Le cycle de vie de la gestion des risques liés aux fournisseurs tiers : Le guide définitif

4. Évaluer les fournisseurs et remédier aux risques

Le niveau de risque posé par les différents tiers varie en fonction de leur criticité pour votre entreprise et d'autres facteurs. De même, les critères pour chaque niveau de tiers varieront également. Par exemple, les critères pour un fournisseur de pièces seront différents de ceux utilisés pour évaluer les services d'hébergement en nuage.

Les organisations ayant des programmes TPRM immatures peuvent aborder différents niveaux de fournisseurs en créant des enquêtes individuelles basées sur des feuilles de calcul pour chaque nouveau projet, ce qui revient à "réinventer la roue" en permanence. Les réponses à ces enquêtes peuvent différer dans le niveau de détail et d'exhaustivité, ce qui rend difficile l'évaluation du risque global et des contrôles requis. Il peut s'avérer difficile de suivre les points ouverts qui nécessitent une correction et de s'assurer que les contrôles de correction sont cohérents et adéquats, ce qui entraîne des demandes inutiles sur des ressources limitées en matière de sécurité, de risque et de conformité.

Meilleures pratiques en matière d'évaluation et d'assainissement des fournisseurs

Exploiter une bibliothèque partagée

Les processus de gestion des risques liés aux tiers peuvent être éprouvants pour les équipes disposant de peu de ressources. Les processus de collecte de données et les communications avec les fournisseurs représentent la plus grande partie du temps nécessaire pour réduire les risques et compléter l'assurance de l'évaluation. Ce problème est aggravé par l'évolution constante du paysage réglementaire, qui nécessite une expertise pour interpréter les obligations en matière de rapports de conformité. Assurer la conformité et répondre aux exigences de gestion des risques des fournisseurs tout en optimisant les compétences de votre équipe est un exercice d'équilibre, c'est certain.

Pour faire face aux contraintes de ressources, de nombreuses organisations - en particulier celles qui disposent d'un solide plan d'échelonnement des fournisseurs - choisissent d'exploiter le contenu déjà soumis et partagé dans le cadre d'un échange sectoriel. Ces échanges de fournisseurs sont des prophéties auto-réalisatrices : plus les fournisseurs participent, plus le chevauchement avec d'autres entreprises est important. Cela permet d'accélérer les processus d'identification et d'atténuation des risques et de minimiser le temps consacré à la collecte des données.

Assurer la flexibilité du questionnaire

Les questionnaires sur les risques liés aux fournisseurs ne sont pas uniques. L'utilisation d'une plateforme tierce de gestion des risques offrant plusieurs options de questionnaires, ainsi que la possibilité de générer des questionnaires personnalisés, peut simplifier considérablement l'évaluation des fournisseurs. L'utilisation d'une plateforme dédiée peut réduire de 50 % le travail manuel lié à la gestion des enquêtes et des réponses et garantir que les questionnaires d'évaluation correspondent bien au profil de risque de chaque fournisseur.

Gagnez du temps grâce aux conseils d'assainissement intégrés

Parfois, les évaluations des fournisseurs révèlent des faits inquiétants. Il se peut que le fournisseur en question ait été victime d'une violation de données, qu'il ne soit pas conforme aux réglementations sur la confidentialité des données ou qu'il ne dispose pas d'un programme de cybersécurité formel. Les plates-formes qui offrent des conseils intégrés en matière de remédiation peuvent fournir des modèles simples pour les demandes de remédiation, ainsi que des capacités de gestion des flux de travail et des tâches pour faciliter et rationaliser l'ensemble du processus.

Questions relatives aux rapports de conformité

Dans de nombreux cas, vous devez tenir compte de la sécurité de l'information et de la confidentialité des données lorsque vous travaillez avec des fournisseurs. Lorsque vous définissez votre stratégie de gestion des risques des tiers, réfléchissez à la manière dont les différentes plateformes gèrent les rapports de conformité. L'utilisation d'une plateforme de gestion des risques liés aux tiers qui comprend des rapports de conformité automatisés pour un éventail d'exigences de conformité nationales et internationales peut considérablement simplifier les audits et réduire le risque de non-conformité.

Développer le reporting grâce aux capacités de l'IA

Veillez à prendre en compte la valeur que l'IA apporte à l'analyse des risques et à l'établissement de rapports. Bien que l'intelligence artificielle ne soit pas un concept nouveau, l'introduction récente des technologies d'IA générative permet aux organisations de résoudre des problèmes commerciaux à une échelle sans précédent. Les IA conversationnelles formées à partir de milliards d'événements et d'années d'expérience peuvent fournir des informations expertes sur la gestion des risques dans le contexte des directives sectorielles telles que NIST, ISO, SOC 2 et autres.

5. Contrôle continu

Bien que les évaluations périodiques soient essentielles pour comprendre comment les fournisseurs gèrent leurs programmes de sécurité de l'information et de protection de la vie privée, une évaluation des risques classique ne peut fournir qu'un instantané du profil de risque de votre organisation à un moment donné. Ce profil peut changer rapidement en fonction de l'évolution des menaces, de la survenance de nouvelles violations et de l'apparition de nouveaux défis commerciaux.

Il est important de surveiller en permanence les pratiques d'un tiers en matière de cybersécurité. Il en va de même pour l'acquisition d'une visibilité sur d'autres types de changements commerciaux, tels que les problèmes financiers, de réputation, de conformité et de chaîne d'approvisionnement, qui peuvent créer des risques pour l'entreprise.

Malheureusement, les organisations ont rarement accès à ces données d'une manière qui permette aux équipes chargées de la sécurité et des risques d'être rapidement informées, et elles restent souvent non incorporées dans un registre central pour la prise de décision. Au lieu de cela, de nombreuses organisations s'appuient sur des processus manuels, des outils disparates, des notifications de fournisseurs et des rapports d'actualité.

Meilleures pratiques en matière de surveillance par des tiers

Ne pas oublier les quatrième et neuvième parties

Il peut être tentant de surveiller avec diligence vos tiers tout en oubliant leurs tiers et leurs Nièmes parties. Si votre fournisseur dépend d'autres entreprises pour remplir ses contrats et gérer ses activités, les risques de sécurité ou les problèmes opérationnels de ces autres parties peuvent en fin de compte affecter votre organisation.

Par conséquent, au cours du processus d'évaluation des risques, vous devez identifier les tiers qui sont essentiels à la réussite de votre tiers. En fonction du risque qu'ils représentent pour votre tiers, envisagez de mettre en œuvre un processus de surveillance financière et de cyber à échelle réduite pour ces tiers.

Tenir compte de plusieurs types de risques Cyber

L'identification des vulnérabilités dans les systèmes informatiques publics d'un fournisseur n'est qu'une partie de l'équation de la surveillance continue. Il est important d'aller au-delà de l'analyse des vulnérabilités pour révéler d'autres indicateurs de risque du site cyber , notamment :

• Brèches - Un grand nombre de brèches indique des vulnérabilités dans le programme de sécurité d'un fournisseur et peut conduire à des pressions réglementaires.
• Bavardage sur le Dark Web - Les mentions récentes et fréquentes d'une entreprise sur le Dark Web sont souvent en corrélation avec une activité plus menaçante contre l'entreprise, ce qui augmente la probabilité d'une attaque. L'attention portée aux marchés du dark web peut indiquer la vente illicite d'actifs ou de comptes de l'entreprise, ou des manœuvres frauduleuses.
• Abus de domaine/typosquattage - Les nouveaux enregistrements de domaine présentant des similitudes de style typosquattage avec des domaines d'entreprise existants sont des indications potentielles d'abus de domaine (comme le phishing), d'enregistrement défensif pour prévenir ou atténuer l'abus de domaine, ou les deux.
• Sécurité du courrier électronique - Configurations de la politique de l'expéditeur (SPF) ; clés de domaine identifiant le courrier (DKIM) ; et authentification, rapport et conformité des messages basés sur le domaine (DMARC).
• Fuites d'informations d'identification - Les informations d'identification et les courriers électroniques exposés indiquent une réutilisation potentielle des mots de passe ou des adresses électroniques de l'entreprise par ses employés, ce qui augmente le risque d'attaques par bourrage d'informations d'identification et de ciblage par des acteurs menaçants.
• Incidents - Les divulgations de brèches de sécurité et les rapports d'attaques validés cyber signalent qu'une entreprise a probablement subi une attaque, une brèche ou un événement récent cyber qui a mis en danger ses actifs informationnels.
• Expositions de l'infrastructure - Il s'agit notamment des violations de la politique informatique, de l'utilisation abusive de l'infrastructure de l'entreprise, des infections de l'infrastructure de l'entreprise, des logiciels malveillants, des mauvaises configurations, des vulnérabilités, des hôtes infectés et des logiciels non pris en charge.
• Sécurité des applications Web - certificats et configurations SSL/TLS.

Ne vous arrêtez pas à Cyber Risk

De nombreuses entreprises se concentrent sur le risque cyber parce qu'il est généralement facile à quantifier et à traiter. Toutefois, la surveillance du risquecyber doit être complétée par une surveillance opérationnelle, financière et de la réputation. Lors de l'élaboration de votre programme de surveillance des tiers, veillez à prendre en compte ces autres types de risques. Quelques questions à se poser :

• Ce fournisseur est-il en bonne santé financière ? A-t-il une forte probabilité de faire faillite ou de subir d'autres perturbations financières dans un avenir prévisible ?
• Ce fournisseur adopte-t-il des pratiques commerciales éthiques ?
• Ce vendeur respecte-t-il les lois et règlements applicables ?

6. Gestion de la performance continue et des accords de niveau de service

La gestion des risques est un processus continu. Même les partenaires fiables peuvent subir des perturbations, et les incitations à mettre en œuvre les contrôles promis peuvent s'estomper une fois l'accord signé. Cet environnement de risque changeant exige non seulement une surveillance continue des risques externes, mais aussi une visibilité permanente des obligations de performance des fournisseurs.

