La gestion du risque fournisseur est "la discipline qui consiste à réduire ou à éliminer le risque résiduel auquel les entreprises et les gouvernements sont confrontés lorsqu'ils travaillent avec des prestataires de services externes et des fournisseurs de technologies de l'information, ainsi qu'avec des tiers apparentés"[1] :
Le problème de nombreux programmes de gestion du risque fournisseur est qu'une grande partie de cette activité est gérée à l'aide de feuilles de calcul manuelles et d'e-mails. Cette approche lente et coûteuse peut entraîner des erreurs et perpétuer des risques inutiles. De nombreuses entreprises souhaitent effectuer ce travail plus efficacement, mais ont du mal à identifier les bonnes capacités pour les aider à y parvenir.
Passons en revue cinq catégories de critères à prendre en compte pour sélectionner une solution permettant d'automatiser et d'accélérer votre programme de gestion du risque fournisseur.
Une solution de gestion des risques liés aux fournisseurs (VRM) doit faire évoluer progressivement votre programme dans cinq catégories clés :
La première catégorie se concentre sur le contrôle initial de votre écosystème tiers. C'est ici que vous considérez les capacités d'une solution à intégrer les fournisseurs et à évaluer leur risque inhérent. Les mesures du risque inhérent peuvent informer sur la manière dont vous classez les fournisseurs par niveau et par catégorie. Vous pouvez ainsi évaluer vos fournisseurs en fonction du risque qu'ils représentent pour votre entreprise.
Une solution de gestion des risques liés aux fournisseurs devrait vous aider à sortir de la "prison des tableurs". Des fonctions d'évaluation automatisées permettront à vos équipes de collaborer avec les fournisseurs et de recueillir des informations sur leurs contrôles de sécurité. La bonne solution de gestion des risques liés aux fournisseurs réduira considérablement le nombre de communications dans les deux sens tout au long du cycle de vie des fournisseurs.
Une solution solide vous permettra de valider les réponses aux évaluations par rapport aux scores de sécurité externes cyber et aux renseignements sur les risques de l'entreprise. Idéalement, vous souhaitez une solution qui combine les renseignements sur les risques provenant de la surveillance continue avec les données d'évaluation des fournisseurs dans un seul registre des risques. Cela permet d'obtenir des évaluations de sécurité plus globales et facilite la prise de décisions plus éclairées.
En complétant les données d'évaluation par des renseignements continus sur les menaces, vous serez mieux placé pour hiérarchiser les risques liés aux tiers et y remédier. Pour y parvenir, vous aurez besoin de solides capacités de création de rapports, ainsi que de l'automatisation du déclenchement des flux de travail de remédiation.
Dans cette catégorie, vous évaluez la capacité d'une solution VRM à fournir des informations continues qui éclairent vos initiatives de gestion des risques en cours. En fin de compte, vous recherchez une solution qui vous aidera à mettre en place un programme de gestion des risques liés aux fournisseurs tiers plus prévisible et plus proactif.
Boîte à outils relative aux appels d'offres concernant les solutions de gestion des risques par des tiers
Utilisez ce kit d'outils gratuit pour lancer une comparaison équitable et équilibrée des solutions de gestion des risques par des tiers.
Utilisez ce tableau pour évaluer votre programme VRM actuel, comparer les fournisseurs de solutions et déterminer les lacunes que vous devez combler. Le tableau classe les critères de sélection dans les cinq catégories mentionnées ci-dessus.
Dans quelle mesure la solution vous permet-elle d'intégrer les fournisseurs et de comprendre leur risque inhérent ?
Critères | Critères remplis ? |
---|---|
1) API et connecteurs vers des solutions communes pour automatiser l'embarquement. |
|
2) Modèle automatisé pour programmer l'accueil des fournisseurs. |
|
3) Évaluation du profilage et de la hiérarchisation et logique intégrée pour mettre en œuvre une méthodologie reproductible d'évaluation des vendeurs. |
|
4) Evaluation et suivi des risques inhérents et résiduels afin d'identifier clairement les fournisseurs qui présentent les risques les plus importants pour l'entreprise. |
|
5) Services permettant d'intégrer et d'évaluer les nouveaux fournisseurs pour les équipes disposant de peu de ressources. |
Dans quelle mesure la solution automatise-t-elle le processus du questionnaire d'évaluation du risque fournisseur ?
Critères | Critères remplis ? |
---|---|
1) Bibliothèque de centaines de milliers de profils vérifiés de renseignements sur les fournisseurs pour permettre une intégration plus rapide et plus efficace des fournisseurs et une évaluation des risques. |
|
2) Un grand nombre de modèles d'évaluation prêts à l'emploi qui peuvent être personnalisés pour répondre à des mandats ou des cadres spécifiques. |
|
3) Assistant de création d'évaluations personnalisées offrant la flexibilité nécessaire pour évaluer les fournisseurs en fonction d'exigences uniques. |
|
4) Flux de travail et tâches automatisés pour accélérer le processus d'évaluation et fournir un chemin clair vers les prochaines étapes. |
|
5) Centraliser les documents, les contrats, les accords et les preuves en fournissant un référentiel pour plusieurs équipes. |
|
6) Rapports prêts à l'emploi sur la base d'exigences multiples en matière de conformité et de cadre de travail, à l'aide d'un seul questionnaire pour alimenter les réponses, ce qui permet de gagner du temps. |
|
7) Possibilité de confier la conception du questionnaire, la collecte et l'analyse des données à des experts afin de pallier le manque de ressources. |
La solution fournit-elle des renseignements externes sur les risques afin de valider les réponses aux évaluations et de combler les lacunes entre les évaluations périodiques ?
Critères | Critères remplis ? |
---|---|
1) Cyber surveillance du web profond/obscur pour des informations sur les risques en temps réel |
|
2) Surveillance des activités à partir de centaines de milliers de sources fournissant des informations sur les questions commerciales, réglementaires ou juridiques. |
|
3) Registre unifié des risques qui met en corrélation les événements liés aux risques commerciaux ( cyber ) avec les résultats de l'évaluation afin de valider les données de contrôle fournies par le fournisseur. |
|
4) Transformez les données entrantes sur les fournisseurs ( cyber ) et les événements commerciaux en risques exploitables, ce qui vous donne une visibilité des risques en temps réel. |
|
5) Des pondérations de risques flexibles qui définissent de manière granulaire l'importance de risques spécifiques pour l'entreprise. |
|
6) Signalisation et catégorisation - automatique ou manuelle - pour faire remonter un risque et l'acheminer vers le contact approprié pour y remédier. |
|
7) Une matrice qui permet une analyse dynamique des risques en fonction de la probabilité d'un incident et de son impact potentiel sur l'entreprise. |
Quelles sont les capacités de rapport de la solution, et dans quelle mesure aide-t-elle à la remédiation ?
Critères | Critères remplis ? |
---|---|
1) Des conseils de remédiation intégrés avec des recommandations pour accélérer le processus d'atténuation des risques. |
|
2) Un cadre de rapport unifié qui vous permet de faire correspondre les réponses au questionnaire à n'importe quel cadre, directive ou méthodologie réglementaire ou standard du secteur. |
|
3) Rapports sur la conformité réglementaire, le cadre et les lignes directrices pour CMMC, ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, NYDFS, etc. |
|
4) Possibilité d'afficher le "pourcentage de conformité" pour démontrer les progrès réalisés en matière d'atténuation des risques. |
|
5) Rapports détaillés pour chaque vendeur et pour l'ensemble des vendeurs. |
|
7) Projection de la notation des risques dans le temps après que les mesures correctives aient été prises et que les risques aient été atténués. |
|
8) Workflows et ticketing pour automatiser les communications |
|
9) Création de rapports sur plusieurs réglementations en matière de sécurité, de conformité et de respect de la vie privée, avec des modèles de rapports et des états intégrés. |
|
10) Tableaux de bord exécutifs et opérationnels |
|
11) Services permettant de gérer le processus de remédiation pour les équipes soumises à des contraintes |
La solution fournit-elle des informations continues pour éclairer vos initiatives de gestion des risques en cours ?
Critères | Critères remplis ? |
---|---|
1) Évaluations proactives et incrémentielles déclenchées par les informations et les résultats de la surveillance continue. |
|
2) Mises à jour proactives et incrémentielles et notifications d'événements |
|
3) Surveillance continue, notation et alerte sur cyber |
|
4) Activation de l'action - livres de jeu automatisés |
|
5) Bibliothèque de règles et d'actions de renseignement |
|
6) Analyse comportementale et détection avec analyse multidimensionnelle |
Vous êtes prêt à passer à l'étape suivante de l'évaluation des solutions de gestion des risques liés aux fournisseurs ? Téléchargez notre kit d'outils RFP, qui comprend une évaluation qui couvre :
Vous obtiendrez également un accès instantané à une feuille de calcul détaillée permettant de comparer les fournisseurs tiers de gestion des risques et de noter automatiquement les résultats. Commencez votre évaluation dès aujourd'hui !
[1] "Magic Quadrant pour les outils de gestion des risques liés aux fournisseurs de TI ". Gartner. 24 août 2020. Joanne Spencer et Edward Weinstein.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024