Rôles de la gestion des risques par des tiers : Au-delà de la sécurité de l'information

Les équipes Infosec qui gèrent des programmes de gestion des risques liés aux tiers peuvent obtenir une vision plus globale des risques liés aux fournisseurs en incluant ces équipes dans leurs initiatives TPRM.
Par :
Scott Lang
,
VP, Marketing produit
31 août 2021
Partager :
Blog tprm rôles 0821

Avec les menaces persistantes d'intrusions par des tiers ( cyber ) et les défaillances continues de la chaîne d'approvisionnement dues aux pandémies, ainsi qu'un examen réglementaire de plus en plus minutieux des relations avec les tiers, de nombreuses organisations se concentrent davantage sur la gestion des risques liés aux fournisseurs. Cependant, les données de l'étude annuelle sur les meilleures pratiques en matière de gestion des risques liés aux tiers ( Prevalent ) montrent que, hormis les équipes informatiques et de sécurité habituelles, peu d'équipes commerciales ont un siège à la table de la TPRM. Sans l'adhésion de l'organisation aux pratiques de TPRM, les entreprises verront les coûts d'évaluation augmenter, la complexité inutile et les risques manqués qui pourraient conduire à des perturbations de l'activité.

Il est clair que les organisations doivent étendre leurs initiatives TPRM pour inclure des équipes au-delà de l'informatique et de la sécurité. Ce post identifie les rôles dans l'entreprise que les équipes informatiques et de sécurité devraient impliquer dans les décisions TPRM. Cette liste n'est en aucun cas exhaustive, mais elle inclut certaines des principales parties prenantes à la réussite du programme TPRM.

Rôles de la gestion des risques liés aux tiers

Achats et approvisionnement

Peu d'équipes dans une entreprise ont un rôle aussi central dans la gestion des risques liés aux tiers que l'équipe des achats. Après tout, cette équipe est probablement responsable de la recherche de fournisseurs et des évaluations associées, de la négociation des taux contractuels et des renouvellements (et de la mesure du respect des conditions d'exécution du contrat), des tâches d'intégration, de la résiliation des contrats, et bien plus encore.

L'un des facteurs de réussite essentiels du TPRM pour l'équipe chargée des achats est le maintien de l'accès à des données cohérentes sur les fournisseurs, qu'il s'agisse d'indicateurs de performance, de contrats de niveau de service, de mesures financières ou de réputation. En outre, les équipes chargées des achats auront besoin d'un référentiel central pour les contrats et autres documents qui simplifient la gestion de la relation avec les fournisseurs, avec une intégration à leurs outils d'achat existants.

Pour de nombreux professionnels de l'approvisionnement, l'essentiel est le temps : il s'agit de gagner du temps tout au long du cycle de vie du processus d'approvisionnement et de paiement (P2P) afin de ne pas ralentir l'activité, qu'il s'agisse d'évaluer de nouveaux fournisseurs ou de déterminer les risques de renouvellement. Engagez l'équipe des achats dès le début du développement du projet pour vous assurer que leurs besoins sont satisfaits dès le départ.

Gestion des risques

Les équipes degestion des risques interagissent avec plusieurs départements d'une entreprise, car leur rôle consiste à rassembler les risques de toute l'entreprise pour déterminer les niveaux acceptables. Pour atteindre cet objectif, les équipes de gestion des risques doivent évaluer plusieurs types de risques à travers l'organisation - y compris ceux provenant de tiers.

Une frustration courante pour les équipes de gestion des risques est la création de silos lorsque chaque département traite les risques différemment. En l'absence d'une fonction permettant de rassembler tous les éléments, les pratiques de gestion des risques peuvent être incohérentes et laisser des lacunes en matière de sécurité.

En raison de leur fonction centrale de gestion des risques, les équipes de gestion des risques utilisent des outils de gouvernance, de risque et de conformité (GRC) pour gérer les risques dans l'ensemble de l'entreprise. Ces équipes doivent donc être tenues au courant des risques autres que la cybersécurité qui pourraient avoir un impact sur la capacité d'un tiers à fournir des services. Par exemple, les équipes de gestion des risques voudront connaître le score des fournisseurs en matière de mesures environnementales, sociales et de gouvernance (ESG), de lutte contre la corruption (ABAC), d'esclavage moderne et de mesures financières - ainsi que les processus mis en place par les fournisseurs pour gérer la résilience de leur propre entreprise afin d'éviter les perturbations.

Comme pour les équipes d'approvisionnement, la gestion des risques doit être impliquée dès le début d'un projet TPRM (en supposant qu'elle ne soit pas à l'origine du projet) afin qu'elle puisse définir des paramètres de risque qui s'alignent sur les efforts globaux de gestion des risques de l'entreprise.

Guide de démarrage : 10 étapes pour créer un programme TPRM réussi

Ce guide de 13 pages vous aidera à prendre les décisions clés lors du lancement (ou de l'amélioration) de votre programme TPRM.

Lire la suite
Les 10 étapes de l'élaboration d'un programme efficace de gestion des ressources humaines

Confidentialité des données

Les données sont le nerf de la guerre pour la plupart des entreprises, et les méthodes de protection de l'accès aux données sont les contrôles informatiques du jour. En l'absence de contrôles appropriés de la protection des données, les tiers peuvent devenir des participants involontaires aux violations ciblant les informations personnelles identifiables (PII) de leurs clients. En fait, les brèches de Kaseya, Colonial Pipeline et Microsoft Exchange ont été provoquées par des ransomwares ou comportaient des éléments de ransomware destinés à bloquer l'accès aux systèmes et aux données.

Les régulateurs le savent et ont mis au point des mesures et des critères de base pour garantir la mise en place des contrôles les plus élémentaires en matière de protection des données (pensez au GDPR ou CCPA). Les équipes chargées de la confidentialité des données ont besoin d'une vision précise de la manière dont les tiers interagissent avec les données d'une entreprise pour atténuer le risque d'accès indésirable. La cartographie des flux d'informations entre les tiers, les4e et les Nième parties est un élément clé pour les équipes chargées de la confidentialité des données, tout comme la découverte et la propriété des données internes. Les rapports de conformité et les contrôles internes évaluant les mesures de protection des données sont primordiaux.

Veillez à impliquer les équipes chargées de la confidentialité des données lors de l'élaboration de votre stratégie d'évaluation des risques liés aux tiers afin de vous assurer que vous posez des questions qui clarifient les contrôles de protection des données du fournisseur.

Audit et conformité

Lesréglementations gouvernementales et les cadres industriels du monde entier exigent des entreprises qu'elles démontrent les contrôles liés à l'accès de tiers aux systèmes et aux données. Cependant, la plupart des équipes d'audit et de conformité essaient d'obtenir des rapports de contrôle significatifs à partir d'une multitude d'outils différents (par exemple, des feuilles de calcul) au sein de l'organisation.

Comme pour l'équipe chargée de la confidentialité des données, l'équipe d'audit et de conformité aura besoin de modèles simples de rapports et de cartographie des contrôles qui permettent aux bonnes parties prenantes de disposer des bonnes données et de démontrer leur conformité ou de définir une voie de remédiation. Assurez-vous de vous engager dès le départ avec l'équipe d'audit et de conformité pour comprendre quelles réglementations exigent quel type de rapport, et si elles peuvent être satisfaites en s'alignant sur un cadre de contrôle sectoriel tel que NIST ou ISO.

Qui bénéficie des solutions TPRM de Prevalent

Découvrez comment Prevalent aide les équipes chargées de la sécurité, de la gestion des risques, de la protection de la vie privée, des achats, de l'audit et des questions juridiques à réduire les risques liés aux fournisseurs et aux vendeurs au sein de leur organisation.

Prochaines étapes

Prevalent unifie les équipes chargées des achats, de l'approvisionnement, de la gestion des risques, de la confidentialité des données, de l'audit et de la sécurité informatique avec une solution unique qui évalue plusieurs types de risques liés aux fournisseurs, fournit des rapports et des analyses centralisés et propose un processus programmatique pour gérer les tiers et remédier aux risques tout au long du cycle de vie des fournisseurs.

Pour obtenir d'autres conseils sur la manière d'impliquer les principales parties prenantes dans l'élaboration de votre programme TPRM, téléchargez le livre blanc intitulé 10 Steps to Building a Successful Third-Party Risk Management Program, ou contactez-nous dès aujourd'hui pour une session stratégique.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo