Comment améliorer la maturité du programme de gestion des risques liés aux tiers ?

Le perfectionnement continu de votre programme TPRM est essentiel pour rester au fait des risques en constante évolution auxquels sont exposés les vendeurs et les fournisseurs.
Par :
Alastair Parr
,
Vice-président principal, Produits et services mondiaux
24 juillet 2023
Partager :
Blog sur l'amélioration de la maturité du tprm 0723

Dans un monde des affaires de plus en plus connecté, il n'est plus acceptable d'ignorer les risques que représentent pour votre organisation les mauvaises pratiques de sécurité de vos partenaires, vendeurs ou fournisseurs. Cyber Les criminels savent que le moyen le plus simple de pénétrer dans une organisation est de passer par ses tiers.

En fait, l'étude Prevalent 2023 sur la gestion des risques liés aux tiers a révélé que 41 % des entreprises ont subi une violation de données de tiers au cours des 12 derniers mois, ce qui explique que les équipes de sécurité de l'information s'impliquent de plus en plus dans les programmes de gestion des risques liés aux tiers.

Avantages de la maturation de votre programme de gestion des risques liés aux tiers

Le perfectionnement continu de votre programme de TPRM est essentiel pour rester au fait de l'évolution constante des risques liés aux tiers. L'existence d'un programme de gestion des risques de tiers parvenu à maturité présente plusieurs avantages :

  • Les programmes matures protègent mieux une organisation en garantissant que les vendeurs, fournisseurs et partenaires tiers sont correctement contrôlés et surveillés dès le début et tout au long de la relation d'affaires.
  • Les programmes de TPRM plus matures sont également plus efficaces et efficients. En mettant en place des processus reproductibles, votre organisation peut évaluer et surveiller les risques avec moins de processus manuels et ad hoc susceptibles d'entraîner des perturbations, des violations ou des amendes.
  • Un programme de TPRM mature améliore la prise de décision en offrant une meilleure visibilité sur les relations avec les tiers. Les équipes peuvent ainsi prendre des décisions plus éclairées sur les partenaires avec lesquels elles travaillent, sur les bonnes questions à poser pour maintenir ces relations et sur le moment où il convient de mettre fin à une relation.

Malgré ces avantages évidents, la mise en place et la maturation d'un programme de TPRM peuvent sembler décourageantes. Pour relever ce défi, cet article :

  • Examine les défis auxquels les équipes sont confrontées lors de la mise en place et de l'extension de processus plus matures et les types de risques qui doivent être gérés
  • Définit la maturité du programme TPRM dans le contexte du modèle de maturité des capacités (Capability Maturity Model), un cadre commun pour mesurer la maturité.
  • Examine chaque étape du modèle de maturité du TPRM et les étapes nécessaires pour progresser vers des niveaux plus matures.

Défis à relever pour faire évoluer votre programme de gestion des risques liés aux tiers

Avant de définir ce qu'est un programme de gestion des risques technologiques parvenu à maturité, il convient d'examiner les défis courants auxquels sont confrontées les organisations et qui entravent leur maturité.

Gestion des silos

Dans de nombreuses organisations, le TPRM appartient à l'équipe de sécurité informatique, mais c'est l'approvisionnement qui est responsable de la relation. D'autres équipes au sein de l'entreprise, telles que l'équipe juridique, ont également leur mot à dire sur les relations avec les tiers. Si les différentes équipes de votre organisation ne partagent pas de données ou n'exploitent pas de processus communs, il sera difficile de mettre en place et d'étendre votre programme.

Utilisation de processus manuels

Le suivi des exigences, des réponses des fournisseurs et des tâches d'atténuation dans des feuilles de calcul ou des documents partagés est sujet à des erreurs et à des incohérences dans les données. Cette approche n'est pas non plus vérifiable si et quand des changements sont apportés. Plus important encore, les processus manuels ne sont tout simplement pas évolutifs. S'il est possible de suivre un seul fournisseur à l'aide d'une feuille de calcul, il est impossible de gérer manuellement des centaines ou des milliers de fournisseurs.

Se concentrer uniquement sur l'accueil des nouveaux arrivants

Dans la plupart des cas, les évaluations des risques des tiers sont effectuées avant l'intégration d'un nouveau fournisseur. Si les évaluations initiales sont évidemment importantes, les programmes de gestion des risques de tiers parvenus à maturité prévoient une surveillance continue de tous les facteurs de risque pour l'ensemble des fournisseurs. Après tout, le risque n'est pas statique. Il peut augmenter si un fournisseur change de direction, vend une branche d'activité, subit une violation de la cybersécurité ou échoue à un audit réglementaire. Le risque peut également diminuer avec l'introduction d'un nouveau produit ou un changement de fournisseur qui améliore la qualité ou réduit les coûts.

Pas de visibilité sur les quatrième et neuvième parties

Le risque va au-delà de vos partenaires et vendeurs directs. Les vendeurs de vos vendeurs - ce que l'on appelle les 4e et 5e parties - peuvent également présenter un risque. La plupart des programmes de TPRM - en particulier les programmes manuels - sont incapables d'identifier et de contrôler correctement ces parties étendues.

Meilleures pratiques pour atteindre la maturité du TPRM

Notre guide gratuit présente un cadre simple pour l'évaluation comparative et l'évolution de votre programme de TPRM.

Lire la suite
Ressources vedettes tprm maturity 0723

Types de risques liés aux tiers traités par les programmes de gestion des risques de tiers parvenus à maturité

Un autre défi auquel votre organisation peut être confrontée sur la voie de la maturité du programme de TPRM est la compréhension des risques opérationnels qui surviennent lorsqu'un vendeur ou un fournisseur ne peut pas respecter les accords de niveau de service (SLA) requis. Un programme plus mature vous permettra toutefois de discerner un éventail plus large de menaces et de risques, notamment :

Cyber Risque

La cybersécurité est un élément essentiel de l'évaluation des risques par les tiers. Les ransomwares, les dénis de service distribués (DDoS) et d'autres attaques peuvent paralyser votre organisation et l'empêcher de remplir ses obligations commerciales. Si la violation de SolarWinds en 2020, au cours de laquelle les attaquants ont compromis la base de code Orion de SolarWinds pour installer des portes dérobées, a peut-être été la plus importante violation de cyber de ces dernières années, elle n'a en aucun cas été la seule violation par des tiers.

  • Une attaque contre Latitude Financial Services, l'un des principaux fournisseurs australiens de prêts personnels, a révélé des informations personnelles sur plus de 330 000 clients de deux des fournisseurs de services de Latitude. Les données exposées comprenaient des passeports et des numéros de passeport. Les attaquants se sont introduits chez un fournisseur pour obtenir les identifiants de connexion des employés de Latitude.
  • Des informations sur les réseaux propriétaires des clients (CPNI) de plus de 9 millions de clients sans fil d'AT&T ont été volées après que des pirates aient pénétré dans les locaux d'un fournisseur de services de marketing d'AT&T.
  • Les données personnelles de millions de retraités de l'United Auto Workers ont été dérobées à l'administrateur de prestations NationBenefits - y compris les identifiants des plans de santé, les informations relatives à l'assurance-maladie et les numéros de sécurité sociale. Les attaquants ont exploité une faiblesse de cybersécurité dans le logiciel de transfert de fichiers utilisé par NationBenefits pour y accéder.

Risque de conformité

La plupart des organisations sont soumises à une myriade d'exigences réglementaires en constante évolution concernant la protection des données et des systèmes sensibles. Bon nombre de ces réglementations, notamment l'HIPAA, le California Consumer Privacy Act (CCPA), le Virginia Consumer Data Protection Act et le Règlement général sur la protection des données (RGPD) de l'Europe, exigent des organisations qu'elles protègent les informations privées de leurs consommateurs, de leurs clients et de leurs employés. D'autres réglementations concernent la protection des informations financières non publiques. Les violations peuvent entraîner des amendes et des atteintes à la réputation.

Risque financier

Les équipes chargées des achats doivent avoir une visibilité sur la stabilité financière de leurs vendeurs et fournisseurs tiers, notamment sur les dettes qu'ils ont contractées et sur les crédits qu'ils accordent à leurs clients. Une déclaration de faillite peut entraîner une perte d'activité et des perturbations de la chaîne d'approvisionnement.

Responsabilité sociale des entreprises

Les préoccupations des investisseurs concernant les pratiques environnementales, sociales et de gouvernance(ESG) ne cessent de croître. Par exemple, à la suite de l 'invasion de l'Ukraine par la Russie, il est devenu désagréable pour de nombreuses entreprises de faire des affaires avec des sociétés affiliées au gouvernement russe. Les organisations doivent également se protéger contre les accusations selon lesquelles leur chaîne d'approvisionnement est impliquée dans des violations des droits de l'homme, fait appel au travail des enfants ou cause des dommages à l'environnement.

Risque de réputation

Une couverture médiatique défavorable ou des nouvelles négatives concernant un fournisseur peuvent nuire à la réputation de ses clients. Cela peut se produire lorsque le fournisseur est impliqué dans des pratiques d'embauche contraires à l'éthique, dans des problèmes de qualité de ses produits, dans des activités criminelles ou dans des catastrophes environnementales.

Webinaire : 4 meilleures pratiques pour l'analyse comparative et l'audit de votre programme TPRM

Dans ce webinaire, les experts en audit Alastair Parr et Joe Toley partagent leurs meilleures pratiques pour auditer la maturité de votre programme TPRM.

Définir la maturité du TPRM à l'aide du modèle de maturité des capacités

En général, les programmes moins matures se caractérisent par des processus imprévisibles ou mal contrôlés, tandis que les programmes plus matures sont proactifs, prévisibles, mesurés et contrôlés. Un modèle de maturité peut fournir un schéma directeur pour évaluer et faire progresser les pratiques commerciales de votre organisation à un moment donné et aider à définir un chemin vers une plus grande maturité des processus. Dans le présent document, nous nous appuyons sur le modèle de maturité des capacités élaboré par Watts Humphries et d'autres personnes à l'Institut de génie logiciel de l'Université Carnegie Mellon à la fin des années 1980 pour examiner la maturité du programme de TPRM.

Le modèle de maturité des capacités reconnaît que les processus évoluent avec le temps et qu'à mesure que les organisations acquièrent de l'expérience et des connaissances, elles peuvent améliorer leurs processus pour les rendre plus efficients, plus efficaces et plus prévisibles. Le modèle de maturité peut être appliqué à tout type de processus organisationnel, y compris le développement de logiciels, la gestion de projets, l'assurance qualité ou l'assistance à la clientèle.

Les 5 piliers de la maturité du TPRM

Le modèle de maturité des capacités pour la gestion des risques liés aux tiers examine cinq piliers clés nécessaires pour soutenir le succès actuel et continu d'un programme de gestion des risques liés aux tiers. Au sein de chaque pilier, nous examinons les approches les moins matures et les plus matures.

1. Couverture de l'entité

La plupart des organisations commencent leur programme de TPRM par l'évaluation de leurs fournisseurs les plus critiques. Cette approche est logique, mais le risque peut provenir de n'importe quelle entité. Les organisations plus matures disposent d'une méthode cohérente pour classer les fournisseurs en fonction de leur niveau de risque afin de s'assurer que tous sont inclus dans le programme, y compris les fournisseurs de quatrième et de troisième rangs.

2. Contenu

Les questionnaires d'évaluation des risques commencent souvent par des initiatives ad hoc. Des questions sont posées aux fournisseurs et des réponses libres sont reçues et évaluées. Les programmes plus matures examinent régulièrement les questions d'évaluation afin de comprendre ce que la question tente de trouver en termes de risque pour l'organisation et de pondérer les questions de manière appropriée. Les programmes plus matures veillent également à ce que les fournisseurs fournissent les preuves de conformité demandées.

3. Rôles et responsabilités

Les programmes moins matures peuvent suivre des lignes directrices mais ne pas documenter les procédures et ne pas définir clairement les rôles et les responsabilités. Les programmes matures formeront les participants à l'évaluation et publieront et suivront un manuel opérationnel afin de garantir la normalisation des processus. Les programmes plus matures disposent de tableaux RACI documentés qui définissent les personnes responsables, redevables, consultées et informées dans l'ensemble de l'organisation.

4. Remédiation

Les mesures de remédiation sont axées sur l'efficacité, la normalisation et la qualité de l'approche de gestion des risques après l'identification des risques. Les programmes moins matures identifient les risques et demandent aux fournisseurs de prendre des mesures correctives. Les programmes plus matures mettent en œuvre des mécanismes de notation pour pondérer les risques et les mesures correctives et prescrivent aux fournisseurs des lignes directrices normalisées en matière de mesures correctives.

5. La gouvernance

La gouvernance comprend la manière dont le programme est mesuré et dont le succès est prouvé. Les programmes moins matures ne disposent pas de suffisamment de rapports d'évaluation et d'audits de programmes par des tiers. Les programmes plus matures regroupent les données d'évaluation des tiers afin de fournir aux équipes les informations nécessaires pour mesurer les risques et orienter la prise de décision, et évaluent les vendeurs et fournisseurs tiers sur la base d'indicateurs clés de performance (KPI) et d'indicateurs clés de risque (KRI).

Questions clés à poser

Questions à poser sur la maturité du TPRM

Une vue d'ensemble des piliers du programme contribuant à la maturité du TPRM.

Niveaux de maturité de la gestion des risques liés aux tiers

Dans le modèle de maturité des capacités, la maturité du programme dans chacun des cinq piliers est classée en cinq niveaux, d'immature (1) à visionnaire (5). La notation est normalisée afin de garantir que tous les programmes de TPRM sont évalués et notés de manière cohérente. Ainsi, vous pouvez comparer le score de maturité d'un fournisseur à celui de ses homologues d'une échelle, d'une complexité et d'une verticalité similaires.

Le modèle de maturité des capacités du TPRM

Le modèle de maturité des capacités du TPRM.

Niveau 1 : Immature

Les organisations qui se situent au premier niveau du modèle de maturité n'accordent pas la priorité à la gestion des risques technologiques. La gestion des risques est cloisonnée. L'activité est ad hoc et réactive, ne se produisant que lorsqu'un problème survient ou lorsque les signaux d'alarme des fournisseurs sont évidents. Les processus n'étant pas documentés et mal définis, il est peu probable qu'une évaluation réussie pour un seul fournisseur puisse être répétée.

Au niveau 1, le TPRM est un processus manuel pour un nombre limité de fournisseurs. Les questionnaires des fournisseurs sont incohérents et distribués sous forme de feuilles de calcul distinctes. Les réponses peuvent être narratives et il est difficile d'évaluer les risques. Il n'existe pas de normes pour les contrôles d'atténuation des risques. Les équipes ne surveillent pas les fournisseurs pour s'assurer qu'ils respectent les règles ou qu'ils présentent de nouveaux risques.

Exigences pour passer au niveau 2 : Au niveau 1, les organisations ne se sont pas engagées à comprendre ou à mesurer les risques liés aux tiers. Les équipes naissantes n'ont pas défini et documenté les processus permettant de les reproduire. Le passage au niveau 2 nécessite une discipline supplémentaire pour définir des politiques et des processus permettant d'assurer la cohérence des évaluations.

Niveau 2 : en développement

Au niveau 2, certaines équipes (mais pas toutes) ont défini et documenté des processus qui permettent d'obtenir des résultats reproductibles. Par exemple, les équipes chargées de la sécurité peuvent avoir des questionnaires normalisés et des exigences en matière de tests de pénétration, ou les équipes chargées des finances peuvent avoir des paramètres normalisés en matière de divulgation financière. D'autres équipes, en revanche, restent ad hoc. Cette approche cloisonnée conduit à des évaluations incohérentes et empêche les programmes de s'étendre.

En l'absence d'une approche normalisée, les fournisseurs ne peuvent pas être classés en fonction de leur niveau de risque. Il en résulte un risque plus élevé si les fournisseurs critiques sont peu évalués et des inefficacités si les fournisseurs à faible risque sont trop contrôlés. Les organisations de niveau 2 continuent d'utiliser des feuilles de calcul et des documents partagés, ce qui rend impossible un TPRM fiable, vérifiable et exhaustif.

Exigences pour passer au niveau 3 : Les organisations de niveau 2 manquent d'informations, de documentation et de cohérence. Elles ont besoin du soutien de la direction pour définir les exigences du TPRM dans toutes les fonctions et d'un moyen de rendre compte des risques et des mesures d'atténuation. L'automatisation est nécessaire à la mise en place d'un programme évolutif.

Niveau 3 : évolutif

Au niveau 3, le TPRM dispose de ressources suffisantes et les processus sont cohérents au sein des différentes fonctions d'une organisation. La plupart des silos ont été démantelés et les équipes ont normalisé, documenté et intégré les activités d'identification et d'évaluation des risques. La surveillance des risques s'est étendue au-delà des risques commerciaux et informatiques pour inclure la gouvernance d'entreprise, la conformité et le risque de réputation. L'échelonnement des risques

est normalisé, et les organisations commencent à mettre en place une gestion du cycle de vie des contrats et des procédures formelles d'abandon.

Les processus du niveau 3 sont semi-automatisés. Par exemple, l'intégration peut s'appuyer sur des questionnaires automatisés, tandis que le suivi des mesures correctives et de la conformité aux exigences reste manuel. Cela permet aux équipes d'augmenter modérément le TPRM, mais peut encore laisser des lacunes dans la visibilité.

Exigences pour passer au niveau 4 : Des processus normalisés, des rapports et l'automatisation sont nécessaires dans tous les départements. Au niveau 3, les rapports sont généralement établis par les différents services. Pour progresser, les organisations doivent s'efforcer d'éliminer les silos et d'instituer un reporting centralisé.

Niveau 4 : Optimisé

Les organisations de niveau 4 considèrent le TPRM comme une exigence stratégique et disposent de politiques et de procédures normalisées dans tous les départements. Les équipes de TPRM procèdent à une évaluation automatisée et normalisée des risques liés aux fournisseurs, ainsi qu'à une surveillance des risques liés aux fournisseurs, à un flux d'évaluation et à une gestion des mesures correctives tout au long du cycle de vie des fournisseurs. Les contrôles d'atténuation des risques sont formalisés et la surveillance des fournisseurs est pleinement mise en œuvre. L'automatisation permet également au programme de faire l'objet d'un audit complet.

Les organisations de niveau 4 peuvent étendre le TPRM à tous les fournisseurs, tout au long de leur cycle de vie. Les rapports sur les indicateurs clés de performance et les indicateurs clés de risque sont automatisés et les initiatives d'amélioration continue sont fondées sur des données. La communication avec les tiers est axée sur les avantages mutuels d'un programme de TPRM.

Exigences pour passer au niveau 5 : Institutionnaliser un programme visant à examiner chaque partie du programme de gestion des risques technologiques afin d'apporter des améliorations progressives au fil du temps. Réexaminer les risques informatiques et non informatiques et les stratégies d'atténuation au moins une fois par an.

Niveau 5 : Visionnaire

Le niveau 5 est un niveau de maturité auquel peu d'organisations peuvent prétendre. Il représente un programme de TPRM entièrement automatisé qui anticipe les risques, attribue des contrôles efficaces et surveille les fournisseurs pour cyber, les risques opérationnels, financiers, environnementaux, de conformité, de réputation, ESG et de performance. Une organisation visionnaire collabore avec les fournisseurs de manière proactive afin d'améliorer leurs activités tout en réduisant les risques.

Au niveau 5, un risque résiduel subsiste, mais il peut être traité rapidement, si nécessaire, au moyen de procédures formelles et testées, puis accepté par l'entreprise.

Critères du modèle de maturité du TPRM

Critères de maturité du TPRM par pilier et par niveau.

La prochaine étape de votre voyage vers la maturité du programme TPRM : Faites l'évaluation gratuite

Un programme de gestion de la relation client mature peut aider à identifier et à atténuer les risques potentiels associés aux relations avec les tiers, réduisant ainsi la probabilité d'impacts négatifs sur l'organisation. L'anticipation des risques liés aux tiers aide les organisations à éviter des perturbations coûteuses ainsi que des dommages financiers et des atteintes à la réputation. En automatisant l'identification des risques et les contrôles, et en intégrant les besoins de toutes les parties prenantes, un programme de TPRM mature fournit aux organisations des informations plus précises et plus complètes sur les relations avec les tiers, ce qui leur permet de prendre de meilleures décisions.

Calculez la maturité de votre programme de TPRM

Que vous soyez au début de votre programme de gestion des risques des tiers ou que vous travailliez à la maturation d'un programme existant, Prevalent peut vous aider. Prevalent automatise la gestion des risques des tiers en utilisant une plate-forme unique pour collecter des informations sur les risques des tiers, quantifier les risques, recommander des mesures correctives et fournir des modèles de rapport. La plateforme Prevalent comprend une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, une surveillance continue des risques, un flux de travail intégré et des mesures correctives.

Pour savoir où vous en êtes dans la maturité de votre programme de TPRM en utilisant le continuum du modèle de maturité des capacités, demandez dès aujourd'hui une évaluation gratuite de la maturité de votre programme.

Évaluation gratuite de la maturité du TPRM

Travaillez avec les experts de Prevalent pour obtenir un rapport approfondi sur l'état de votre programme TPRM actuel, ainsi que des recommandations pratiques sur la manière de le faire passer au niveau supérieur.

Commencez
Fiche technique plateforme tprm nov 2019
Tags :
Partager :
Leadership alastair parr
Alastair Parr
Vice-président principal, Produits et services mondiaux

Alastair Parr est chargé de veiller à ce que les exigences du marché soient prises en compte et appliquées de manière innovante au sein du portefeuille Prevalent . Il a rejoint Prevalent après avoir été l'un des fondateurs de 3GRC, où il était responsable de la définition des produits et des services et y a joué un rôle déterminant. Il est issu du monde de la gouvernance, du risque et de la conformité, et a développé et mis en œuvre des solutions dans le domaine toujours plus complexe de la gestion des risques. Il apporte plus de 15 ans d'expérience dans la gestion de produits, le conseil et les livrables opérationnels.

Plus tôt dans sa carrière, il a occupé le poste de directeur des opérations pour un fournisseur mondial de services gérés, InteliSecure, où il était chargé de superviser des programmes efficaces de protection des données et de gestion des risques pour les clients. Alastair est titulaire d'un diplôme universitaire en politique et relations internationales, ainsi que de plusieurs certifications en sécurité de l'information.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo