs continents et juridictions. Les entreprises doivent faire face à divers risques liés aux tiers, notamment les risques financiers, l'exposition à la cybersécurité, les actions en justice, les défaillances de performance et les perturbations opérationnelles potentielles pour chaque vendeur ou fournisseur. Alors que les entreprises externalisent de plus en plus une part importante de leur charge de travail, la mise en place d'un programme complet de gestion de la relation client (TPRM) est devenue plus critique que jamais.

Bien qu'il n'existe pas d'approche unique de gestion des risques technologiques qui convienne à toutes les organisations, certains cadres couramment utilisés constituent un bon point de départ. Il s'agit notamment des contrôles informatiques et des cadres de cybersécurité de la chaîne d'approvisionnement du National Institute of Standards and Technology (NIST) et de l'Organisation internationale de normalisation (ISO), ainsi que des cadres alignés sur d'autres types de risques tels que les risques environnementaux, sociaux et de gouvernance (ESG). Les politiques de gestion des risques des tiers guident les organisations dans l'élaboration, l'application, la gestion et la mise en œuvre des meilleures pratiques dérivées de ces cadres.

Qu'est-ce qu'un cadre de gestion des risques liés aux tiers ?

Les cadres de gestion des risques liés aux tiers constituent une feuille de route permettant aux organisations d'élaborer leurs programmes de gestion des risques liés aux tiers en s'appuyant sur les meilleures pratiques de l'industrie. Ces cadres peuvent servir de base à un programme de gestion des risques liés aux tiers et fournir des exigences de contrôle de base pour les vendeurs et les fournisseurs tiers, en fonction des types de risques que votre organisation juge important d'évaluer.

Les cadres de TPRM se répartissent généralement en catégories de sécurité et de non-sécurité :

  1. Cadres de gestion du risque pour les tiers (TPRM) ou de gestion du risque pour la chaîne d'approvisionnement (SCRM): Ils sont conçus comme des cadres de base pour l'élaboration de votre programme. Parmi les exemples, citons le cadre TPRM des évaluations partagées et le NIST 800-161.
  2. Cadres auxiliaires de sécurité de l'information: Ces cadres peuvent compléter un programme TPRM ou aider à concevoir des questionnaires d'évaluation des risques des fournisseurs, tels que NIST CSF v2.0, ISO 27001 et ISO 27036.
  3. Cadres non informatiques et ESG : Il s'agit de cadres plus larges axés sur les contrôles noncyber , les réglementations et les politiques ESG. Parmi les exemples, citons la directive sur les rapports de durabilité des entreprises (CSRD) et le Carbon Disclosure Project (CDP).

Pourquoi les cadres de gestion des risques liés aux tiers sont-ils importants ?

Le risque lié aux tiers est un aspect de plus en plus crucial de la gestion des risques de l'entreprise. Les entreprises dépendent aujourd'hui d'un large éventail de fournisseurs et de vendeurs internationaux, ce qui les rend vulnérables à des perturbations allant de légères à graves. Ces perturbations peuvent résulter de faillites, d'événements géopolitiques ou de violations de données affectant des tiers.

Les cadres de TPRM et de sécurité de l'information fournissent des contrôles et des conseils précieux aux organisations qui cherchent à atténuer les risques dans les relations avec les tiers. Par exemple, le cadre TPRM des évaluations partagées couvre l'ensemble du cycle de vie de la gestion des risques liés aux fournisseurs, offrant ainsi un guide complet pour la mise en place d'un programme TPRM solide.

Des cadres tels que NIST 800-161, ISO 27036 et Shared Assessments fournissent une base solide pour développer un programme de gestion des risques liés aux fournisseurs. Les cadres de sécurité de l'information tels que ISO 27001, NIST CSF et NIST 800-37 guident le processus d'évaluation des risques des fournisseurs et aident à créer des questionnaires quiévaluent avec précision la maturité d'une entreprise en matière de cybersécurité. qui permettent d'évaluer avec précision la maturité d'une entreprise en matière de cybersécurité.

