Les relations avec les tiers font de plus en plus parler d'elles. Et ce n'est pas pour de bonnes raisons. Les violations de données liées à des tiers sont en hausse, les chaînes d'approvisionnement restent tendues en raison de problèmes géopolitiques et de main-d'œuvre, et la rétention du personnel pour répondre aux besoins de l'organisation pose toujours problème.
Alors que l'année 2023 s'achève dans un climat économique compliqué, il est essentiel que les équipes de gestion des risques des tiers planifient la manière de traiter leurs risques les plus importants. D'après notre analyse, les risques les plus importants à craindre pour la nouvelle année sont les suivants :
Ce billet de blog aborde les principaux risques liés aux tiers et explique pourquoi ils sont importants, en particulier à l'aube de la nouvelle année.
Le risque de cybersécurité pour les tiers est défini comme une exposition potentielle à la confidentialité, à l'intégrité ou à la disponibilité de l'infrastructure et des données informatiques qu'une organisation assume en raison de sa collaboration avec des tiers, qu'il s'agisse de vendeurs, de fournisseurs ou d'autres partenaires commerciaux. Il est souvent confondu avec la gestion des risques liés aux fournisseurs informatiques - typiquement "pris en charge" par l'équipe de sécurité de l'information - mais il commence à être considéré comme un risque commercial plus stratégique et à attirer l'attention au-delà des équipes informatiques et de sécurité. En fait, selon Proofpoint, les membres des conseils d'administration sont plus nombreux que jamais à s'intéresser de près à la cybersécurité.
Parmi les risques les plus importants auxquels sont confrontées les chaînes d'approvisionnement du 21e siècle figurent les violations de données et d'autres incidents sur le site cyber . Ces incidents peuvent mettre en péril les fournisseurs, leurs clients et même les clients de leurs clients. Dans de nombreux cas, les grandes entreprises disposent de solides programmes de cybersécurité, mais ceux-ci ne s'étendent pas toujours aux organisations tierces, dont les connaissances et les capacités en matière de cybersécurité peuvent être nettement moindres. Les plus grandes entreprises dotées des programmes de sécurité les plus solides seront donc toujours confrontées à des risques potentiels de la part de fournisseurs plus petits qui n'auront probablement pas les mêmes ressources à consacrer à la sécurisation des données critiques.
Notre récente étude confirme le risque de cybersécurité inhérent à la chaîne d'approvisionnement, puisque 41 % des entreprises ont été victimes d'une violation de données d'un tiers au cours des 12 derniers mois. Le piratage du transfert de fichiers MOVEit en est un exemple. La vulnérabilité a été révélée pour la première fois en mai 2023, et plus de 1 000 entreprises et 60 millions de personnes ont été touchées à la fin du mois de septembre. L'impact total des violations de données résultant de cette vulnérabilité n'est pas encore connu et ne le sera probablement pas avant plusieurs mois. Malgré cela, on ne saurait trop insister sur le nombre d'organisations qui ont été victimes d'une violation à cause de cette vulnérabilité.
Le risque de cybersécurité pour les tiers ne concerne pas seulement les violations de données. Il y a aussi les attaques de la chaîne d'approvisionnement des logiciels, comme la vulnérabilité Log4Shell de décembre 2021 qui a déclenché un effort massif de correction dans tous les secteurs et la faille SolarWinds de 2020 où les pirates ont compromis la base de code de l'entreprise pour installer des portes dérobées dans des milliers d'organisations. Plus récemment, le zero-day de Citrix NetScaler a eu le potentiel d'impacter des milliers d'organisations avec un bug d'exécution de code à distance.
Parmi les autres risques de cybersécurité à prendre en compte en 2024, on peut citer
En 2024, les organisations qui cherchent à atténuer les risques de cybersécurité doivent examiner quels fournisseurs ont accès à leurs systèmes et quel est le niveau d'accès de ces tiers. Le principe du moindre privilège s'applique très bien ici en termes de fournisseurs et de prestataires de services ; limiter l'accès au strict nécessaire peut souvent créer suffisamment d'obstacles pour frustrer les attaquants. Les entreprises devraient également comprendre le risque d'exposition de leurs fournisseurs en procédant à une analyse approfondie de leurs actifs exposés à l'internet. En outre, elles doivent comprendre les politiques de sécurité de leurs fournisseurs et le degré de sécurité des données critiques lorsqu'elles sont partagées entre les parties.
En outre, les organisations doivent examiner leurs besoins en matière de conformité réglementaire et ceux de leurs fournisseurs afin de s'assurer que tout le monde est d'accord sur les réglementations à respecter. Le suivi de ces réglementations et l'évaluation des risques liés aux fournisseurs à l'aide d'une solution telle que celle proposée par Prevalent peuvent contribuer à une meilleure compréhension du niveau de risque que présente chaque fournisseur. Avec la multiplication des incidents de sécurité impliquant des tiers, il devient de plus en plus essentiel de comptabiliser l'ensemble des risques de cybersécurité au sein de la chaîne d'approvisionnement.
Comment pouvez-vous garder une longueur d'avance sur les risques liés aux fournisseurs Cyber ?
Téléchargez ce guide stratégique de 11 pages pour découvrir comment structurer votre programme de gestion des risques des tiers (TPRM) afin d'identifier et de traiter efficacement les risques de cybersécurité dans l'ensemble de votre écosystème de fournisseurs.
Les risques de réputation englobent les menaces qui pèsent sur le nom, la réputation ou la crédibilité d'une entreprise et qui peuvent, en fin de compte, affecter son chiffre d'affaires. Bien que le risque de réputation soit difficile à quantifier et qu'il se présente sous de nombreuses formes - qu'il soit auto-infligé ou qu'il provienne d'associations commerciales tierces - il peut entraîner des interruptions d'activité, des amendes, des pénalités et des pertes de revenus qui sont tout aussi graves que des risques plus tangibles.
Les risques liés à la réputation des fournisseurs sont les suivants :
Les nouvelles négatives ou la couverture médiatique négative de pratiques d'embauche contraires à l'éthique, de problèmes de qualité des produits, d'activités criminelles et de catastrophes environnementales sont également considérées comme un risque pour la réputation. Ces événements négatifs peuvent déclencher des campagnes de pression sur les organisations qui font des affaires avec le fournisseur. Le problème est que le risque de réputation est nébuleux à surveiller et à comptabiliser, en plus d'être difficile à repérer. En outre, l'impact d'une presse négative peut être difficile à quantifier pour votre entreprise. Malgré cela, la réputation des marques est devenue plus importante ces dernières années, car elle est le reflet de la réussite des entreprises.
En réponse à ces risques de réputation, les organisations doivent mettre en œuvre une présélection complète des partenaires de la chaîne d'approvisionnement qui comprend des informations relatives aux droits de l'homme, à la lutte contre la corruption et aux pratiques environnementales. En plus de la présélection, il faut procéder à des évaluations régulières par rapport aux meilleures pratiques et réglementations du secteur.
En 2024, les organisations devraient également envisager une surveillance continue de leur réputation. Les sources de surveillance devraient inclure les nouvelles des fournisseurs, les données financières, les sanctions, les personnes politiquement exposées (PEP), les entreprises d'État et plus encore, ce qui permettra de signaler les événements importants. En outre, les organisations doivent être conscientes de leursNièmes parties. Le risque ne s'arrête pas à vos fournisseurs. C'est pourquoi il est important d'identifier et de visualiser les relations entre votre organisation et les tierces, quatrièmes et énièmes parties afin de découvrir les dépendances et les risques.
Enfin, les rapports de conformité doivent être simplifiés. De nombreux régimes réglementaires exigent des organisations qu'elles surveillent l'activité de leurs chaînes d'approvisionnement. L'approche la plus rapide et la moins complexe en matière de rapports d'audit consiste à faire correspondre automatiquement toutes les évaluations des risques des fournisseurs à n'importe quelle réglementation ou à n'importe quel cadre.
Les risques liés à la continuité de la chaîne d'approvisionnement peuvent prendre de nombreuses formes. Par exemple, un fournisseur clé peut faire faillite et ne pas être en mesure d'honorer ses contrats. En fait, certaines études montrent que 25 % des entreprises ont été affectées par la faillite d'un fournisseur au cours de l'année écoulée.
Les fusions et acquisitions peuvent également signaler un changement de stratégie ou une consolidation du marché qui pourrait avoir une incidence sur la prestation de services, les prix ou les conditions contractuelles. En outre, la rotation des dirigeants ou les problèmes juridiques peuvent avoir un impact sur la culture, la stratégie et la capacité d'une organisation à atteindre ses objectifs.
Lors de l'évaluation des fournisseurs potentiels, il est essentiel de comprendre la situation financière de l'organisation, les obligations contractuelles existantes et les autres facteurs qui pourraient les empêcher d'exécuter efficacement votre contrat. Moins la diligence raisonnable est exercée avant l'intégration d'un fournisseur, plus vous risquez de subir une interruption importante de vos activités.
Mettre en œuvre un plan formel et documenté de résilience et de continuité des activités des tiers pour gérer ces risques. Les fournisseurs doivent être évalués de manière uniforme sur la base d'un ensemble prédéterminé de paramètres qui permettent de comparer facilement les fournisseurs concurrents et d'identifier les fournisseurs potentiels qui pourraient avoir des difficultés à remplir leurs obligations contractuelles.
La sécurité et la fiabilité sont deux aspects importants de la gestion des risques qui traitent de la prévention et de l'atténuation des dangers potentiels et des défaillances susceptibles d'affecter les performances, la qualité ou la fonctionnalité d'un produit, d'un système ou d'un processus. La sécurité et la fiabilité sont souvent des concepts liés, mais pas identiques. La sécurité est axée sur la protection des personnes, des biens et de l'environnement, tandis que la fiabilité est axée sur la probabilité qu'un produit, un système ou un processus remplisse la fonction pour laquelle il a été conçu, dans des conditions spécifiques et pendant une période donnée.
La sécurité et la fiabilité peuvent être considérées comme une catégorie de risques lorsqu'il s'agit d'évaluer les conséquences potentielles et la probabilité d'événements indésirables susceptibles de se produire en raison de défauts, d'erreurs, de défectuosités ou de dysfonctionnements d'un produit, d'un système ou d'un processus. Les risques liés à la sécurité et à la fiabilité peuvent avoir des répercussions importantes sur la satisfaction des clients, la réputation, la conformité et la rentabilité d'une organisation. Il est donc essentiel d'identifier, d'évaluer et de gérer les risques liés à la sécurité et à la fiabilité tout au long du cycle de vie du produit, de la conception à l'élimination en passant par l'exploitation.
L'une des normes qui fournit un cadre pour la gestion des risques liés à la sécurité et à la fiabilité est la norme ISO 13849-1, qui définit des catégories de sécurité et des niveaux de performance pour les parties d'un système de contrôle liées à la sécurité. Les catégories de sécurité sont basées sur la disposition structurelle et la fiabilité des composants, tandis que les niveaux de performance sont basés sur la probabilité de défaillances dangereuses et la couverture de diagnostic du système.
La norme CEI 61508, qui définit les niveaux d'intégrité de sécurité pour la sécurité fonctionnelle des systèmes électriques, électroniques et électroniques programmables, est une autre norme qui traite de la gestion des risques liés à la sécurité et à la fiabilité. Les niveaux d'intégrité de la sécurité sont basés sur la probabilité de défaillance sur demande et la fréquence moyenne des défaillances dangereuses du système.
Pour les équipes de gestion des risques des tiers, cela peut signifier poser des questions sur les pratiques générales de sécurité et les calendriers de maintenance des principaux fournisseurs. Il est particulièrement important de comprendre les risques liés à la sécurité dans les industries lourdes, telles que l'industrie manufacturière, ou dans le secteur de l'extraction des ressources, comme l'exploitation minière ou le pétrole et le gaz. La fiabilité des machines est également un facteur, c'est pourquoi il est essentiel de comprendre les pratiques de maintenance. Comprendre ces pratiques parmi les fournisseurs peut aider les organisations à intégrer des plans d'urgence dans leur flux de travail au cas où un événement lié à la sécurité ou à la fiabilité se produirait et risquerait d'interrompre la chaîne d'approvisionnement.
Les risques environnementaux, sociaux et de gouvernance concernent un large éventail de comportements des entreprises. Ils sont souvent difficiles à détecter jusqu'à ce qu'ils fassent la une des principaux sites d'information. À ce stade, la réputation de l'entreprise peut déjà être ternie ou menacée de l'être. Généralement appelée "ESG", cette catégorie de risques comprend :
Les risques ESG sont en augmentation car les entreprises sont de plus en plus surveillées par les régulateurs, les auditeurs et les consommateurs. Les risques environnementaux comprennent le changement climatique et la manière dont les entreprises prévoient de tenir compte des changements climatiques et des catastrophes naturelles. Outre les autres risques liés au climat, une attention accrue est également accordée aux "produits chimiques à vie" tels que les PFAS.
La gestion de l'ESG va de pair avec le risque et la conformité. Un contrôle adéquat de l'ESG nécessite une expertise en matière de gestion des risques liés aux tiers et de conformité aux réglementations associées. Les responsabilités des entreprises en matière d'ESG et la gestion des risques liés aux tiers se recoupent largement en raison de la complexité des chaînes d'approvisionnement modernes.
La pression réglementaire s'accroît également. La Securities and Exchange Commission (SEC) des États-Unisa proposé des règlesexigeant "certaines informations liées au climat dans leurs déclarations d'enregistrement et leurs rapports annuels", y compris "les chaînes de valeur en amont et en aval". Le Parlement de l'Union européenne (UE)a proposéque les entreprises de l'UE "identifient et, le cas échéant, préviennent, mettent fin ou atténuent les effets négatifs de leurs activités sur les droits de l'homme, tels que le travail des enfants et l'exploitation des travailleurs, et sur l'environnement, tels que la pollution et la perte de biodiversité".
Les risques ESGpeuvent être difficiles à atténuer en raison des multiples facettes de cette catégorie. Comme pour les risques financiers, il est important d'inclure les examens ESG dans le processus initial de diligence raisonnable pour les fournisseurs potentiels - avant de signer tout contrat. Étant donné que de nombreuses réglementations axées sur l'ESG tiennent désormais les entreprises responsables de problèmes tels que la corruption et l'esclavage dans leurs chaînes d'approvisionnement, il est essentiel de procéder à une cartographie des relations et à une analyse des risques de quatrième et de troisième partie afin de découvrir tout problème potentiel dans la chaîne d'approvisionnement qui pourrait jeter une lumière négative sur votre organisation.
En 2024, ces risques semblent encore plus aigus. Le changement climatique est une catégorie de risque de plus en plus importante, compte tenu des nombreux événements météorologiques extrêmes, tels que les incendies de forêt de juin 2023 au Canada, les tempêtes de verglas au Texas en février et les vagues de chaleur inhabituelles en Australie en septembre. Il est donc nécessaire d'examiner de plus près les risques environnementaux, notamment en ce qui concerne la résilience de la chaîne d'approvisionnement.
En outre, les risques liés à la responsabilité sociale semblent être en augmentation. Les réglementations relatives à l'esclavage moderne et au travail des enfants, comme indiqué précédemment, sont de plus en plus nombreuses dans le monde. Les gouvernements d'Europe, d'Amérique du Nord et d'Asie-Pacifique ont commencé à s'intéresser de plus près aux conditions de travail dans les usines du monde entier. Les consommateurs étant de plus en plus nombreux à prendre des décisions d'achat socialement responsables, les entreprises doivent se pencher plus attentivement sur leurs politiques de responsabilité sociale et sur la responsabilisation de leurs fournisseurs.
Aligner votre programme de TPRM sur les réglementations ESG en cours d'élaboration
Téléchargez ce guide pour passer en revue les normes et la législation ESG actuelles et futures, et apprendre à préparer votre programme de TPRM pour qu'il soit conforme.
Le risque de corruption restera un défi en 2024. La loi américaine sur les pratiques de corruption à l'étranger (FCPA) continue d'être strictement appliquée par les entreprises qui souhaitent faire des affaires aux États-Unis, et d'autres juridictions disposent également d'une législation anti-corruption pour les entreprises locales et étrangères. Collectivement, les relations avec les tiers représentent l'un des risques de corruption les plus importants pour les entreprises.
En analysant les mesures d'application de la FCPA en matière de pots-de-vin et de corruption, laStanford Law Schoola découvert que plus de 90 % des incidents impliquent un intermédiaire tiers. Tous les tiers qui agissent en tant qu'agents d'une entreprise - tels que les distributeurs, les représentants commerciaux, les courtiers, les consultants, les transitaires, les lobbyistes - peuvent exposer l'organisation à une responsabilité en matière de pots-de-vin et de corruption.
En fait, une entreprise peut être tenue responsable des actions de ses tiers, même si elle prétend ne pas avoir eu connaissance d'un incident. Souvent, il suffit d'une "forte probabilité" de corruption ou de preuves qu'une entreprise était "délibérément aveugle" à la corruption d'un tiers en son nom pour qu'elle soit inculpée.
L'application des lois ABAC se développe. Au Royaume-Uni, leSerious Fraud Office (SFO)a étendu ses activités d'application. Ladirective del'Union européennesur la diligence raisonnable obligatoire en matière de droits de l'homme, d'environnement et de bonne gouvernanceexigera des organisations opérant dans les pays de l'UE qu'elles fassent preuve d'une grande diligence, l'ABAC relevant de la section relative à la bonne gouvernance.
En 2024, les préoccupations concernant les pots-de-vin et la corruption continueront de croître au sein des organisations dans les pays où l'application de la loi est agressive. Le bras long de la FCPA américaine devrait également se poursuivre compte tenu de l'importance des États-Unis en tant que marché international et source de produits finis. Les entreprises soumises à la FCPA et à d'autres mesures anticorruption feraient bien d'analyser la situation financière de leurs fournisseurs pour s'assurer qu'ils ne sont pas impliqués dans des activités susceptibles de déclencher une enquête pour corruption.
Les entreprises sont confrontées à un environnement de risques tiers de plus en plus problématique. Le nombre et la variété des risques dans les catégories décrites ci-dessus, y compris une cyberattaque, le risque de continuité, les problèmes de réputation, et plus encore, rendront probablement la conduite des affaires plus difficile en 2024.
Il incombe aux organisations, grandes et petites, d'examiner attentivement leurs stratégies de gestion des risques technologiques pour 2024, en s'assurant qu'elles tiennent compte de la complexité de leur environnement de risque et en quantifiant l'impact réel des risques décrits dans le présent rapport. En outre, les organisations devraient classer ces catégories de risques par ordre de priorité en fonction de leur stratégie d'entreprise. La cybersécurité pourrait être une préoccupation plus importante que le risque de réputation en 2024, par exemple, ce qui inciterait les gestionnaires de risques à mettre l'accent sur la vaccination de l'organisation contre les menaces cyber . De même, la continuité des activités est peut-être une priorité plus importante. En fin de compte, les organisations doivent prendre ces décisions et se concentrer sur la réduction ou l'atténuation des risques qui sont les plus préoccupants pour leurs activités.
Pour en savoir plus sur la façon dont Prevalent peut vous aider à gérer votre programme de gestion des risques liés aux tiers, inscrivez-vous dès aujourd'hui à une démonstration.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024