Dans un monde des affaires de plus en plus connecté, il n'est plus acceptable d'ignorer les risques que représentent pour votre organisation les mauvaises pratiques de sécurité de vos partenaires, vendeurs ou fournisseurs. Cyber Les criminels savent que le moyen le plus simple de pénétrer dans une organisation est de passer par ses tiers.
En fait, l'étude Prevalent 2023 sur la gestion des risques liés aux tiers a révélé que 41 % des entreprises ont subi une violation de données de tiers au cours des 12 derniers mois, ce qui explique que les équipes de sécurité de l'information s'impliquent de plus en plus dans les programmes de gestion des risques liés aux tiers.
Le perfectionnement continu de votre programme de TPRM est essentiel pour rester au fait de l'évolution constante des risques liés aux tiers. L'existence d'un programme de gestion des risques de tiers parvenu à maturité présente plusieurs avantages :
Malgré ces avantages évidents, la mise en place et la maturation d'un programme de TPRM peuvent sembler décourageantes. Pour relever ce défi, cet article :
Avant de définir ce qu'est un programme de gestion des risques technologiques parvenu à maturité, il convient d'examiner les défis courants auxquels sont confrontées les organisations et qui entravent leur maturité.
Dans de nombreuses organisations, le TPRM appartient à l'équipe de sécurité informatique, mais c'est l'approvisionnement qui est responsable de la relation. D'autres équipes au sein de l'entreprise, telles que l'équipe juridique, ont également leur mot à dire sur les relations avec les tiers. Si les différentes équipes de votre organisation ne partagent pas de données ou n'exploitent pas de processus communs, il sera difficile de mettre en place et d'étendre votre programme.
Le suivi des exigences, des réponses des fournisseurs et des tâches d'atténuation dans des feuilles de calcul ou des documents partagés est sujet à des erreurs et à des incohérences dans les données. Cette approche n'est pas non plus vérifiable si et quand des changements sont apportés. Plus important encore, les processus manuels ne sont tout simplement pas évolutifs. S'il est possible de suivre un seul fournisseur à l'aide d'une feuille de calcul, il est impossible de gérer manuellement des centaines ou des milliers de fournisseurs.
Dans la plupart des cas, les évaluations des risques des tiers sont effectuées avant l'intégration d'un nouveau fournisseur. Si les évaluations initiales sont évidemment importantes, les programmes de gestion des risques de tiers parvenus à maturité prévoient une surveillance continue de tous les facteurs de risque pour l'ensemble des fournisseurs. Après tout, le risque n'est pas statique. Il peut augmenter si un fournisseur change de direction, vend une branche d'activité, subit une violation de la cybersécurité ou échoue à un audit réglementaire. Le risque peut également diminuer avec l'introduction d'un nouveau produit ou un changement de fournisseur qui améliore la qualité ou réduit les coûts.
Le risque va au-delà de vos partenaires et vendeurs directs. Les vendeurs de vos vendeurs - ce que l'on appelle les 4e et 5e parties - peuvent également présenter un risque. La plupart des programmes de TPRM - en particulier les programmes manuels - sont incapables d'identifier et de contrôler correctement ces parties étendues.
Meilleures pratiques pour atteindre la maturité du TPRM
Notre guide gratuit présente un cadre simple pour l'évaluation comparative et l'évolution de votre programme de TPRM.
Un autre défi auquel votre organisation peut être confrontée sur la voie de la maturité du programme de TPRM est la compréhension des risques opérationnels qui surviennent lorsqu'un vendeur ou un fournisseur ne peut pas respecter les accords de niveau de service (SLA) requis. Un programme plus mature vous permettra toutefois de discerner un éventail plus large de menaces et de risques, notamment :
La cybersécurité est un élément essentiel de l'évaluation des risques par les tiers. Les ransomwares, les dénis de service distribués (DDoS) et d'autres attaques peuvent paralyser votre organisation et l'empêcher de remplir ses obligations commerciales. Si la violation de SolarWinds en 2020, au cours de laquelle les attaquants ont compromis la base de code Orion de SolarWinds pour installer des portes dérobées, a peut-être été la plus importante violation de cyber de ces dernières années, elle n'a en aucun cas été la seule violation par des tiers.
La plupart des organisations sont soumises à une myriade d'exigences réglementaires en constante évolution concernant la protection des données et des systèmes sensibles. Bon nombre de ces réglementations, notamment l'HIPAA, le California Consumer Privacy Act (CCPA), le Virginia Consumer Data Protection Act et le Règlement général sur la protection des données (RGPD) de l'Europe, exigent des organisations qu'elles protègent les informations privées de leurs consommateurs, de leurs clients et de leurs employés. D'autres réglementations concernent la protection des informations financières non publiques. Les violations peuvent entraîner des amendes et des atteintes à la réputation.
Les équipes chargées des achats doivent avoir une visibilité sur la stabilité financière de leurs vendeurs et fournisseurs tiers, notamment sur les dettes qu'ils ont contractées et sur les crédits qu'ils accordent à leurs clients. Une déclaration de faillite peut entraîner une perte d'activité et des perturbations de la chaîne d'approvisionnement.
Les préoccupations des investisseurs concernant les pratiques environnementales, sociales et de gouvernance(ESG) ne cessent de croître. Par exemple, à la suite de l 'invasion de l'Ukraine par la Russie, il est devenu désagréable pour de nombreuses entreprises de faire des affaires avec des sociétés affiliées au gouvernement russe. Les organisations doivent également se protéger contre les accusations selon lesquelles leur chaîne d'approvisionnement est impliquée dans des violations des droits de l'homme, fait appel au travail des enfants ou cause des dommages à l'environnement.
Une couverture médiatique défavorable ou des nouvelles négatives concernant un fournisseur peuvent nuire à la réputation de ses clients. Cela peut se produire lorsque le fournisseur est impliqué dans des pratiques d'embauche contraires à l'éthique, dans des problèmes de qualité de ses produits, dans des activités criminelles ou dans des catastrophes environnementales.
Webinaire : 4 meilleures pratiques pour l'analyse comparative et l'audit de votre programme TPRM
Dans ce webinaire, les experts en audit Alastair Parr et Joe Toley partagent leurs meilleures pratiques pour auditer la maturité de votre programme TPRM.
En général, les programmes moins matures se caractérisent par des processus imprévisibles ou mal contrôlés, tandis que les programmes plus matures sont proactifs, prévisibles, mesurés et contrôlés. Un modèle de maturité peut fournir un schéma directeur pour évaluer et faire progresser les pratiques commerciales de votre organisation à un moment donné et aider à définir un chemin vers une plus grande maturité des processus. Dans le présent document, nous nous appuyons sur le modèle de maturité des capacités élaboré par Watts Humphries et d'autres personnes à l'Institut de génie logiciel de l'Université Carnegie Mellon à la fin des années 1980 pour examiner la maturité du programme de TPRM.
Le modèle de maturité des capacités reconnaît que les processus évoluent avec le temps et qu'à mesure que les organisations acquièrent de l'expérience et des connaissances, elles peuvent améliorer leurs processus pour les rendre plus efficients, plus efficaces et plus prévisibles. Le modèle de maturité peut être appliqué à tout type de processus organisationnel, y compris le développement de logiciels, la gestion de projets, l'assurance qualité ou l'assistance à la clientèle.
Le modèle de maturité des capacités pour la gestion des risques liés aux tiers examine cinq piliers clés nécessaires pour soutenir le succès actuel et continu d'un programme de gestion des risques liés aux tiers. Au sein de chaque pilier, nous examinons les approches les moins matures et les plus matures.
La plupart des organisations commencent leur programme de TPRM par l'évaluation de leurs fournisseurs les plus critiques. Cette approche est logique, mais le risque peut provenir de n'importe quelle entité. Les organisations plus matures disposent d'une méthode cohérente pour classer les fournisseurs en fonction de leur niveau de risque afin de s'assurer que tous sont inclus dans le programme, y compris les fournisseurs de quatrième et de troisième rangs.
Les questionnaires d'évaluation des risques commencent souvent par des initiatives ad hoc. Des questions sont posées aux fournisseurs et des réponses libres sont reçues et évaluées. Les programmes plus matures examinent régulièrement les questions d'évaluation afin de comprendre ce que la question tente de trouver en termes de risque pour l'organisation et de pondérer les questions de manière appropriée. Les programmes plus matures veillent également à ce que les fournisseurs fournissent les preuves de conformité demandées.
Les programmes moins matures peuvent suivre des lignes directrices mais ne pas documenter les procédures et ne pas définir clairement les rôles et les responsabilités. Les programmes matures formeront les participants à l'évaluation et publieront et suivront un manuel opérationnel afin de garantir la normalisation des processus. Les programmes plus matures disposent de tableaux RACI documentés qui définissent les personnes responsables, redevables, consultées et informées dans l'ensemble de l'organisation.
Les mesures de remédiation sont axées sur l'efficacité, la normalisation et la qualité de l'approche de gestion des risques après l'identification des risques. Les programmes moins matures identifient les risques et demandent aux fournisseurs de prendre des mesures correctives. Les programmes plus matures mettent en œuvre des mécanismes de notation pour pondérer les risques et les mesures correctives et prescrivent aux fournisseurs des lignes directrices normalisées en matière de mesures correctives.
La gouvernance comprend la manière dont le programme est mesuré et dont le succès est prouvé. Les programmes moins matures ne disposent pas de suffisamment de rapports d'évaluation et d'audits de programmes par des tiers. Les programmes plus matures regroupent les données d'évaluation des tiers afin de fournir aux équipes les informations nécessaires pour mesurer les risques et orienter la prise de décision, et évaluent les vendeurs et fournisseurs tiers sur la base d'indicateurs clés de performance (KPI) et d'indicateurs clés de risque (KRI).
Une vue d'ensemble des piliers du programme contribuant à la maturité du TPRM.
Dans le modèle de maturité des capacités, la maturité du programme dans chacun des cinq piliers est classée en cinq niveaux, d'immature (1) à visionnaire (5). La notation est normalisée afin de garantir que tous les programmes de TPRM sont évalués et notés de manière cohérente. Ainsi, vous pouvez comparer le score de maturité d'un fournisseur à celui de ses homologues d'une échelle, d'une complexité et d'une verticalité similaires.
Le modèle de maturité des capacités du TPRM.
Les organisations qui se situent au premier niveau du modèle de maturité n'accordent pas la priorité à la gestion des risques technologiques. La gestion des risques est cloisonnée. L'activité est ad hoc et réactive, ne se produisant que lorsqu'un problème survient ou lorsque les signaux d'alarme des fournisseurs sont évidents. Les processus n'étant pas documentés et mal définis, il est peu probable qu'une évaluation réussie pour un seul fournisseur puisse être répétée.
Au niveau 1, le TPRM est un processus manuel pour un nombre limité de fournisseurs. Les questionnaires des fournisseurs sont incohérents et distribués sous forme de feuilles de calcul distinctes. Les réponses peuvent être narratives et il est difficile d'évaluer les risques. Il n'existe pas de normes pour les contrôles d'atténuation des risques. Les équipes ne surveillent pas les fournisseurs pour s'assurer qu'ils respectent les règles ou qu'ils présentent de nouveaux risques.
Exigences pour passer au niveau 2 : Au niveau 1, les organisations ne se sont pas engagées à comprendre ou à mesurer les risques liés aux tiers. Les équipes naissantes n'ont pas défini et documenté les processus permettant de les reproduire. Le passage au niveau 2 nécessite une discipline supplémentaire pour définir des politiques et des processus permettant d'assurer la cohérence des évaluations.
Au niveau 2, certaines équipes (mais pas toutes) ont défini et documenté des processus qui permettent d'obtenir des résultats reproductibles. Par exemple, les équipes chargées de la sécurité peuvent avoir des questionnaires normalisés et des exigences en matière de tests de pénétration, ou les équipes chargées des finances peuvent avoir des paramètres normalisés en matière de divulgation financière. D'autres équipes, en revanche, restent ad hoc. Cette approche cloisonnée conduit à des évaluations incohérentes et empêche les programmes de s'étendre.
En l'absence d'une approche normalisée, les fournisseurs ne peuvent pas être classés en fonction de leur niveau de risque. Il en résulte un risque plus élevé si les fournisseurs critiques sont peu évalués et des inefficacités si les fournisseurs à faible risque sont trop contrôlés. Les organisations de niveau 2 continuent d'utiliser des feuilles de calcul et des documents partagés, ce qui rend impossible un TPRM fiable, vérifiable et exhaustif.
Exigences pour passer au niveau 3 : Les organisations de niveau 2 manquent d'informations, de documentation et de cohérence. Elles ont besoin du soutien de la direction pour définir les exigences du TPRM dans toutes les fonctions et d'un moyen de rendre compte des risques et des mesures d'atténuation. L'automatisation est nécessaire à la mise en place d'un programme évolutif.
Au niveau 3, le TPRM dispose de ressources suffisantes et les processus sont cohérents au sein des différentes fonctions d'une organisation. La plupart des silos ont été démantelés et les équipes ont normalisé, documenté et intégré les activités d'identification et d'évaluation des risques. La surveillance des risques s'est étendue au-delà des risques commerciaux et informatiques pour inclure la gouvernance d'entreprise, la conformité et le risque de réputation. L'échelonnement des risques
est normalisé, et les organisations commencent à mettre en place une gestion du cycle de vie des contrats et des procédures formelles d'abandon.
Les processus du niveau 3 sont semi-automatisés. Par exemple, l'intégration peut s'appuyer sur des questionnaires automatisés, tandis que le suivi des mesures correctives et de la conformité aux exigences reste manuel. Cela permet aux équipes d'augmenter modérément le TPRM, mais peut encore laisser des lacunes dans la visibilité.
Exigences pour passer au niveau 4 : Des processus normalisés, des rapports et l'automatisation sont nécessaires dans tous les départements. Au niveau 3, les rapports sont généralement établis par les différents services. Pour progresser, les organisations doivent s'efforcer d'éliminer les silos et d'instituer un reporting centralisé.
Les organisations de niveau 4 considèrent le TPRM comme une exigence stratégique et disposent de politiques et de procédures normalisées dans tous les départements. Les équipes de TPRM procèdent à une évaluation automatisée et normalisée des risques liés aux fournisseurs, ainsi qu'à une surveillance des risques liés aux fournisseurs, à un flux d'évaluation et à une gestion des mesures correctives tout au long du cycle de vie des fournisseurs. Les contrôles d'atténuation des risques sont formalisés et la surveillance des fournisseurs est pleinement mise en œuvre. L'automatisation permet également au programme de faire l'objet d'un audit complet.
Les organisations de niveau 4 peuvent étendre le TPRM à tous les fournisseurs, tout au long de leur cycle de vie. Les rapports sur les indicateurs clés de performance et les indicateurs clés de risque sont automatisés et les initiatives d'amélioration continue sont fondées sur des données. La communication avec les tiers est axée sur les avantages mutuels d'un programme de TPRM.
Exigences pour passer au niveau 5 : Institutionnaliser un programme visant à examiner chaque partie du programme de gestion des risques technologiques afin d'apporter des améliorations progressives au fil du temps. Réexaminer les risques informatiques et non informatiques et les stratégies d'atténuation au moins une fois par an.
Le niveau 5 est un niveau de maturité auquel peu d'organisations peuvent prétendre. Il représente un programme de TPRM entièrement automatisé qui anticipe les risques, attribue des contrôles efficaces et surveille les fournisseurs pour cyber, les risques opérationnels, financiers, environnementaux, de conformité, de réputation, ESG et de performance. Une organisation visionnaire collabore avec les fournisseurs de manière proactive afin d'améliorer leurs activités tout en réduisant les risques.
Au niveau 5, un risque résiduel subsiste, mais il peut être traité rapidement, si nécessaire, au moyen de procédures formelles et testées, puis accepté par l'entreprise.
Critères de maturité du TPRM par pilier et par niveau.
Un programme de gestion de la relation client mature peut aider à identifier et à atténuer les risques potentiels associés aux relations avec les tiers, réduisant ainsi la probabilité d'impacts négatifs sur l'organisation. L'anticipation des risques liés aux tiers aide les organisations à éviter des perturbations coûteuses ainsi que des dommages financiers et des atteintes à la réputation. En automatisant l'identification des risques et les contrôles, et en intégrant les besoins de toutes les parties prenantes, un programme de TPRM mature fournit aux organisations des informations plus précises et plus complètes sur les relations avec les tiers, ce qui leur permet de prendre de meilleures décisions.
Que vous soyez au début de votre programme de gestion des risques des tiers ou que vous travailliez à la maturation d'un programme existant, Prevalent peut vous aider. Prevalent automatise la gestion des risques des tiers en utilisant une plate-forme unique pour collecter des informations sur les risques des tiers, quantifier les risques, recommander des mesures correctives et fournir des modèles de rapport. La plateforme Prevalent comprend une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, une surveillance continue des risques, un flux de travail intégré et des mesures correctives.
Pour savoir où vous en êtes dans la maturité de votre programme de TPRM en utilisant le continuum du modèle de maturité des capacités, demandez dès aujourd'hui une évaluation gratuite de la maturité de votre programme.
Évaluation gratuite de la maturité du TPRM
Travaillez avec les experts de Prevalent pour obtenir un rapport approfondi sur l'état de votre programme TPRM actuel, ainsi que des recommandations pratiques sur la manière de le faire passer au niveau supérieur.
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024