Considérations lors du choix d'un cadre TPRM

Chaque cadre peut permettre à votre organisation d'exercer un certain contrôle pour répondre de manière exhaustive aux objectifs en matière de réglementation, de gestion des risques et de diligence raisonnable. De nombreuses organisations choisissent de travailler exclusivement avec le NIST ou l'ISO et s'inspirent de plusieurs cadres et documents d'orientation de ces organisations lors de l'élaboration de leur programme. Par exemple, une organisation peut baser son programme de gestion des risques de la chaîne d'approvisionnement sur le NIST 800-161 et s'inspirer des éléments du NIST 800-53, du NIST CSF v2.0 et du NIST RMF pour développer pleinement son programme et son approche de l'évaluation des fournisseurs. Tenez compte des besoins et des exigences de votre organisation avant de choisir un cadre.

Comprendre le paysage des risques

Lors de la mise en œuvre d'un cadre de gestion des risques liés aux tiers, les entreprises doivent examiner la nature des risques encourus et s'adapter à l'évolution de l'environnement commercial, réglementaire et juridique. La compréhension des risques organisationnels est la première étape dans le choix du cadre approprié pour votre entreprise. Ces catégories de risques sont les suivantes (liste non exhaustive) :

  • Risques liés à la cybersécurité et à la confidentialité des données
  • Marché/Réputation
  • Financier
  • Juridique et réglementaire
  • Stratégique
  • Technologie
  • Personnes/Culture
  • Fraude
  • Risque opérationnel
  • Propriété intellectuelle
  • Géopolitique
  • Environnement, société et gouvernance

Tenir compte de l'impact opérationnel potentiel

La TPRM ne consiste pas seulement à s'assurer qu'un partenariat n'expose pas votre organisation à un potentiel de risque intolérable ; il s'agit également de récompenser les fournisseurs qui réduisent les risques de votre organisation grâce à leurs pratiques. C'est pourquoi il est essentiel de choisir le bon cadre de TPRM et de comprendre son impact sur votre écosystème de fournisseurs externes. Lorsque vous choisissez les cadres qui vous aideront à élaborer votre programme de TPRM, tenez compte des éléments suivants :

  • Comment le cadre s'intègre-t-il à vos flux de travail existants ?
  • Comment le cadre s'aligne-t-il sur le cadre général de gestion des risques de votre organisation ?
  • Le cadre dispose-t-il de repères ou publie-t-il des repères disponibles ?
  • Le cadre est-il fréquemment mis à jour pour tenir compte de l'évolution des risques, tels que les risques liés à la cybersécurité, les changements géopolitiques et les modifications de l'environnement juridique ?
  • Existe-t-il des définitions normalisées des notions de risque élevé, moyen et faible ?
  • Quels cadres TPRM vos clients utilisent-ils et auxquels vous devez répondre ?
  • Existe-t-il dans la littérature des processus de remédiation standard associés au cadre TPRM ?
  • Existe-t-il des exigences réglementaires sectorielles spécifiques dont il faut tenir compte ? (par exemple pour les institutions financières ou les prestataires de soins de santé)
  • Quelle est la portée de l'adoption du cadre de gestion du risque de contrepartie, c'est-à-dire peut-il être utilisé pour répondre aux préoccupations relatives au risque de contrepartie ?

Une fois que vous avez identifié les problèmes spécifiques que vous devez résoudre, examinez les cadres de gestion des risques liés à la sécurité de l'information, à la chaîne d'approvisionnement et les cadres de gestion des risques autres quecyber . Les évaluations partagées, NIST 800-161 et ISO 27036 peuvent fournir des exemples spécifiques de contrôles SCRM et TPRM importants, tandis que les cadres de sécurité de l'information tels que NIST CSF peuvent orienter vos processus de gestion des risques des tiers.

Suivre l'évolution des cadres de gestion des risques liés aux tiers

Rejoignez nos experts en conformité dans ce webinaire à la demande où ils présenteront leurs meilleures pratiques pour rester au fait de l'évolution constante des cadres de conformité en matière de gestion des risques des tiers.

Aperçu des cadres de gestion des risques liés aux tiers

Cadres d'évaluations partagées

Évaluations partagées Cadre TPRM

Shared Assessments a publié un ensemble complet de bonnes pratiques en matière de gestion des risques technologiques. Ce cadre est conçu pour aider les organisations à mettre en place, surveiller, optimiser et faire évoluer leur programme de gestion des risques technologiques à l'aide d'un ensemble normalisé de contrôles. Le cadre est divisé en deux sections : les principes fondamentaux et les processus. Les principes fondamentaux comprennent quatre sections : l'introduction, les bases, l'adhésion et la gouvernance. Les processus comprennent huit familles allant de l'analyse de l'externalisation et de la diligence raisonnable à la surveillance continue.

L'évaluation partagée est l'un des rares cadres axés uniquement sur les risques liés aux tiers plutôt que sur des sujets plus vastes tels que la gestion des risques liés à la chaîne d'approvisionnement ou la sécurité de l'information au sein de l'organisation. Toutefois, une cotisation est requise.

Évaluations partagées Questionnaire standardisé de collecte d'informations (SIG)

Shared Assessments publie un questionnaire standardisé de collecte d'informations qui permet aux organisations de mener des évaluations des risques des tiers qui sont facilement prédéfinies en fonction de normes telles que ISO, HIPAA, NIST, GDPR et PCI DSS. Il comprend un outil de gestion qui vous permet de sélectionner des questions prédéfinies, une liste de contrôle de mise en œuvre et des conseils sur la documentation à demander aux fournisseurs tiers. SIG est bénéfique pour les organisations qui démarrent leurs programmes de TPRM.

Cadres de gestion des risques des tiers du NIST

Cadre de gestion des risques de la chaîne d'approvisionnement du NIST (NIST 800-161)

Le NIST 800-161 est un guide complémentaire au NIST 800-53 Rev 5 qui vise spécifiquement à aider les entités fédérales américaines à gérer les risques liés à la chaîne d'approvisionnement. Bien qu'il soit destiné aux entités fédérales, le document NIST 800-161 peut également s'avérer extrêmement utile pour la conception d'un programme TPRM ou SCRM pour les organisations du secteur privé. La norme NIST 800-161 divise le processus de gestion des risques de la chaîne d'approvisionnement en quatre phases : cadrer, évaluer, répondre et récupérer. Il comprend 19 familles de contrôles allant de la formation à la sensibilisation à l'acquisition de systèmes et de services.

Bien que la gestion des risques liés à la chaîne d'approvisionnement et la gestion des risques liés aux tiers diffèrent, il existe des chevauchements importants. S'inspirer de la norme NIST 800-161 pourrait constituer une excellente base pour la mise en place d'un programme de gestion des risques liés à la chaîne d'approvisionnement (TPRM) compétent. La norme NIST 800-161 s'adresse aux grandes organisations multinationales dont les chaînes d'approvisionnement sont complexes et qui ont des besoins avancés en matière de gestion des risques liés à la chaîne d' approvisionnement.

Cadre de gestion des risques du NIST (RMF) 800-37 Révision 2

Le NIST a également publié un cadre complet de gestion des risques qui permet aux entreprises de tous les secteurs d'intégrer de manière transparente la gestion des risques liés aux tiers et la gestion de la sécurité de l'information. La norme NIST 800-37 fournit une base solide pour la gestion des risques dans l'ensemble de l'entreprise, y compris ceux liés aux tiers et aux quatrièmes parties. La section 2.8 du NIST RMF mérite une attention particulière lors de l'examen des questions relatives aux risques de la chaîne d'approvisionnement. Le document NIST 800-37 peut être particulièrement utile lors de l'examen des stratégies d'atténuation des risques pour l'intégration de nouveaux fournisseurs tiers.

Cadre de cybersécurité du NIST (CSF) 2.0

Lors de l'élaboration des questionnaires destinés aux fournisseurs, les meilleures pratiques décrites dans le cadre de cybersécurité du NIST peuvent s'avérer inestimables. Cette bibliothèque de bonnes pratiques fournit un ensemble de normes qui donne à tous les participants le même modèle de référence lorsqu'ils discutent des problèmes. Le NIST CSF est largement considéré comme l'étalon-or pour l'élaboration d'un programme de cybersécurité. Il peut vous aider à mesurer avec précision le profil de risque d'un fournisseur potentiel ( cyber ) dans le cadre du processus d'évaluation. L'élaboration d'un questionnaire sur le risque fournisseur basé sur les contrôles du NIST CSF peut s'avérer particulièrement utile pour les organisations ayant de fortes préoccupations en matière de confidentialité des données ou de conformité réglementaire.

Cadres ISO TPRM

ISO 27001 ET 27002

Les normes ISO 27001 et 27002 fixent des exigences pour l'établissement, la mise en œuvre, le maintien et l'amélioration continue d'un système de gestion de la sécurité de l'information. Les exigences de l'ISO vont bien au-delà du simple risque lié aux tiers et comprennent une section importante sur la gestion du risque lié aux fournisseurs dans le cadre d'un programme plus large de sécurité de l'information. Lors de la conception de votre programme de TPRM, il est utile de prendre en considération les dispositions de l'ISO relatives au risque des tiers et les contrôles de sécurité de l'information plus larges qui pourraient être appliqués à votre processus d'évaluation du risque des fournisseurs.

ISO 27036-2

Si votre organisation a des vendeurs et des fournisseurs tiers internationaux, l'utilisation des processus de l'Organisation internationale de normalisation spécifiques au TPRM et à la sécurité de l'information peut également s'avérer judicieuse. La norme ISO 27036-2 spécifie les exigences fondamentales en matière de sécurité de l'information pour la définition, la mise en œuvre, le fonctionnement, la surveillance, l'examen, le maintien et l'amélioration des relations avec les fournisseurs et les acquéreurs.

Cette norme est particulièrement pertinente pour la gestion des risques des tiers, car les exigences couvrent l'approvisionnement et la fourniture de produits et de services. Les clauses 6 et 7 définissent les exigences fondamentales et de haut niveau en matière de sécurité de l'information applicables à la gestion de plusieurs relations avec les fournisseurs, à tout moment du cycle de vie de ces relations. La norme inclut les risques physiques professionnels tels que les agents de sécurité, les nettoyeurs, les services de livraison, l'entretien des équipements, ainsi que des processus plus standard concernant les services en nuage, les domiciles de données, les processus de conformité partagés et les exigences. La norme ISO 27036-2 est conçue pour gérer l'ensemble du cycle de vie de la relation commerciale :

  • Initiation - délimitation du champ d'application, analyse de rentabilité/coût-bénéfice, comparaison des options d'internalisation et d'externalisation, ainsi qu'une variante ou des approches hybrides telles que la co-sourcing.
  • Définition des exigences, y compris les exigences en matière de sécurité de l'information
  • la passation de marchés, y compris la sélection, l'évaluation et la conclusion de contrats avec des fournisseurs
  • Transition vers ou mise en œuvre des arrangements en matière d'approvisionnement, avec des risques accrus autour de la période de mise en œuvre.
  • Fonctionnement, y compris des aspects tels que la gestion des relations courantes, la conformité, la gestion des incidents et des changements, la surveillance.
  • L'actualisation est une étape facultative du renouvellement du contrat, qui peut consister à revoir les conditions générales, les performances, les problèmes et les méthodes de travail.
  • Résiliation et sortie

Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.

Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources en vedette Manuel de conformité Cybersécurité

Cadres environnementaux, sociaux et de gouvernance

Les cadres ESG guident les organisations dans la divulgation de données sur leur impact environnemental, leurs pratiques sociales et leurs structures de gouvernance en fournissant un modèle standardisé pour mesurer et rendre compte de l'impact sur la durabilité et l'éthique. Élaborés par des entités telles que des ONG, des gouvernements et des groupes d'entreprises, ces cadres définissent les paramètres à suivre, le format des rapports et la fréquence de divulgation. Ils sont essentiels pour normaliser les rapports ESG tout au long de votre chaîne d'approvisionnement, permettant ainsi aux parties prenantes telles que les investisseurs, les régulateurs et les consommateurs d'évaluer et de comparer les performances des organisations. Alors que certains cadres offrent une flexibilité volontaire, d'autres sont imposés par les gouvernements et exigent une conformité stricte.

Carbon Disclosure Project (CDP)

Le CDP est un cadre de référence axé sur la gouvernance et la politique environnementales, la gestion des risques et des opportunités, et les objectifs environnementaux. Il propose des questionnaires détaillés sur le changement climatique, l'eau et les forêts, que les partenaires accrédités notent. Le CDP est particulièrement utile pour les organisations qui cherchent à améliorer la transparence et la responsabilité de leurs pratiques environnementales.

Global Reporting Initiative (GRI)

La GRI est l'un des cadres volontaires ESG les plus utilisés. Elle fournit des normes complètes pour l'établissement de rapports sur les questions économiques, environnementales et sociales. La structure modulaire de la GRI permet aux organisations de choisir les normes les plus pertinentes pour leurs sujets matériels, ce qui en fait un cadre flexible et largement applicable.

Directive concernant les rapports sur le développement durable des entreprises (CSRD)

Le CSRD est un cadre réglementaire élaboré par l'Union européenne. Elle exige des organisations qu'elles établissent des rapports sur divers sujets liés au développement durable, y compris les questions environnementales et sociales. Le CSRD met l'accent sur la double matérialité, exigeant des entreprises qu'elles prennent en compte les impacts financiers et sociétaux dans leurs rapports. Ce cadre est obligatoire pour les organisations opérant dans l'UE et devrait avoir un impact sur des milliers d'entreprises dans le monde.

Réflexions finales sur les cadres de TPRM

Les conseils du NIST, de l'ISO, des évaluations partagées et d'autres fournisseurs de cadres peuvent vous aider à réduire une grande partie du travail manuel de conception de votre programme TPRM. Les cadres NIST 800-161 et ISO 27036-2 peuvent fournir des informations précieuses sur les contrôles communément adoptés dans les programmes de TPRM et de SCRM. D'autres cadres, tels que NIST CSF, ISO 27001 et NIST 800-37, peuvent être extrêmement utiles pour concevoir votre processus d'évaluation des risques des fournisseurs, tandis que CDP, GRI et d'autres se concentrent sur les rapports ESG dans votre chaîne d'approvisionnement.

Prochaines étapes : Automatiser avec Prevalent

La plateforme de gestion des risques liés aux tiers Prevalent simplifie le processus d'élaboration d'un programme de gestion des risques liés aux tiers efficace et rationalisé. Elle vous permet de recueillir rapidement des informations sur les contrôles des fournisseurs, y compris la sécurité informatique, la conformité, la performance, le respect des contrats, la continuité des activités, la situation financière, la réputation, l'éthique, la lutte contre les pots-de-vin et la corruption, l'ESG, la diversité et bien plus encore. Vous pouvez ensuite corréler ces résultats avec les données de surveillance continue pour valider l'efficacité des contrôles.

Prevalent permet d'automatiser et de normaliser l'évaluation des risques liés aux fournisseurs à l'aide de divers cadres et réglementations, tout en offrant une surveillance des risques liés aux fournisseurs et une gestion des mesures correctives tout au long du cycle de vie des risques liés aux tiers. Grâce à des flux de travail et à des questionnaires préétablis et adaptés aux normes de l'industrie, la plateforme permet d'établir et de gérer votre programme de gestion des risques liés aux fournisseurs de manière nettement plus rapide et plus rentable. En outre, elle offre un accès à la demande à des rapports de risque complets et standardisés sur des milliers d'entreprises grâce à ses réseaux de renseignements sur les fournisseurs.

Contactez Prevalent pour obtenir une évaluation gratuite de la maturité de vos politiques TPRM actuelles, ou demandez une démonstration de la plate-forme TPRM Prevalent dès aujourd'hui.

Tags :
Partager :
Thomas humphreys
Thomas Humphreys
Prevalent Expert en conformité
Postes connexes
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo