Demandez une démo

Comment comparer les solutions de gestion des risques et s'y retrouver dans la jungle des tiers ?

Alastair Parr, SVP of Global Products & Services, partage ses connaissances sur les solutions de gestion des risques dans le marché actuel.
03 octobre 2024
Logo de la Veille Info Sécurité

Note de l'éditeur : cet article, rédigé par Alastair Parr, SVP of Global Products & Services, a été publié à l'origine dans securityinfowatch.com.

Les entreprises travaillent aujourd'hui avec des milliers de vendeurs, de fournisseurs et de partenaires tiers et, comme le savent tous les chefs d'entreprise, ces relations peuvent être très bénéfiques pour les affaires. Les partenaires tiers peuvent être à l'origine de nouvelles opportunités, mais les opportunités s'accompagnent de risques.

Alors que les organisations ont des milliers de relations avec des tiers, elles n'en gèrent qu'une fraction. Cette situation devient intenable en raison des menaces de violation des données des tiers, de l'évolution de l'écosystème des fournisseurs et du renforcement de la surveillance réglementaire.

La gestion des risques liés aux relations avec les tiers est devenue une fonction essentielle pour les organisations de tous les secteurs.

Les organisations ont besoin d'une solution solide pour atténuer les différents risques, qui proviennent de diverses sources et tendent à évoluer constamment. Cependant, face aux différentes options disponibles, comment déterminer celle qui répondra le mieux à leurs besoins ?

Il existe cinq solutions courantes en matière de gestion des risques liés aux tiers : les feuilles de calcul, les outils d'évaluation des risques de cybersécurité, les outils de gouvernance, de risque et de conformité (GRC), les suites de paiement à la source et les plateformes dédiées à la gestion des risques liés aux tiers, par ordre décroissant.

Les organisations doivent tenir compte de leurs forces et de leurs faiblesses respectives avant de trouver la bonne solution.

Feuilles de calcul

Les feuilles de calcul ont été la référence en matière de gestion des risques pour les tiers. Cependant, toutes les organisations qui les utilisent savent qu'elles ont leurs avantages et leurs inconvénients. S'ils constituent une solution peu coûteuse, souple et familière pour la gestion des informations, ils présentent des limites en matière d'intégrité des données, d'évolutivité, de sécurité, de collaboration et de fonctionnalités avancées.

Comme pratiquement tout le monde sait comment utiliser un tableur, la courbe d'apprentissage est minimale. Les feuilles de calcul peuvent être facilement partagées car leurs formats et leurs fonctions sont bien connus. Cependant, ils n'ont pratiquement pas d'automatisation ni de contrôle de version, ce qui signifie que la création et la mise à jour des évaluations des risques par des tiers impliquent un travail manuel qui prend beaucoup de temps.

Plus important encore, les feuilles de calcul sont rarement dotées de fonctions de sécurité avancées, ce qui rend les données à risque vulnérables aux violations, en particulier lorsqu'elles sont partagées entre différentes parties.

Outils d'évaluation des risques de cybersécurité

Les services d'évaluation des risques de cybersécurité quantifient la position des tiers en matière de cybersécurité en utilisant des données qui comprennent les vulnérabilités, les exploits, les contrôles des applications web et d'autres informations observables publiquement. Ces outils mettent en lumière les risques posés par les fournisseurs tiers et présentent les résultats sous la forme d'une note numérique ou d'une lettre.

Mais ces outils ont aussi leurs limites. Par exemple, ils ne permettent pas de réaliser des évaluations détaillées du contrôle interne. Ils sont également cloisonnés par type de risque, ce qui signifie que les organisations doivent acheter différents flux de données et les intégrer pour obtenir une image complète des risques liés aux tiers.

Les services d'évaluation des risques de cybersécurité quantifient la position des tiers en matière de cybersécurité en utilisant des données qui comprennent les vulnérabilités, les exploits, les contrôles des applications web et d'autres informations observables publiquement.

Les outils d'évaluation des risques de cybersécurité sont une bonne option pour les organisations qui disposent des ressources nécessaires pour regrouper plusieurs flux de surveillance afin de traiter d'autres types de risques. Toutefois, ils ne permettront probablement pas aux organisations de respecter les exigences réglementaires et de comprendre l'efficacité des contrôles de sécurité informatique internes des tiers. C'est pourquoi elles sont souvent utilisées en complément de solutions plus complètes d'évaluation des risques.

Outils de gouvernance, de risque et de conformité (GRC)

Parfois appelés gestion du risque d'entreprise (ERM) ou gestion intégrée du risque (IRM), les outils de gouvernance, de risque et de conformité (GRC) offrent une approche globale de la gestion du risque. Mais pour beaucoup d'organisations, ils seront un mille de large et un pouce de profondeur.

Si les outils de GRC sont souvent accompagnés de rapports et d'analyses robustes, qui facilitent l'analyse des risques internes et la prise de décision, ils doivent toujours être maintenus et mis à jour, ce qui peut nécessiter des ressources importantes et un personnel spécialisé.

Les outils de GRC sont plus courants dans les grandes organisations dotées de budgets conséquents, où les risques liés aux tiers sont traités comme des risques internes. Pour les petites et moyennes entreprises, cependant, un outil de GRC complet peut revenir à utiliser un canon pour écraser une mouche - et un canon coûteux de surcroît.

Suites Source-to-Pay

Les suites Source-to-Pay (S2P) couvrent l'ensemble du processus d'approvisionnement d'une organisation, depuis la recherche de produits et de services jusqu'au paiement final. Ces outils proposent souvent des modules de gestion des risques liés aux tiers dans le cadre de leurs capacités d'approvisionnement plus larges, ainsi que des fonctions de gestion du cycle de vie des contrats et d'autres fonctions importantes telles que l'appel d'offres.

Parce que les professionnels de l'approvisionnement utilisent ces outils, ils sacrifient souvent les aspects plus généraux du risque en se concentrant sur la recherche, l'évaluation et l'intégration des fournisseurs. Ils ne sont pas au fait des autres étapes importantes du cycle de vie des risques liés aux tiers ou des préoccupations particulières des équipes de sécurité informatique.

À l'instar des outils de GRC, les suites S2P sont une option pour les grandes organisations disposant de budgets d'achat considérables, qui sont axées sur les achats et doivent gérer de multiples relations avec les vendeurs et les fournisseurs, mais qui accordent moins d'importance au risque. En ce qui concerne les risques, ces outils fournissent des informations grâce à des partenariats avec des fournisseurs de données et de renseignements sur les risques, dans le but d'évaluer les risques liés aux fournisseurs et de permettre une prise de décision éclairée. Cependant, pour les organisations où la gestion des risques est une préoccupation plus pressante, les suites S2P sont très probablement insuffisantes.

Plates-formes de gestion des risques dédiées à des tiers

Ces plateformes constituent une option intéressante pour de nombreuses organisations, car elles se concentrent sur la gestion des risques liés aux vendeurs et aux fournisseurs. Leurs solutions d'identification, d'évaluation, d'atténuation et de suivi des risques associés aux relations avec les tiers sont complètes. Les plateformes de gestion des relations avec les tiers disposent de fonctionnalités avancées adaptées à la gestion des risques tout au long du cycle de vie d'une relation.

Les organisations doivent se garder de personnaliser à l'excès les évaluations des risques avec ces plateformes, car cela peut rendre incohérentes les comparaisons et les notations des fournisseurs. En outre, les plateformes de TPRM peuvent nécessiter une intégration avec d'autres outils de gestion des risques tels que les suites S2P, les outils GRC, les plateformes de reporting ou d'autres solutions. Heureusement, certaines sont proposées avec une bibliothèque d'intégrations prédéfinies ou une API ouverte qui peut faciliter le processus.

Les plates-formes TPRM sont idéales pour les organisations dont différentes équipes gèrent les risques liés aux tiers. Ces équipes bénéficieront des avantages d'une intelligence unifiée des risques, d'une remédiation des risques basée sur le cycle de vie et d'une prise en charge de plusieurs types de risques.

Le choix de la bonne approche dépend des besoins uniques et spécifiques de chaque organisation, des risques auxquels elle est confrontée et de la taille de son budget.

Les feuilles de calcul peuvent parfaitement convenir aux petites organisations ayant peu de fournisseurs à gérer, tandis que les outils d'évaluation des risques de cybersécurité peuvent convenir à celles qui se concentrent uniquement sur les risques cyber . Les outils de GRC conviennent mieux aux grandes organisations disposant de ressources importantes et ayant des besoins en matière de gestion intégrée des risques, tandis que les suites S2P constituent un choix de premier ordre pour ceux qui accordent la priorité aux processus d'approvisionnement plutôt qu'aux risques liés aux tiers. Les plates-formes dédiées à la gestion des risques liés aux tiers sont utiles aux organisations de divers secteurs en raison de leurs capacités complètes et spécialisées de gestion des risques liés aux tiers.

Pour la plupart des organisations, les relations avec les tiers se multiplient, tout comme les risques. Heureusement, il existe de nombreux choix d'outils pour les atténuer.