Dans le monde hautement connecté et globalisé d'aujourd'hui, votre organisation s'appuie probablement sur une multitude de tiers, de quatrièmes et de nièmes parties. Chaque entreprise de votre écosystème de fournisseurs ou de votre chaîne d'approvisionnement, ainsi que chacun de leurs fournisseurs et partenaires, peut présenter un certain niveau de risque commercial et/ou cyber pour votre organisation.
Les outils de gestion des risques liés aux tiers peuvent permettre à votre organisation de mieux comprendre sa chaîne d'approvisionnement, d'accélérer les processus de diligence raisonnable des fournisseurs, d'évaluer et d'analyser les risques en permanence, et de gérer efficacement les mesures correctives et d'atténuation.
Cet article passe en revue quatre catégories d'outils de gestion des risques liés aux tiers, en mettant en évidence les avantages et les inconvénients de chacune d'entre elles.
La gestion des risques liés aux tiers (TPRM) est passée d'un exercice de liste de contrôle annuel à une pratique quotidienne essentielle. La technologie ayant permis un partage des données et une distribution du travail sans précédent, de nombreuses organisations ont abandonné le contrôle des données et la gestion de leurs systèmes et processus à des fournisseurs tiers en échange d'une efficacité accrue, d'économies de coûts et d'une plus grande échelle. Plus récemment, cette perte de contrôle s'est accélérée avec la disponibilité et l'adoption généralisées de solutions logicielles basées sur le cloud.
Avec l'expansion de l'économie de l'information, les acteurs, qu'il s'agisse de criminels isolés ou d'États-nations, disposent d'un immense champ d'attaque offrant plusieurs voies d'accès à leurs cibles. Comme l'ont montré les récentes attaques visant la chaîne d'approvisionnement, telles que celles exploitant les failles des technologies de SolarWinds, Kaseya et Microsoft Exchange, le chemin de moindre résistance passe souvent par les vendeurs et les fournisseurs d'une entreprise.
Cependant, le risque lié aux fournisseurs ne s'arrête pas aux données et à la confidentialité. Les problèmes financiers et de marché peuvent entraîner des perturbations opérationnelles. Les lacunes des politiques environnementales, sociales et de gouvernance (ESG) peuvent entraîner des poursuites judiciaires et des atteintes à la réputation. Et les violations des lois contre la corruption et l' esclavage moderne peuvent engager la responsabilité de votre organisation.
Ainsi, plus votre chaîne d'approvisionnement est complexe et plus vous travaillez avec de nombreux fournisseurs, plus vous risquez d'être confronté à des tiers. C'est pourquoi il est essentiel d'identifier, de comprendre et de gérer les risques liés aux tiers pour garantir la résilience de l'entreprise.
Alors que certaines organisations disposant de petites communautés de fournisseurs à faible risque peuvent s'en sortir en utilisant des feuilles de calcul comme outils de gestion des risques liés aux tiers, des solutions de gestion des risques liés aux tiers spécialement conçues sont essentielles pour les entreprises opérant dans certains domaines, notamment :
Les entreprises des secteurs de la finance, des soins de santé, de l'assurance, du droit, de la vente au détail et autres qui traitent des données sensibles sur les clients ou les patients.
Les services et infrastructures essentiels, comme l'énergie et les services publics.
Les industries ayant des chaînes d'approvisionnement complexes, comme l'automobile et d'autres entreprises manufacturières.
les entreprises publiques, les sociétés pharmaceutiques et autres organisations qui gèrent des propriétés intellectuelles de grande valeur.
Si vous travaillez dans l'un des secteurs susmentionnés ou si vous dépendez d'un vaste écosystème de tiers, l'utilisation d'outils TPRM peut vous aider à identifier et à établir le profil de vos fournisseurs, à recueillir et à gérer les informations sur les risques, à analyser les implications des risques pour votre organisation et à gérer efficacement les mesures correctives et d'atténuation.
Historiquement, les processus de gestion des risques liés aux tiers étaient très manuels et reposaient généralement sur une combinaison de questionnaires envoyés par courrier électronique aux fournisseurs, les réponses étant suivies dans des feuilles de calcul. Les outils les plus couramment utilisés pour le TPRM étaient des solutions standard de messagerie électronique et de productivité bureautique, comme Microsoft Office.
Bien que ces outils facilitent l'approche des fournisseurs et l'organisation de base des réponses à l'enquête sur les risques, ils laissent l'analyse, la hiérarchisation, la validation et la gestion des mesures correctives à la charge des membres de l'équipe chargée des risques ou de l'informatique, ou exigent la programmation de macros et de formules dans des feuilles de calcul. Ainsi, un fournisseur attestant simplement de la mise en place d'un contrôle de sécurité spécifique était souvent suffisant pour satisfaire les gestionnaires de risques. Dans l'environnement actuel, où les risques de cybersécurité évoluent rapidement, les attestations ponctuelles ne suffisent plus aux auditeurs et aux régulateurs.
Dans certains cas, les grandes entreprises s'appuient également sur des solutions de base de données hautement personnalisées reposant sur des technologies comme Oracle, MySQL et DB2. Mais ces solutions étaient coûteuses à construire et à maintenir. Elles s'avéraient également difficiles à utiliser et étaient rapidement dépassées par la complexité croissante des chaînes d'approvisionnement et la sophistication et la fréquence accrues des menaces.
L'un des principes fondamentaux de TPRM est de comprendre les risques potentiels de votre organisation et de prendre en compte les contrôles de sécurité et de confidentialité des données des fournisseurs et des prestataires par rapport à ces risques. Cela commence par la réalisation d'évaluations des risques basées sur des questionnaires afin de recueillir des informations auprès de tiers et d'identifier toute insuffisance potentielle qui pourrait mettre votre entreprise en péril.
Plutôt que de créer de toutes pièces des questionnaires sur les risques liés aux fournisseurs, la plupart des organisations fondent leurs évaluations sur des directives ou des cadres de gestion des risques établis. Dans le cadre de cet article, nous considérerons les cadres de gestion des risques comme la deuxième catégorie d'outils TPRM.
Les cadres de gestion des risques les plus connus sont ceux publiés par le National Institute of Standards and Technology(NIST) et l'Organisation internationale de normalisation(ISO). Vos processus plus larges de gouvernance, de risque et de conformité(GRC) peuvent déjà s'aligner sur l'une de ces normes industrielles - et l'une ou l'autre peut fournir à votre organisation et à ses fournisseurs un langage commun pour discuter du risque.
Les cadres de gestion des risques du NIST et de l'ISO prescrivent des approches normalisées pour identifier, quantifier et rendre compte des mesures et de la notation des risques. En outre, l'utilisation de profils de risques communs pour quantifier les risques internes et les risques liés aux tiers permet d'obtenir des scores cohérents pour hiérarchiser les initiatives de remédiation.
Commencer par le NIST ou l'ISO fournit à votre programme un cadre de réussite, tout en établissant les définitions nécessaires pour produire des résultats précis et reproductibles. Cela étant, il est important de noter que le NIST et l'ISO ne sont que deux sources de conseils en matière d'évaluation des risques. D'autres exemples incluent :
Les questionnaires standard de l'industrie (par exemple, le questionnaire Standard Information Gathering (SIG), le questionnaire H-ISAC pour les organisations de soins de santé, ou le questionnaire Prevalent Compliance Framework (PCF)) fournissent des pools de contenu acceptés que vos fournisseurs connaissent probablement déjà.
Questionnaires de conformité spécifiques pour le GDPR, CCPA CMMC, ou tout autre mandat exigeant une évaluation des risques par un tiers. Consultez notre section sur la conformité pour connaître les exigences d'évaluation spécifiques à plus de 20 réglementations.
Les questionnaires propriétaires que vous développez en interne pour répondre à des besoins commerciaux spécifiques ou à des exigences uniques en matière de rapports.
Pour connaître les avantages et les inconvénients de chaque option, nous vous recommandons de lire Comment choisir un questionnaire d'évaluation du risque du fournisseur.
Le NIST, l'ISO ou un autre cadre de gestion des risques peuvent constituer une base solide pour votre programme TPRM. Cependant, si vous n'utilisez pas le cadre que vous avez choisi de concert avec une solution spécialisée de gestion des risques pour les tiers, vous aurez besoin de praticiens expérimentés pour mettre en œuvre les procédures recommandées de manière efficace et évolutive.
Et même avec un processus bien documenté, il peut rapidement devenir écrasant pour les petites équipes de gestion des risques de concevoir, d'envoyer, de suivre, de corréler et de prendre des décisions sur les risques liés aux tiers avec une certaine cohérence ou régularité.
Guide de démarrage : 10 étapes pour créer un programme TPRM réussi
Ce guide de 13 pages vous aidera à prendre les décisions clés lors du lancement (ou de l'amélioration) de votre programme TPRM.
Les évaluations des risques vous permettent de recueillir des informations sur les contrôles de sécurité, de confidentialité des données et de conformité directement auprès de vos fournisseurs. Cependant, même lorsqu'elles sont basées sur un cadre standard, elles n'offrent qu'une visibilité limitée des risques liés aux tiers, car.. :
Les questionnaires reposent sur l'autodéclaration des entités évaluées, ce qui laisse place à l'erreur, aux mauvaises interprétations et aux omissions.
Les évaluations achevées donnent une vision partielle du risque, limitée à la portée du questionnaire.
Le résultat d'une évaluation fournit un instantané d'un environnement de risque qui évolue constamment.
Il peut être difficile d' obtenir des réponses aux évaluations des risques des fournisseurs.
Les outils de surveillance des risques liés aux fournisseurs externes peuvent vous aider à combler l'écart entre les évaluations périodiques et à valider les réponses aux évaluations par rapport à des événements réels. Après tout, un fournisseur peut satisfaire à toutes vos exigences en matière de contrôle de la sécurité et subir quand même une violation de données.
En outre, les évaluations sont souvent axées sur les contrôles de la sécurité informatique ou de la confidentialité et ne donnent aucune indication sur les risques commerciaux tels que les faillites, les violations de la conformité, les poursuites judiciaires, les grèves et autres événements susceptibles de perturber votre chaîne d'approvisionnement.
L'un des moyens de trouver des informations sur les risques liés aux fournisseurs est le renseignement de source ouverte (OSINT), c'est-à-dire des informations recueillies auprès de sources accessibles au public. Si l'OSINT peut inclure des informations obtenues par des méthodes telles que la loi américaine sur la liberté d'information ou une visite à la bibliothèque, la forme la plus évidente est ce que l'on trouve sur Internet et dans les médias sociaux.
Une simple recherche sur Internet concernant un fournisseur potentiel peut révéler des risques financiers, juridiques, éthiques ou autres risques commerciaux qui n'auraient pas été mis en évidence au cours du processus de recherche et de sélection. De nombreuses organisations n'effectuent même pas ce niveau le plus élémentaire de diligence raisonnable basée sur l'OSINT.
Si la recherche sur Internet de partenaires potentiels et la mise en place d'alertes Google pour les nouvelles relatives aux fournisseurs sont un bon début, il faut garder à l'esprit que la grande majorité des informations disponibles sur le Web ne sont pas indexées par Google, Edge, Safari, Firefox et les autres principaux navigateurs (c'est-à-dire le "Web de surface").
La principale raison pour laquelle ce "web profond" de sites, de fichiers et de bases de données n'est pas indexé est qu'il se trouve derrière des formulaires d'inscription ou des murs payants. Par exemple, Prevalent propose des livres blancs, des rapports de recherche et des webinaires à la demande dont l'accès nécessite une inscription. Bien qu'il soit toujours accessible au grand public, tout ce contenu à accès restreint fait partie du web profond.
Les acteurs malveillants utilisent aussi couramment l'OSINT pour identifier et reconnaître des cibles potentielles. Les attaquants utilisent non seulement la surface et le web profond (légal) pour recueillir des informations sur les risques, mais aussi le dark web.
Le dark web est une partie du deep web où se déroulent des activités criminelles. Les forums sur le dark web permettent d'accéder à des informations d'identification volées, à des données sur les vulnérabilités et les exploits, à des outils de piratage et à d'autres informations pouvant être utilisées dans des attaques de tiers. Il est donc clair que pour garder une longueur d'avance sur les cybercriminels, il est essentiel de rester à l'affût de l'OSINT concernant votre entreprise et ses tiers.
L'exploitation de l'OSINT est un moyen essentiel de compléter vos pratiques d'évaluation des risques liés aux fournisseurs par des renseignements sur les risques observables de l'extérieur. Cependant, même si votre collecte d'OSINT se limite à des recherches et à des alertes dans le navigateur, le travail manuel et la surcharge d'informations constituent des obstacles majeurs. Un seul événement affectant l'un de vos tiers peut engendrer des centaines d'alertes. Gérer cette surcharge de données sans un outil de surveillance automatisé peut être accablant et insoutenable.
Il existe plusieurs outils OSINT gratuits et peu coûteux qui peuvent vous aider à aller au-delà du web de surface pour identifier les risques cyber , mais la plupart d'entre eux nécessitent une expertise technique et une analyse supplémentaire pour fournir des données utiles aux gestionnaires de risques.
Une autre option, plus accessible, pour obtenir des données de surveillance des risques basées sur l'OSINT consiste à utiliser une solution de notation de sécurité. Ces solutions automatisées peuvent regrouper et corréler les données OSINT sur des entreprises spécifiques et attribuer des scores de risque, ce qui peut inciter à une enquête plus approfondie et aider à hiérarchiser vos efforts de gestion des risques.
Si les outils de surveillance des risques peuvent vous fournir des renseignements utiles sur les vendeurs et fournisseurs actuels et potentiels, ils ne donnent qu'une vue externe, de l'extérieur, des risques liés aux tiers. Pour obtenir une image plus complète des risques, il est important d'utiliser une surveillance continue en conjonction avec des évaluations périodiques des risques. L'unification de la surveillance et de l'évaluation vous permet non seulement d'identifier les menaces externes pesant sur vos tiers, mais aussi de déterminer leur capacité à atténuer ces menaces - avant qu'elles n'affectent votre organisation.
Vous trouverez d'autres sources d'informations sur les risques liés aux fournisseurs et aux vendeurs dans notre article intitulé " 7 Critical Sources of Third-Party Risk Intelligence".
Évaluation gratuite de la maturité du TPRM
Travaillez avec les experts de Prevalent pour obtenir un rapport approfondi sur l'état de votre programme TPRM actuel, ainsi que des recommandations pratiques sur la manière de le faire passer au niveau supérieur.
La plupart des organisations comptant plus d'une douzaine de fournisseurs devront un jour faire appel à une solution unifiée et automatisée pour maintenir un programme efficace, cohérent et évolutif de gestion des risques et de conformité des tiers.
En raison de l'étendue et de la profondeur des capacités qu'ils offrent, les fournisseurs de plateformes de gestion des risques de tiers peuvent grimacer si vous utilisez le mot "outil" pour décrire ces solutions. Néanmoins, la plateforme TPRM est le quatrième type d'outil de gestion des risques pour les tiers que vous devriez envisager d'utiliser.
Lesplateformes tierces de gestion des risques unifient et automatisent les processus d'évaluation et de surveillance. À un niveau de base, elles vous permettent d'identifier de manière holistique les risques liés aux fournisseurs, d'établir des rapports sur les risques par rapport aux exigences commerciales et de conformité, et de rationaliser le processus de remédiation.
Les outils de la plateforme TPRM, tels que ceux proposés par Prevalent , offrent des capacités d'évaluation et de surveillance dans le contexte du cycle de vie plus large des fournisseurs :
Recherche et sélection
Accueil et recrutement
Évaluation du risque inhérent
Évaluation des risques liés aux fournisseurs
Surveillance des risques liés aux fournisseurs
Gestion de l'accord sur les niveaux de service ("SLA") et de la performance
Abandon et résiliation
Une plateforme TPRM offre les capacités combinées des autres outils de gestion des risques de tiers référencés dans cet article. Une plateforme peut automatiser le processus d'intégration et d'évaluation des fournisseurs, surveiller en permanence les sources publiques et privées de renseignements sur les risques, puis fournir des rapports de risques corrélés correspondant à tout cadre de gestion des risques, réglementation gouvernementale, norme industrielle et/ou exigence interne.
Une plateforme de gestion des risques pour les tiers fournit aux équipes internes et aux tiers externes un environnement centralisé et collaboratif pour identifier, comprendre et réduire les risques. Les avantages de la plateforme TPRM sont les suivants
Réduction des coûts et des risques lors de la sélection des tiers
Embarquement rapide et sécurisé des vendeurs et des fournisseurs
Meilleure visibilité des profils des fournisseurs et des risques inhérents.
Efficacité accrue grâce à l'identification et à l'élimination unifiées des risques.
Visibilité permanente des sources publiques et privées de renseignements sur les risques.
Gain de temps grâce à la centralisation des rapports sur la conformité, les accords de niveau de service et les risques résiduels.
Assurance lors de la fin des relations d'affaires
Si vous débutez dans la gestion des risques liés aux tiers et/ou si vous n'avez pas besoin d'un outil basé sur une plateforme, vous pouvez envisager de rejoindre un réseau de risques liés aux tiers. Ces services sur abonnement fournissent un accès à la demande à des bibliothèques de rapports standardisés sur les risques liés aux fournisseurs, basés sur des évaluations des risques et/ou des données de surveillance continue. Bien que les réseaux de risques autonomes n'offrent pas une gestion complète du cycle de vie des fournisseurs, ils fournissent un accès rapide à des rapports de risques approuvés pour aider à la diligence raisonnable des fournisseurs.
Si vous avez des exigences plus spécifiques mais ne disposez pas d'expertise ou de ressources internes en matière de TPRM, envisagez de confier le travail à des services d'évaluation des risques liés aux fournisseurs. Avec cette approche de services gérés, vous vous associez à une équipe d'experts qui gère le cycle de vie des fournisseurs en votre nom (par exemple, l'intégration des fournisseurs, la collecte de preuves, l'examen des évaluations, l'identification des risques, la fourniture de conseils en matière de remédiation, etc.)
Votre organisation a plusieurs options lorsqu'il s'agit d'outils de gestion des risques liés aux tiers. Que vous ayez besoin de rapports sur le risque fournisseur à la demande, d'une équipe d'experts pour gérer le processus d'évaluation ou d'une solution de plateforme TPRM d'entreprise, Prevalent est là pour vous aider. Nous vous aiderons même à identifier les bons outils et processus TPRM pour répondre à vos besoins spécifiques. Commencez par une évaluation gratuite de la maturité TPRM ou demandez une démo dès aujourd'hui.
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024