Certains fournisseurs peuvent exiger un contrôle pour s'assurer que les engagements de remédiation sont respectés, et tous doivent être évalués par rapport à leurs accords de niveau de service (SLA). Essayer de gérer cela à l'aide de feuilles de calcul ou d'autres méthodes manuelles peut augmenter la probabilité de non-respect des accords de niveau de service et les perturbations commerciales associées.

Meilleures pratiques en matière de gestion des fournisseurs

Évaluer régulièrement la performance du fournisseur

Il peut être tentant d'adopter une approche unique pour évaluer les fournisseurs. Cependant, cela peut conduire à de mauvais résultats et à l'échec des relations commerciales. Effectuer des évaluations périodiques pour s'assurer que les fournisseurs respectent leurs accords de niveau de service et autres obligations contractuelles peut aider à détecter rapidement tout problème.

Définir les bons indicateurs clés de performance (KPI) et indicateurs clés de performance (KRI)

Pour évaluer efficacement les performances des fournisseurs, il est essentiel de définir les bons indicateurs clés de performance et les bons indicateurs de risque. Les indicateurs clés de performance permettent de s'assurer que les obligations contractuelles sont remplies et que les objectifs de l'entreprise sont atteints tout au long du cycle de vie du contrat. Les indicateurs clés de performance peuvent vous aider à comprendre les risques posés par les fournisseurs, de l'entrée à la sortie.

7. Résiliation et désinsertion

Le risque peut persister après la fin des relations avec les fournisseurs. Un fournisseur écarté qui détient des données sensibles doit les restituer et/ou les détruire en toute sécurité ; l'accès aux systèmes internes doit être supprimé ; et les obligations d'assistance peuvent durer plus longtemps qu'un contrat d'achat. Cependant, l'étudePrevalent a révélé que 39 % des entreprises ne suivent pas les risques liés aux tiers et n'y remédient pas lors de l'externalisation. Cette situation présente des risques permanents pour l'entreprise, la sécurité et la propriété intellectuelle.

Meilleures pratiques en matière d'intégration des fournisseurs

Ne supposez pas que les données ont été supprimées.

Il est courant de supposer que les tiers supprimeront les données sensibles des clients et autres informations à la fin de leurs contrats. Cependant, ce n'est pas toujours le cas. Prenez le temps de contacter vos tiers et assurez-vous que toutes les informations sensibles ont été effacées. Il vaut la peine de le faire par écrit afin de disposer d'une piste d'audit en cas d'incidents futurs.

Confirmer la révocation de l'accès aux infrastructures physiques et informatiques

Une fois que vous avez exclu un fournisseur, assurez-vous que vos équipes informatiques et d'installations ont correctement dé-provisionné les employés du contractant. Confirmez qu'ils ont révoqué tous les accès aux bâtiments et supprimé toutes les autorisations des environnements informatiques et en nuage. Si un fournisseur conserve accidentellement un accès, votre entreprise pourrait être exposée à une future violation. La mise en œuvre de listes de contrôle basées sur le flux de travail dans une plateforme TPRM centrale peut contribuer à garantir un processus d'expatriation sécurisé.

Réaliser un examen approfondi du contrat

Une fois qu'un fournisseur a terminé son travail pour votre organisation, examinez attentivement le contrat pour vous assurer qu'il a respecté tous les engagements. Ne partez pas du principe qu'il a atteint toutes les étapes et tous les indicateurs clés de performance.

Exécuter un rapport final de conformité

Ce n'est pas un secret que les responsabilités et les accès des fournisseurs peuvent changer tout au long de leur cycle de vie. Prenez le temps d'examiner en détail les systèmes et les données auxquels votre fournisseur a eu accès. Posez-vous les questions suivantes :

• Les contrôles de cybersécurité du fournisseur étaient-ils adéquats pour répondre à vos exigences de conformité tout au long du cycle de vie du fournisseur ?
• Le vendeur s'est-il vu accorder des autorisations élevées ou un accès qui n'était pas nécessaire à l'exécution de son travail pendant la durée du contrat ?
• Le fournisseur a-t-il été responsable d'un quelconque incident de sécurité pendant le contrat ?
• Le vendeur vous a-t-il fait courir le risque d'être jugé non conforme à une ou plusieurs réglementations pendant le contrat ?
  

En posant ces questions, vous pouvez vous assurer que vous restez en conformité avec les exigences applicables. Elles peuvent également fournir des indications précieuses sur la manière de gérer plus efficacement la conformité des fournisseurs.

Prochaines étapes pour naviguer dans le cycle de vie des fournisseurs

La gestion des risques liés aux tiers peut s'avérer difficile. Il y a des douzaines de parties mobiles dans plusieurs départements, et il peut être difficile de coordonner les évaluations des risques des tiers, de s'assurer que les exigences de conformité sont respectées, et de satisfaire les différents départements cloisonnés. La plateforme de gestion des risques des tiers Prevalent facilite considérablement la navigation dans le cycle de vie des fournisseurs. Pour en savoir plus sur notre approche, lisez notre guide des meilleures pratiques, Naviguer dans le cycle de vie du risque fournisseur : Les clés de la réussite à chaque étape, ou demandez une démonstration dès aujourd'hui.