Il est essentiel de comprendre le cycle de vie de la gestion des risques liés aux tiers de votre organisation pour identifier et corriger les risques liés aux fournisseurs. Cependant, c'est une erreur courante de considérer la gestion des risques liés aux tiers (TPRM) comme une initiative ponctuelle d'évaluation et de correction des risques.
Le fait est que votre organisation est confrontée à des risques distincts à chaque étape de la relation avec le fournisseur. Il est donc important de développer un programme de gestion des risques liés aux tiers qui puisse couvrir l'ensemble du cycle de vie des tiers. Un processus programmatique est la voie la plus rapide pour mettre fin à la douleur de la gestion des risques liés aux tiers, prendre des décisions éclairées basées sur les risques, et adapter et développer votre programme au fil du temps. Ce billet couvre les étapes clés du cycle de vie des tiers et partage les meilleures pratiques pour atténuer les risques à chaque étape.
La gestion des risques liés aux fournisseurs commence par la sélection des fournisseurs, qui implique souvent plusieurs équipes ayant des priorités différentes. Par exemple, l'ingénierie donne la priorité aux capacités techniques d'un fournisseur, les achats se concentrent sur la stabilité de l'entreprise, la sécurité évalue les contrôles de protection des données et la conformité vérifie les rapports et les audits.
En outre, les fournisseurs fournissent souvent des réponses incohérentes et/ou contradictoires dans les questionnaires d'évaluation du risque fournisseur. Il peut donc être extrêmement difficile d'évaluer avec précision le risque qu'ils représentent pour votre organisation. Ces problèmes peuvent devenir particulièrement aigus lorsque les organisations ne disposent pas d'une source unique de vérité pour les informations sur les fournisseurs.
Utiliser une base de données sur la gestion des risques liés aux fournisseurs
De nombreuses organisations utilisent encore des feuilles de calcul pour corréler les réponses au questionnaire d'évaluation des risques des fournisseurs avec les contrôles de sécurité, la conformité et d'autres exigences. avec les contrôles de sécurité, la conformité et d'autres exigences. Envisagez d'utiliser une base de données de gestion des risques fournisseurs ou une plateforme tierce de gestion des risques pour accélérer la sélection, améliorer l'identification des risques fournisseurs et maintenir une source unique de vérité pour les données fournisseurs.
Baser les questionnaires standardisés sur le risque profilé
Chaque fournisseur présente un degré de risque différent (c'est-à-dire un risque lié au service qu'il fournit à votre organisation). Un fournisseur traitant des informations personnelles identifiables (PII) ou des informations de santé protégées (PHI) aura un profil de risque nettement plus élevé qu'une entreprise de plomberie. Créez des questionnaires standardisés pour les différents niveaux de fournisseurs en fonction du profil de risque. Pour les entreprises dont le profil de risque est faible, un simple questionnaire peut suffire, tandis que les entreprises qui interagissent avec votre environnement informatique ou vos données sensibles peuvent avoir besoin d'un questionnaire plus complet.
Intégrer l'ESG dans votre processus de sélection des fournisseurs
Le risque environnemental, social et de gouvernance (ESG) devient de plus en plus important pour les entreprises du monde entier. Les investisseurs et les consommateurs commencent à s'attendre à ce que les entreprises prennent soigneusement en compte les coûts environnementaux, éthiques et sociaux associés à leurs tiers. L'intégration du risque ESG dès le début du cycle de vie de la gestion du risque fournisseur, parallèlement à l'évaluation des contrôles de sécurité et de confidentialité des données, peut vous aider à éviter les entreprises ayant des antécédents douteux en matière de destruction de l'environnement, d'esclavage moderne et d'autres pratiques commerciales problématiques sur le plan de l'éthique.
Le processus d'intégration des fournisseurs implique généralement un téléchargement manuel ou en masse des informations de profil. La connexion d'une feuille de calcul préconfigurée ou d'une API à une solution existante de gestion des fournisseurs ou d'approvisionnement est un moyen plus efficace de créer un référentiel central des fournisseurs. Tirez parti de l'accès basé sur les rôles pour permettre aux différentes équipes d'alimenter les données sur les fournisseurs et inviter d'autres employés à contribuer.
Créer un processus d'approbation formel
Il doit y avoir un processus d'approbation formel et documenté pour l'intégration de nouveaux fournisseurs. Envisagez d'inclure des modèles standard pour les conditions de paiement, la facturation et les normes de sécurité des informations dans le cadre du processus d'accueil des fournisseurs.
Fixer et communiquer des délais d'intégration réalistes
L'intégration peut être un long processus. Vous devez fournir aux fournisseurs les autorisations d'accès aux installations ou aux systèmes, vous assurer qu'ils sont en mesure de remplir leurs fonctions et mettre au point les modalités de paiement et les autres processus. Veillez à fixer des délais d'intégration réalistes et à les communiquer à la fois à vos fournisseurs et à vos services internes.
Garder la conformité en ligne de mire
De nombreuses organisations s'appuient sur leur évaluation initiale de la conformité des tiers pour maintenir la conformité tout au long du cycle de vie du fournisseur. Cependant, il est essentiel de tenir compte en permanence des exigences de conformité au fur et à mesure de l'évolution du contrat. Il arrive souvent que le champ d'application s'élargisse et que les fournisseurs aient accès à des données et à des systèmes sensibles qui n'avaient pas été envisagés lors des phases d'approvisionnement et de sélection. Assurez-vous de bien comprendre l'emplacement de vos données et l'étendue de l'accès de vos fournisseurs au cours de la phase d'intégration. Examinez régulièrement et adaptez l'accès des fournisseurs et les contrôles de sécurité nécessaires en fonction des besoins.
Automatiser lorsque c'est possible
L'intégration de nouveaux fournisseurs peut prendre beaucoup de temps. Les contraintes de temps peuvent devenir particulièrement aiguës lors de l'intégration simultanée de plusieurs fournisseurs. C'est pourquoi l'automatisation est la clé d'un programme évolutif de gestion des risques liés aux tiers. Par exemple, vous pouvez automatiser la distribution des questionnaires et permettre aux membres de l'équipe de partager facilement les formulaires d'admission.
L'évaluation des risques inhérents est un élément clé du cycle de vie de la gestion des risques des tiers. Tous les fournisseurs ne requièrent pas la même attention. Par exemple, un fournisseur de fournitures de bureau présente un risque organisationnel moindre qu'un fournisseur de pièces critiques ou de services juridiques. Une organisation située dans un endroit politiquement instable, ayant des antécédents de violations ou un mauvais historique de crédit présente un risque plus élevé et justifie une diligence accrue.
Pour bien comprendre le risque posé par un fournisseur, vous devez être en mesure de calculer le risque inhérent. Il s'agit du niveau de risque du fournisseur avant la prise en compte de tout contrôle spécifique requis par votre organisation. L'obtention d'une vue d'ensemble des risques inhérents permet d'établir une base de référence et d'orienter vos décisions en matière de diligence raisonnable. Après avoir établi cette base de référence pour le risque inhérent, le calcul du risque résiduel - le risque restant après l'application des contrôles - devient beaucoup plus simple.
Le risque inhérent joue également un rôle crucial dans les décisions relatives au profilage, à la hiérarchisation et à la catégorisation des fournisseurs. En alignant l'évaluation des fournisseurs sur les risques et les normes les plus pertinents pour une entreprise, ses clients et les organismes de réglementation, cette approche accélère l'évaluation des risques.
Mettez en correspondance votre évaluation du risque fournisseur et les exigences de conformité
Les questionnaires doivent refléter toutes les exigences de conformité auxquelles votre organisation est soumise. Si votre fournisseur a accès à des informations sensibles telles que des PII, PHI ou des informations financières, vous devez vous assurer que vous faites correspondre les exigences de conformité de votre organisation à vos questionnaires sur les risques liés aux fournisseurs. Vous trouverez ci-dessous quelques questions qui devraient être posées lors de l'évaluation des risques :
Ne faites pas cavalier seul
L'utilisation d'une plateforme TPRM peut accélérer considérablement les évaluations du risque fournisseur et vous permettre de faire correspondre rapidement les réponses au questionnaire aux exigences de conformité. En outre, les solutions dédiées à la gestion des risques des tiers, comme Prevalent , offrent des questionnaires intégrés et personnalisables sur les risques inhérents qui peuvent faciliter l'identification transparente des risques liés aux fournisseurs.
Utilisez le scoring pour normaliser les résultats et fournir des informations exploitables.
Il est important de comprendre les conséquences potentielles de l'incapacité d'un fournisseur à fournir des produits ou des services à votre organisation. Par conséquent, vous devriez utiliser un système de notation pour déterminer le niveau de chaque fournisseur. Ce système pourrait inclure les critères suivants :
Une fois que vous avez défini les niveaux de fournisseurs, il devrait être facile de comprendre quels fournisseurs sont les plus critiques. Par exemple, vous devriez être en mesure d'établir un rapport sur tous les fournisseurs qui sont basés aux États-Unis, qui traitent des données personnelles et qui sont de premier ordre.
Le fait de disposer d'informations vérifiées plus tôt dans le processus et dans un endroit facilement accessible vous permet de "calibrer" les initiatives de diligence raisonnable, de vous concentrer sur les fournisseurs présentant le risque le plus élevé et d'accélérer le processus global.
Naviguer dans le cycle de vie du risque fournisseur : les clés du succès
Ce guide gratuit détaille les meilleures pratiques pour gérer avec succès les risques tout au long du cycle de vie des fournisseurs. Découvrez ce que nous avons appris au cours de nos 15 années d'expérience à travailler avec des centaines de clients.
Le niveau de risque posé par les différents tiers varie en fonction de leur criticité pour votre entreprise et d'autres facteurs. De même, les critères pour chaque niveau de tiers varieront également. Par exemple, les critères pour un fournisseur de pièces seront différents de ceux utilisés pour évaluer les services d'hébergement en nuage.
Les organisations ayant des programmes TPRM immatures peuvent aborder différents niveaux de fournisseurs en créant des enquêtes individuelles basées sur des feuilles de calcul pour chaque nouveau projet, ce qui revient à "réinventer la roue" en permanence. Les réponses à ces enquêtes peuvent différer dans le niveau de détail et d'exhaustivité, ce qui rend difficile l'évaluation du risque global et des contrôles requis. Il peut s'avérer difficile de suivre les points ouverts qui nécessitent une correction et de s'assurer que les contrôles de correction sont cohérents et adéquats, ce qui entraîne des demandes inutiles sur des ressources limitées en matière de sécurité, de risque et de conformité.
Exploiter une bibliothèque partagée
Les processus de gestion des risques liés aux tiers peuvent être éprouvants pour les équipes disposant de peu de ressources. Les processus de collecte de données et les communications avec les fournisseurs représentent la plus grande partie du temps nécessaire pour réduire les risques et compléter l'assurance de l'évaluation. Ce problème est aggravé par l'évolution constante du paysage réglementaire, qui nécessite une expertise pour interpréter les obligations en matière de rapports de conformité. Assurer la conformité et répondre aux exigences de gestion des risques des fournisseurs tout en optimisant les compétences de votre équipe est un exercice d'équilibre, c'est certain.
Pour faire face aux contraintes de ressources, de nombreuses organisations - en particulier celles qui disposent d'un solide plan d'échelonnement des fournisseurs - choisissent d'exploiter le contenu déjà soumis et partagé dans le cadre d'un échange sectoriel. Ces échanges de fournisseurs sont des prophéties auto-réalisatrices : plus les fournisseurs participent, plus le chevauchement avec d'autres entreprises est important. Cela permet d'accélérer les processus d'identification et d'atténuation des risques et de minimiser le temps consacré à la collecte des données.
Assurer la flexibilité du questionnaire
Les questionnaires sur les risques liés aux fournisseurs ne sont pas uniques. L'utilisation d'une plateforme tierce de gestion des risques offrant plusieurs options de questionnaires, ainsi que la possibilité de générer des questionnaires personnalisés, peut simplifier considérablement l'évaluation des fournisseurs. L'utilisation d'une plateforme dédiée peut réduire de 50 % le travail manuel lié à la gestion des enquêtes et des réponses et garantir que les questionnaires d'évaluation correspondent bien au profil de risque de chaque fournisseur.
Gagnez du temps grâce aux conseils d'assainissement intégrés
Parfois, les évaluations des fournisseurs révèlent des faits inquiétants. Il se peut que le fournisseur en question ait été victime d'une violation de données, qu'il ne soit pas conforme aux réglementations sur la confidentialité des données ou qu'il ne dispose pas d'un programme de cybersécurité formel. Les plates-formes qui offrent des conseils intégrés en matière de remédiation peuvent fournir des modèles simples pour les demandes de remédiation, ainsi que des capacités de gestion des flux de travail et des tâches pour faciliter et rationaliser l'ensemble du processus.
Questions relatives aux rapports de conformité
Dans de nombreux cas, vous devez tenir compte de la sécurité de l'information et de la confidentialité des données lorsque vous travaillez avec des fournisseurs. Lorsque vous définissez votre stratégie de gestion des risques des tiers, réfléchissez à la manière dont les différentes plateformes gèrent les rapports de conformité. L'utilisation d'une plateforme de gestion des risques liés aux tiers qui comprend des rapports de conformité automatisés pour un éventail d'exigences de conformité nationales et internationales peut considérablement simplifier les audits et réduire le risque de non-conformité.
Développer le reporting grâce aux capacités de l'IA
Veillez à prendre en compte la valeur que l'IA apporte à l'analyse des risques et à l'établissement de rapports. Bien que l'intelligence artificielle ne soit pas un concept nouveau, l'introduction récente des technologies d'IA générative permet aux organisations de résoudre des problèmes commerciaux à une échelle sans précédent. Les IA conversationnelles formées à partir de milliards d'événements et d'années d'expérience peuvent fournir des informations expertes sur la gestion des risques dans le contexte des directives sectorielles telles que NIST, ISO, SOC 2 et autres.
Bien que les évaluations périodiques soient essentielles pour comprendre comment les fournisseurs gèrent leurs programmes de sécurité de l'information et de protection de la vie privée, une évaluation des risques classique ne peut fournir qu'un instantané du profil de risque de votre organisation à un moment donné. Ce profil peut changer rapidement en fonction de l'évolution des menaces, de la survenance de nouvelles violations et de l'apparition de nouveaux défis commerciaux.
Il est important de surveiller en permanence les pratiques d'un tiers en matière de cybersécurité. Il en va de même pour l'acquisition d'une visibilité sur d'autres types de changements commerciaux, tels que les problèmes financiers, de réputation, de conformité et de chaîne d'approvisionnement, qui peuvent créer des risques pour l'entreprise.
Malheureusement, les organisations ont rarement accès à ces données d'une manière qui permette aux équipes chargées de la sécurité et des risques d'être rapidement informées, et elles restent souvent non incorporées dans un registre central pour la prise de décision. Au lieu de cela, de nombreuses organisations s'appuient sur des processus manuels, des outils disparates, des notifications de fournisseurs et des rapports d'actualité.
Ne pas oublier les quatrième et neuvième parties
Il peut être tentant de surveiller avec diligence vos tiers tout en oubliant leurs tiers et leurs Nièmes parties. Si votre fournisseur dépend d'autres entreprises pour remplir ses contrats et gérer ses activités, les risques de sécurité ou les problèmes opérationnels de ces autres parties peuvent en fin de compte affecter votre organisation.
Par conséquent, au cours du processus d'évaluation des risques, vous devez identifier les tiers qui sont essentiels à la réussite de votre tiers. En fonction du risque qu'ils représentent pour votre tiers, envisagez de mettre en œuvre un processus de surveillance financière et de cyber à échelle réduite pour ces tiers.
Tenir compte de plusieurs types de risques Cyber
L'identification des vulnérabilités dans les systèmes informatiques publics d'un fournisseur n'est qu'une partie de l'équation de la surveillance continue. Il est important d'aller au-delà de l'analyse des vulnérabilités pour révéler d'autres indicateurs de risque du site cyber , notamment :
Ne vous arrêtez pas à Cyber Risk
De nombreuses entreprises se concentrent sur le risque cyber parce qu'il est généralement facile à quantifier et à traiter. Toutefois, la surveillance du risquecyber doit être complétée par une surveillance opérationnelle, financière et de la réputation. Lors de l'élaboration de votre programme de surveillance des tiers, veillez à prendre en compte ces autres types de risques. Quelques questions à se poser :
Évaluation gratuite de la maturité du TPRM
Travaillez avec les experts de Prevalent pour obtenir un rapport approfondi sur l'état de votre programme TPRM actuel, ainsi que des recommandations pratiques sur la manière de le faire passer au niveau supérieur.
La gestion des risques est un processus continu. Même les partenaires fiables peuvent subir des perturbations, et les incitations à mettre en œuvre les contrôles promis peuvent s'estomper une fois l'accord signé. Cet environnement de risque changeant exige non seulement une surveillance continue des risques externes, mais aussi une visibilité permanente des obligations de performance des fournisseurs.
Certains fournisseurs peuvent exiger un contrôle pour s'assurer que les engagements de remédiation sont respectés, et tous doivent être évalués par rapport à leurs accords de niveau de service (SLA). Essayer de gérer cela à l'aide de feuilles de calcul ou d'autres méthodes manuelles peut augmenter la probabilité de non-respect des accords de niveau de service et les perturbations commerciales associées.
Évaluer régulièrement la performance du fournisseur
Il peut être tentant d'adopter une approche unique pour évaluer les fournisseurs. Cependant, cela peut conduire à de mauvais résultats et à l'échec des relations commerciales. Effectuer des évaluations périodiques pour s'assurer que les fournisseurs respectent leurs accords de niveau de service et autres obligations contractuelles peut aider à détecter rapidement tout problème.
Définir les bons indicateurs clés de performance (KPI) et indicateurs clés de performance (KRI)
Pour évaluer efficacement les performances des fournisseurs, il est essentiel de définir les bons indicateurs clés de performance et les bons indicateurs de risque. Les indicateurs clés de performance permettent de s'assurer que les obligations contractuelles sont remplies et que les objectifs de l'entreprise sont atteints tout au long du cycle de vie du contrat. Les indicateurs clés de performance peuvent vous aider à comprendre les risques posés par les fournisseurs, de l'entrée à la sortie.
Le risque peut persister après la fin des relations avec les fournisseurs. Un fournisseur écarté qui détient des données sensibles doit les restituer et/ou les détruire en toute sécurité ; l'accès aux systèmes internes doit être supprimé ; et les obligations d'assistance peuvent durer plus longtemps qu'un contrat d'achat. Cependant, l'étudePrevalent a révélé que 39 % des entreprises ne suivent pas les risques liés aux tiers et n'y remédient pas lors de l'externalisation. Cette situation présente des risques permanents pour l'entreprise, la sécurité et la propriété intellectuelle.
Ne supposez pas que les données ont été supprimées.
Il est courant de supposer que les tiers supprimeront les données sensibles des clients et autres informations à la fin de leurs contrats. Cependant, ce n'est pas toujours le cas. Prenez le temps de contacter vos tiers et assurez-vous que toutes les informations sensibles ont été effacées. Il vaut la peine de le faire par écrit afin de disposer d'une piste d'audit en cas d'incidents futurs.
Confirmer la révocation de l'accès aux infrastructures physiques et informatiques
Une fois que vous avez exclu un fournisseur, assurez-vous que vos équipes informatiques et d'installations ont correctement dé-provisionné les employés du contractant. Confirmez qu'ils ont révoqué tous les accès aux bâtiments et supprimé toutes les autorisations des environnements informatiques et en nuage. Si un fournisseur conserve accidentellement un accès, votre entreprise pourrait être exposée à une future violation. La mise en œuvre de listes de contrôle basées sur le flux de travail dans une plateforme TPRM centrale peut contribuer à garantir un processus d'expatriation sécurisé.
Réaliser un examen approfondi du contrat
Une fois qu'un fournisseur a terminé son travail pour votre organisation, examinez attentivement le contrat pour vous assurer qu'il a respecté tous les engagements. Ne partez pas du principe qu'il a atteint toutes les étapes et tous les indicateurs clés de performance.
Ce n'est pas un secret que les responsabilités et les accès des fournisseurs peuvent changer tout au long de leur cycle de vie. Prenez le temps d'examiner en détail les systèmes et les données auxquels votre fournisseur a eu accès. Posez-vous les questions suivantes :
En posant ces questions, vous pouvez vous assurer que vous restez en conformité avec les exigences applicables. Elles peuvent également fournir des indications précieuses sur la manière de gérer plus efficacement la conformité des fournisseurs.
La gestion des risques liés aux tiers peut s'avérer difficile. Il y a des douzaines de parties mobiles dans plusieurs départements, et il peut être difficile de coordonner les évaluations des risques des tiers, de s'assurer que les exigences de conformité sont respectées, et de satisfaire les différents départements cloisonnés. La plateforme de gestion des risques des tiers Prevalent facilite considérablement la navigation dans le cycle de vie des fournisseurs. Pour en savoir plus sur notre approche, lisez notre guide des meilleures pratiques, Naviguer dans le cycle de vie du risque fournisseur : Les clés de la réussite à chaque étape, ou demandez une démonstration dès aujourd'hui.
2025 promet d'être une année importante pour la gestion des risques des tiers. Lisez nos principales prédictions en matière de gestion des risques de tiers...
12/12/2024
Découvrez comment une politique de gestion des risques liés aux tiers (TPRM) peut protéger votre organisation contre les risques liés aux fournisseurs.
11/08/2024
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024