Évaluation des risques liés aux fournisseurs : Le Guide Définitif

Pourquoi les évaluations des risques liés aux fournisseurs sont-elles essentielles ?

Ces dernières années, le monde a connu d'importantes perturbations des activités commerciales et de la chaîne d'approvisionnement en raison de la pandémie de COVID-19 en cours, de phénomènes météorologiques extrêmes, d'attaques de plus en plus importantes sur le site cyber et d'autres événements. En conséquence, les organisations ont été confrontées à des pannes opérationnelles, à des pertes financières et à des actions en justice. Bien que nombre de ces événements n'aient pu être évités, les organisations dotées de programmes efficaces de gestion des risques des tiers ont souvent été en mesure d'en réduire ou d'en atténuer les effets de manière significative.

La mise en œuvre de processus d'évaluation des risques liés aux tiers, axés sur les risques opérationnels, la continuité des activités et les risques de sécurité, peut permettre à votre organisation de rationaliser les processus d'approvisionnement, d'améliorer la résilience de la chaîne d'approvisionnement et de satisfaire aux audits de conformité. De plus, le coût de la mise en place et du maintien d'une pratique stratégique d'évaluation des tiers est bien inférieur aux dommages potentiels que peuvent causer les fournisseurs à haut risque.

Quelles sont les différentes catégories de risques liés aux fournisseurs ?

Il existe trois principaux types de risques lorsqu'on traite avec des tiers : le risque profilé, le risque inhérent et le risque résiduel. Voici une brève description de ces trois types de risques :

• Le risque profilé est directement lié à la relation du fournisseur avec votre organisation. Certains fournisseurs présentent plus de risques. Par exemple, une société de traitement de cartes de crédit présente probablement un risque beaucoup plus élevé pour votre organisation qu'une agence de publicité numérique. Les organisations dont le profil de risque est plus élevé doivent faire l'objet d'un examen plus approfondi lors de la sélection des fournisseurs.
• Les risques inhérents font référence aux risques que le fournisseur pose en raison de sa propre sécurité de l'information, de ses pratiques opérationnelles et financières et d'autres pratiques commerciales avant la mise en œuvre de tout contrôle requis par votre organisation. Pour déterminer le score de risque inhérent d'un fournisseur potentiel, il faut combiner des questionnaires détaillés d'évaluation du fournisseur et une surveillance externe des menaces.
• Lerisque résiduel est le niveau de risque restant une fois que l'organisation en question a mis en œuvre les contrôles obligatoires de votre organisation. Le risque résiduel ne peut jamais être éliminé, mais il peut être ramené à un niveau que l'organisation juge acceptable.

Comment évaluer les risques liés aux fournisseurs ?

Le calcul de base pour évaluer le risque fournisseur est le suivant : probabilité x impact = risque. Supposons, par exemple, qu'un fournisseur de l'hôpital traite de grandes quantités d'informations sanitaires protégées (PHI) mais ne se conforme pas à la loi HIPAA. En vertu de la loi HIPAA, il est considéré comme un associé commercial et est soumis à la même surveillance réglementaire que le prestataire de soins de santé. Dans ce cas, l'impact est une amende importante à la fois pour le prestataire de soins et pour l'associé commercial (par exemple, impact majeur ou grave), et la probabilité est une chance que leur non-conformité soit découverte par les régulateurs (par exemple, probable ou extrêmement probable). Cela représenterait un risque inacceptable pour tout organisme de soins de santé et entraînerait probablement la résiliation du contrat.

L'exemple ci-dessus souligne l'importance de mener des évaluations approfondies des risques liés aux fournisseurs. Cela est d'autant plus important pour les organisations qui traitent de grandes quantités de données sensibles, telles que les entreprises publiques et les prestataires de soins de santé. Dans de nombreux cas, les réglementations telles que l'HIPAA tiennent l'organisation principale responsable de la non-conformité des fournisseurs.

Étapes de l'évaluation du risque fournisseur

1. Réunir les parties prenantes internes

Les programmes d'évaluation des risques liés aux fournisseurs les plus réussis impliquent la contribution et/ou la participation des parties prenantes, représentant des rôles multiples avec des priorités différentes. Il peut s'agir

La constitution d'une équipe interfonctionnelle pour planifier et guider votre programme d'évaluation contribuera à garantir son adoption par l'organisation et son succès à long terme.

2. Définir votre niveau acceptable de risque résiduel

Dans un monde parfait, le risque pourrait être entièrement éliminé. Malheureusement, lorsqu'on travaille avec un tiers, il y a toujours une part de risque. Avant d'évaluer les fournisseurs potentiels pour un projet, vous devez définir le niveau de risque acceptable. La sélection des fournisseurs et l'ensemble du processus de gestion des risques liés aux tiers peuvent ainsi être plus rapides, plus efficaces et plus uniformes. Cela vous permet d'identifier facilement les fournisseurs qui ne répondront manifestement pas à vos objectifs commerciaux et à votre tolérance au risque. En outre, cela peut aider à clarifier les contrôles que vous devez exiger des fournisseurs avant de travailler avec eux.

3. Élaborer votre processus d'évaluation du risque fournisseur

Mettre en œuvre un processus avec des contrôles et des exigences normalisés. Cependant, il n'existe pas d'approche unique pour l'évaluation des risques liés aux fournisseurs. Les différents fournisseurs présentent des niveaux de risque variables pour votre organisation, en fonction de facteurs tels que :

• Leur importance dans votre chaîne d'approvisionnement, en particulier s'il s'agit d'un fournisseur unique ou d'un fournisseur exclusif.
• Leur accès à des données sensibles, telles que des informations personnelles identifiables (PII), des informations de santé protégées (PHI) ou des informations commercialement sensibles (CSI).
• Leur vulnérabilité aux perturbations, telles que les catastrophes naturelles ou les conflits géopolitiques.

Commencez par une évaluation interne de profilage et de hiérarchisation pour classer vos fournisseurs et déterminer le type, l'étendue et la fréquence de l'évaluation nécessaire pour chaque groupe. Par exemple, les fournisseurs essentiels à votre activité et présentant un potentiel de risque élevé (par exemple, les cabinets comptables ou les fournisseurs exclusifs) nécessitent un contrôle préalable plus approfondi que ceux dont le profil de risque est moins élevé (par exemple, les agences de publicité).

Le fait de disposer d'un processus structuré pour chaque catégorie de fournisseurs rend votre programme de gestion des risques liés aux tiers plus efficace et vous aide à prendre de meilleures décisions fondées sur les risques concernant vos relations avec les fournisseurs.

4. Envoyer les questionnaires d'évaluation des risques des fournisseurs

L'étape suivante consiste à sélectionner et à envoyer des questionnaires d' évaluation des risques pour chaque fournisseur ou catégorie de fournisseurs. Les questionnaires constituent une approche basée sur la confiance pour recueillir des informations sur les contrôles internes de chaque fournisseur. Ils peuvent porter sur divers sujets, notamment les pratiques en matière de sécurité de l'information, les exigences de conformité, la stabilité financière et les données des fournisseurs de quatrième et de troisième partie.

Sélection d'un questionnaire

L'un des principaux choix auxquels les entreprises sont confrontées lorsqu'elles sélectionnent des questionnaires pour leurs évaluations des risques primaires est de savoir s'il convient d'utiliser un questionnaire standard, tel que le questionnaire SIG (Standard Information Gathering), ou un questionnaire propriétaire. Dans certains cas, vos tiers disposent déjà d'une certification en matière de sécurité de l'information, telle que CMMC ou SOC 2. Vous pouvez accepter ces certifications au lieu d'exiger une réponse à l'évaluation ou les compléter par des évaluations propriétaires et/ou ad hoc pour recueillir des informations sur des contrôles spécifiques ou des risques potentiels en dehors de la cybersécurité. Pour en savoir plus sur les avantages et les inconvénients de chaque approche d'évaluation, lisez notre article sur la sélection d'un questionnaire d'évaluation des risques des fournisseurs.

Choisir un cadre

De nombreuses organisations choisissent d'utiliser des cadres lors de la conception de leurs questionnaires d'évaluation des fournisseurs, tels que le cadre de cybersécurité du NIST, ISO 27001 et NIST 800-30, afin de s'assurer que les questionnaires sont standardisés dans toute la chaîne d'approvisionnement et reflètent les meilleures pratiques. Si vous exigez de vos fournisseurs qu'ils soient conformes à des réglementations spécifiques telles que le GDPR ou PCI DSS, il peut être intéressant d'incorporer des questions relatives à ces normes directement dans votre programme de gestion des risques fournisseurs.

5. Compléter les évaluations par une surveillance continue des risques

Les vulnérabilités en matière de cybersécurité, les défis liés à la chaîne d'approvisionnement et les exigences de conformité évoluent en permanence. Veillez donc à effectuer une surveillance continue des risques afin de détecter tout risque cyber, commercial ou de réputation qui survient entre vos évaluations périodiques des fournisseurs. Vous pouvez également utiliser les données relatives aux risques pour vérifier que les réponses à l'évaluation d'un tiers sont cohérentes avec ses activités commerciales réelles.

Violation des données des fournisseurs, exposition des informations d'identification et autres risques Cyber

Les violations de données de tiers, les attaques de ransomware et autres incidents sur le site cyber sont des menaces constantes et omniprésentes pour les organisations d'aujourd'hui. Il est donc essentiel de procéder à une surveillance externe des risques de cybersécurité dans l'ensemble de l'écosystème des fournisseurs. Les principaux risques à surveiller sont les suivants

• exposition des titres de compétences
• violations de données et incidents confirmés
• mauvaise configuration et vulnérabilités des applications web
• typosquattage et autres menaces sur les marques

Finances, pratiques commerciales et réputation des fournisseurs

Alors que les violations des droits des tiers et les incidents de cybersécurité ont tendance à monopoliser les gros titres, la faillite financière d'un fournisseur, les perturbations opérationnelles ou la mauvaise presse peuvent avoir de graves conséquences pour votre entreprise. Ces risques "non informatiques" s'étendent également aux défis environnementaux, sociaux et de gouvernance (ESG), tels que l'esclavage moderne, la corruption et les questions de protection des consommateurs.

Recherchez les rapports d'actualité, les informations financières et les relations avec des tiers qui pourraient signaler des problèmes. Examinez les pratiques commerciales des fournisseurs, l'approvisionnement en matières premières et les autres processus commerciaux clés qui pourraient poser des problèmes de réputation ou d'éthique à votre entreprise. En outre, demandez des références de clients et de partenaires qui utilisent les produits et services de la tierce partie. Parlez avec ces références afin d'obtenir des informations supplémentaires sur la capacité du tiers à respecter les accords de niveau de service et autres obligations contractuelles.

Sélection d'une stratégie de surveillance

Qu'il s'agisse de sources ouvertes ou de sites web publics, les sources d'information sur les tiers ne manquent pas. Toutefois, il peut s'avérer difficile de mettre en place un programme de surveillance complet et efficace en partant de zéro. De nombreuses entreprises s'appuient sur des logiciels de surveillance automatisée des menaces des fournisseurs pour l'identification et l'évaluation des risques.

6. Catégoriser et remédier aux risques

Les risques peuvent être classés comme acceptables ou inacceptables. Les risques inacceptables doivent être corrigés avant de travailler avec le fournisseur. L'élimination des risques liés à des tiers peut prendre diverses formes. Une organisation peut choisir de demander à un fournisseur potentiel d'obtenir une certification de sécurité telle que SOC 2, de cesser ses relations avec des fournisseurs de 4ème et de Nème partie, ou de modifier ses pratiques commerciales qui pourraient entraîner des perturbations de la chaîne d'approvisionnement ou d'autres perturbations.

En outre, les organisations devraient disposer d'une stratégie de réponse aux incidents impliquant des tiers, au cas où un fournisseur serait victime d'une violation de données ou d'une autre perturbation. Le fait de disposer d'une stratégie définie pour faire face aux risques qui se matérialisent peut réduire considérablement le temps nécessaire pour mettre en place une réponse efficace et réduire les perturbations au sein de votre organisation.

Comment lancer un programme d'évaluation des risques liés aux fournisseurs

L'une des erreurs commises par de nombreuses entreprises lors du lancement d'un programme d'évaluation est de s'appuyer sur le courrier électronique et les feuilles de calcul pour effectuer le travail. À moins que vous ne travailliez qu'avec une poignée de fournisseurs, cette approche manuelle des évaluations peut être un cauchemar pour les auditeurs et les fournisseurs, tout en fournissant peu de données utiles.

Si vous souhaitez lancer un programme d'évaluation, vous pouvez commencer par vous abonner à un réseau de renseignements sur les fournisseurs, qui vous donne accès à une bibliothèque de rapports sur les risques liés aux fournisseurs, fondés sur des données d'évaluation normalisées. Ensuite, pour une personnalisation et un contrôle accrus, envisagez une solution automatisée d'évaluation du risque fournisseur qui vous permettra de mener et de gérer vos initiatives d'évaluation. Ou, si vous préférez une approche plus directe, un fournisseur de services gérés peut effectuer des évaluations en votre nom.

Prochaines étapes

Prevalent offre des solutions et des services d'évaluation des risques liés aux fournisseurs dans le cadre de sa plateforme complète de gestion des risques liés aux tiers. Pour discuter de vos besoins spécifiques avec un expert de Prevalent , demandez une démonstration personnalisée dès aujourd'hui.