Que faut-il rechercher dans un rapport d'évaluation du risque fournisseur

Les rapports d'évaluation des risques liés aux fournisseurs sont essentiels à votre programme de gestion des risques liés aux tiers. De bons rapports permettent de renforcer les relations avec les fournisseurs, de démontrer une diligence raisonnable et de mettre en lumière les meilleures pratiques en matière de contrôles de sécurité.
Par :
Brenda Ferraro
,
Vice-président des risques liés aux tiers
13 avril 2021
Partager :
Rapport d'évaluation des risques liés aux fournisseurs de blogs 0421

Les rapports d'évaluation des risques liés aux fournisseurs sont essentiels à votre programme de gestion des risques liés aux tiers. Au-delà de la mise en évidence des faiblesses du programme ou des lacunes dans les contrôles de sécurité, de bons rapports permettent également de renforcer les relations avec les fournisseurs, de démontrer aux organismes de réglementation une diligence raisonnable et une gestion des risques adéquate, et de mettre en lumière les meilleures pratiques en matière de contrôles de sécurité.

Alors, qu'est-ce qui fait un bon rapport d'évaluation du risque fournisseur? En gros, il y a trois éléments fondamentaux à prendre en compte : l'évaluation continue des risques liés aux fournisseurs, la conformité réglementaire et les rapports de cybersécurité pour la diligence raisonnable des fournisseurs. Dans cet article, nous passons en revue ces éléments de base et d'autres considérations critiques dans vos rapports d'évaluation des fournisseurs.

Rapports continus sur l'évaluation des risques liés aux fournisseurs

L'époque où les évaluations des fournisseurs étaient menées selon une approche "une fois pour toutes" est révolue. Pour rester au fait de l'évolution des menaces, il est essentiel de mener régulièrement le processus d'évaluation des risques liés aux fournisseurs. Cela se fait généralement à l'aide de deux types de rapports : les rapports initiaux de synthèse des risques et les rapports finaux de synthèse des risques.

Rapports initiaux de synthèse des risques

Le rapport initial de synthèse des risques fournit aux équipes internes et aux fournisseurs tiers des détails sur les risques dans leurs environnements qui nécessitent des mesures d'atténuation ou des contrôles compensatoires. Vous pouvez le considérer comme un "pré-test" qui identifie les points forts et les points faibles du tiers. Le rapport doit être suffisamment souple pour afficher les notes de risque et d'autres détails importants, tout en permettant aux parties prenantes d'explorer les vulnérabilités les plus critiques. Les programmes matures de gestion des risques liés aux tiers utilisent ce type de rapport pour renforcer les discussions avec les fournisseurs et négocier des engagements de remédiation.

Rapport final de synthèse des risques

Le rapport final de synthèse du risque s'appuie sur le rapport initial de synthèse du risque en détaillant les ajustements justifiés du risque, les engagements du plan de remédiation et/ou les contrôles compensatoires. Il documente essentiellement ce que vous allez faire au sujet du risque. Il doit également s'agir d'un rapport évolutif qui est mis à jour chaque fois qu'un risque est identifié, vérifié ou atténué - ou lorsque des incidents ou des alertes spécifiques nécessitent une mise à jour. Ce rapport sert à documenter les engagements des fournisseurs, à enregistrer les mesures de sécurité mises en œuvre et à suivre les vulnérabilités connexes révélées après l'évaluation initiale des contrôles.

Les organismes de réglementation exigent souvent des rapports de synthèse des risques initiaux et finaux comme preuve d'un processus en boucle fermée dans lequel vous informez les fournisseurs de toutes les vulnérabilités révélées lors des évaluations, suivez et validez la correction des risques, et communiquez en permanence les engagements respectés et non respectés.

Rapports d'évaluation des risques des fournisseurs pour la conformité

Les régulateurs doivent déterminer si votre gestion des risques liés aux tiers est conforme aux meilleures pratiques en matière d'évaluation des risques liés aux fournisseurs, et les rapports peuvent faire ou défaire vos initiatives de conformité.

Les rapports de conformité fonctionnent comme des enjeux de table TPRM. Cependant, ils peuvent également fournir une visibilité interne sur ces meilleures pratiques, afin que les chefs de service puissent prendre des décisions éclairées qui s'alignent également sur les objectifs de conformité. Par exemple, les départements de protection de la vie privée ont besoin de rapports sur les risques qui incluent le contexte autour de CCPA, GDPR et d'autres réglementations de conformité.

Considérez chaque réglementation ou cadre de conformité comme une langue différente. Les données relatives à l'évaluation des risques de votre fournisseur doivent être traduites dans chaque langue afin d'obtenir des rapports de conformité efficaces. C'est pourquoi votre solution tierce de gestion des risques doit inclure des fonctionnalités telles que la cartographie des risques par rapport à la conformité, des tableaux de bord spécifiques à la conformité et des rapports sur le "pourcentage de conformité" pour chaque réglementation.

Pour accélérer les rapports de conformité et avoir une meilleure visibilité sur le niveau de conformité de chaque fournisseur, commencez par établir un seuil de pourcentage de conformité "réussi" pour chaque catégorie de risque. Vos rapports doivent être liés aux pourcentages de conformité, ce qui permet à votre équipe d'évaluation de se concentrer sur les domaines où les taux de conformité sont faibles.

Ne vous arrêtez pas non plus au niveau du fournisseur. Effectuez la mise en conformité à un niveau macro dans tous les fournisseurs. Cela sera important pour le conseil d'administration, qui cherchera à déterminer dans quelle mesure le portefeuille de fournisseurs est conforme aux nouvelles réglementations en constante évolution.

Prevalent a publié un livre blanc détaillé sur la gestion des risques liés aux tiers et la conformité , qui extrait les exigences spécifiques définies dans de multiples réglementations et cadres sectoriels, explique ce que signifient ces exigences, puis associe les principales fonctionnalités de la solution aux exigences afin de démontrer comment une plateforme TPRM complète peut contribuer à alléger la charge de la conformité.

eBook : 25 KPI et KRI pour la gestion des risques liés aux tiers

Les 25 KPI et KRI les plus importants pour la gestion des risques liés aux tiers vous mettront sur la voie d'une communication plus efficace concernant votre programme TPRM.

Télécharger maintenant
Les 25 principaux KP Is et KR Is pour la gestion des risques liés aux tiers (GRC) En bref

Vendeur Cyber Rapports sur les risques

Pendant des décennies, la sécurité de l'information a cherché une boule de cristal pour partager des informations "derrière le rideau" sur le degré de sécurité réel de la cybersécurité d'un fournisseur. Ces méthodes consistaient à demander au fournisseur de répondre à des questionnaires de collecte de contenu, à produire des rapports de renseignement sur les menaces et à effectuer des visites sur place. Les visites sur place sont aujourd'hui désavantagées. L'approche fondamentale "faire confiance, vérifier, valider" est toujours en vigueur et un rapport complet d'évaluation du fournisseur peut fournir des informations telles que :

- Risque moyen par score et par statut

- Risques par probabilité

- Risques les plus élevés par fournisseur

- Risques par impact

- Risques communs identifiés

- Risques par domaine d'impact sur les affaires

- Evolution du risque dans le temps par score/impact/probabilité

- Projection du score/impact/probabilité du risque dans le temps

Les dirigeants demandent une visibilité globale du profil de risque de la tierce partie afin de pouvoir faire rapport au conseil d'administration en toute confiance. Il est donc très difficile pour les évaluateurs de consolider manuellement les informations provenant de sources multiples. Pendant l'examen de diligence raisonnable du fournisseur, l'analyste devra rapidement mettre en évidence les exceptions dans le comportement commun - par exemple, les aberrations dans les évaluations, les tâches, les risques, etc. - qui pourraient justifier une enquête plus approfondie. Pour les programmes plus matures qui ont élevé leur programme de gestion des risques liés aux tiers au rang de programme de gouvernance, l'analyste aura la possibilité de tirer parti de l'apprentissage automatique pour corréler des ensembles de données complexes et voir les tendances cachées potentielles.

Top 10 des capacités de reporting et de remédiation du risque fournisseur

Si ces dix premiers éléments ne font pas partie des capacités d'une plate-forme en cours d'examen, réfléchissez-y à deux fois avant d'investir. L'absence d'une de ces fonctionnalités vous fera perdre du temps et vous empêchera de vous concentrer sur la gestion de vos risques. Les 10 principales capacités sont les suivantes :

  1. Conseils intégrés en matière de remédiation et recommandations sur les risques
  2. Un cadre unifié pour l'établissement de rapports, avec une correspondance entre les questions et les réponses et tout cadre, ligne directrice ou méthodologie réglementaire ou standard du secteur.
  3. Rapports sur la conformité réglementaire, le cadre et les lignes directrices spécifiques, notamment pour les normes CMMC, ISO 27001, NIST, GDPR, CCPACoBiT5, SSAE18 et NYDFS.
  4. Possibilité d'afficher les seuils de conformité et de réussite en pourcentage.
  5. Reporting approfondi par le vendeur et entre tous les vendeurs.
  6. Projection de la notation des risques dans le temps après que les mesures correctives aient été prises et que les risques aient été atténués.
  7. Flux de travail automatisés et communications par billetterie
  8. Modèles de rapports intégrés et état des lieux au regard de plusieurs réglementations en matière de sécurité, de conformité et de confidentialité.
  9. Tableaux de bord exécutifs et opérationnels
  10. Association et relations de risque pour harmoniser et normaliser le risque à travers de multiples sources de collecte de contenu.

Ainsi, comme vous pouvez le constater, les rapports d'évaluation des risques liés aux fournisseurs sont de toutes sortes. L'adage "On ne peut pas gérer ce que l'on ne mesure pas" continue de résister à l'épreuve du temps. Peut-être qu'à l'avenir, nous regarderons en arrière et réaliserons que l'année écoulée nous a donné l'idée d'améliorer nos capacités de reporting pour garantir la résilience. Si je devais proposer une seule phrase pour résumer ce blog, ce serait la suivante : Concentrez-vous sur les données que vous collectez, découpez-les en vues appropriées pour le destinataire, et faites-le avec pour objectif de gérer le risque à chaque niveau de complexité.

Prochaines étapes

Prevalent propose des solutions d'évaluation des risques liés aux fournisseurs qui automatisent et accélèrent vos initiatives de gestion des risques. Si vous préférez vous décharger de la charge du processus d'évaluation, nous proposons également une gamme de services d'évaluation des risques liés aux fournisseurs dans lesquels nos experts peuvent faire le travail difficile pour vous. Vous ne savez pas par où commencer ? Inscrivez-vous à un examen gratuit de la maturité du programme TPRM, au cours duquel nous comparerons votre programme actuel aux meilleures pratiques et vous fournirons un ensemble de recommandations pour atteindre vos objectifs d'évaluation des fournisseurs.

Tags :
Partager :
Leadership brenda ferraro 2
Brenda Ferraro
Vice-président des risques liés aux tiers

Brenda Ferraro possède plusieurs années d'expérience de première main dans la gestion des risques liés aux fournisseurs, aux services et aux entreprises de traitement des données. Dans sa quête pour réduire les risques liés aux tiers, elle a organisé une myriade de parties prenantes et conçu une approche pour gérer les risques, qui a été reconnue par les régulateurs et une multitude de centres d'analyse et de sécurité de l'information (ISAC). Dans son rôle avec Prevalent, Brenda travaille avec les entreprises pour construire des écosystèmes de solutions uniques qui éliminent les complexités de la gestion des risques des tiers par le biais d'une plate-forme, d'un cadre et d'une méthodologie de gouvernance communs, simples et abordables. Avant de rejoindre Prevalent, Brenda a dirigé des organisations dans le cadre de la normalisation des contrôles, de la réponse aux incidents, de l'amélioration des processus, de l'établissement de rapports basés sur des données et de la gouvernance dans des entreprises telles que Aetna, Coventry, Arrowhead Healthcare Centers, PayPal/eBay, Charles Schwab et Edwards Air Force Base. Elle est titulaire des certifications vBSIMM, CTPRP, ITIL et CPM.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo