Demandez une démo

La gestion des risques liés aux tiers : Une réglementation lourde, des résultats légers

Les efforts de gestion des risques liés aux tiers peuvent porter leurs fruits. Les étapes suivantes permettent de progresser progressivement vers l'amélioration de la gouvernance des tiers.
11 mai 2023
Responsable de la chaîne d'approvisionnement et de demande de Logo

Note de l'éditeur : cet article, rédigé par Brad Hibbert, COO et CSO de Prevalent , a été publié à l'origine sur www.sdcexec.com.

Chaque jour, les fils d'actualité sont remplis d'exemples d'atteintes à la protection des données de tiers ayant de graves conséquences financières pour les entreprises et les consommateurs. Inévitablement, ces violations attirent l'attention des régulateurs gouvernementaux, chacun proposant sa propre version des meilleures pratiques et des contrôles obligatoires pour éviter qu'une telle violation ne se reproduise (ou du moins, pour en minimiser l'impact).

Pourtant, malgré la fréquence des atteintes à la sécurité des tiers et toute l'aide réglementaire possible, les entreprises ont encore du mal à maîtriser les risques liés aux tiers. Voyons pourquoi et comment les entreprises peuvent s'attaquer aux risques liés aux tiers avec des résultats significatifs.

Les réglementations ne manquent pas

Voici quelques-uns des régimes réglementaires sectoriels, régionaux et non informatiques les plus actifs, avec des dispositions spécifiques visant à améliorer la gouvernance des entreprises en matière de relations avec les tiers.

Au niveau de l'industrie

Le secteur des services financiers et bancaires est le premier à exiger des organisations qu'elles exercent une gouvernance sur les relations avec les tiers. On peut citer à titre d'exemple les réglementations de l'Office of the Comptroller of the Currency (OCC), du Federal Financial Institutions Examination Council (FFIEC), de la Prudential Regulation Authority et de la Financial Conduct Authority (FCA) du Royaume-Uni, ainsi que de l'Autorité européenne de la boulangerie. Il existe même des exigences émergentes dans cet espace mature visant à harmoniser les exigences ; les directives interagences en sont un exemple.

Régionale

Un autre niveau de réglementation est régional. Pour les organisations qui exercent leurs activités dans ces régions, le Royaume-Uni a mis en place les exigences du National Cyber Security Center (NCSC) en matière de données de tiers. L'UE dispose du GDPR qui régit la gouvernance des données des tiers. Singapour dispose de l'autorité monétaire et de la loi sur la protection des données personnelles (PDPA).

Non-IT

Bien que les infractions commises par des tiers fassent la une des journaux, les régulateurs s'attaquent à des questions importantes telles que l'impact de l'écosystème de la chaîne d'approvisionnement d'une entreprise sur le changement climatique, sa vulnérabilité à la corruption et son recours au travail des enfants. La loi britannique sur l'esclavage moderne, la loi allemande sur le devoir de diligence dans la chaîne d'approvisionnement et la directive européenne sur la responsabilité sociale des entreprises (CSRD) contiennent toutes des dispositions importantes exigeant la production régulière de rapports et d'attestations.

5 raisons pour lesquelles les organisations continuent à se heurter à des difficultés

Malgré toute cette attention, pourquoi les organisations ont-elles du mal à maîtriser les risques liés aux tiers ? Il y a cinq raisons à cela.

1) C'est une patate chaude organisationnelle

Les données de l'étude 2022 TPRM dePrevalent ont montré que dans 50 % des organisations, la sécurité informatique est responsable du TPRM, alors que 22 % des équipes d'approvisionnement le sont. S'il n'y a pas de propriétaire clair, comment s'assurer que tous les risques sont évalués et traités ?

2) Feuilles de calcul

La majorité des organisations utilisent encore des feuilles de calcul pour évaluer leurs tiers - et ce nombre ne cesse d'augmenter. Comment garder la trace de tous ces fournisseurs dans une feuille de calcul, poser les bonnes questions, enregistrer les réponses et les noter de cette manière ?

3) Chaque vendeur est un flocon de neige

Une approche unique fonctionne rarement avec tous les fournisseurs, car ils interagissent généralement avec des systèmes ou des ensembles de données différents, ou fournissent des services dont la portée diffère de celle des autres. L'évaluation des fournisseurs constitue un fardeau pour celui qui détient le TPRM. En l'absence d'une certaine normalisation (par exemple, par rapport à un ensemble de principes de meilleures pratiques standardisés par l'industrie), le chaos règne.

4) Le TPRM connaît des hauts et des bas en termes de ressources et de priorités, et il est difficile de mesurer les résultats.

Étant donné que le TPRM concerne autant les processus et les personnes que la technologie, il est difficile de justifier le budget nécessaire pour en faire une priorité. Si vous avez quelques responsables des fournisseurs qui évaluent au moins les fournisseurs prioritaires, vous avez coché la case, n'est-ce pas ?

5) Les mesures correctives sont rarement appliquées

Il est déjà difficile d'obtenir des fournisseurs qu'ils remplissent un questionnaire et soumettent des preuves, sans parler de faire quelque chose à ce sujet. Mais voici le piège... à moins que le fournisseur ne fasse quelque chose pour combler ses lacunes en matière de sécurité ou de conformité, ces lacunes seront exposées à l'exploitation. Ce qui laisse votre organisation ouverte à l'exploitation.

Que faire ?

Voici quatre mesures à prendre immédiatement pour rendre le processus de déclaration réglementaire des risques aux tiers plus facile à gérer :

  1. Commencez par intégrer les examens et évaluations des risques par des tiers et le droit à l'audit dans vos contrats avec les fournisseurs. Fixez des accords de niveau de service pour les réponses et des lignes directrices spécifiques pour les preuves, les attestations et les rapports, sans quoi vous courrez à votre perte pendant que les régulateurs vous harcèlent.
  2. Mettez en place un système unique qui rassemble vos équipes internes autour d'une seule version de la vérité, une base de données unique sur les tiers. Cela vous permettra de centraliser le profil et le classement des tiers et de fixer des objectifs de réduction des risques à long terme pour votre programme.
  3. Créer un processus standard d'évaluation et de contrôle continu pour permettre une comparaison efficace entre les fournisseurs. Impliquer les parties prenantes, telles que les services d'approvisionnement et les services juridiques, pour définir la portée et la cadence des évaluations. Ce processus aura pour effet d'améliorer le cadre de réponse si votre organisation (ou un tiers) est victime d'une violation ou d'une autre perturbation.
  4. Obtenez de l'aide pour la remédiation. Après avoir compris l'étendue des risques liés aux tiers et défini les volumes et les objectifs du programme, recherchez des fournisseurs de technologie et/ou services manages pour vous aider à respecter les délais et les objectifs fixés. De telles solutions peuvent vous aider à mener à bien vos efforts en matière de gestion des risques liés aux tiers et à régler tous les problèmes d'un point de vue réglementaire.

Les efforts de gestion des risques liés aux tiers peuvent porter leurs fruits. Progressez progressivement vers l'amélioration de la gouvernance des tiers en prenant les mesures suivantes. Votre équipe vous remerciera et les autorités de régulation, elles, resteront des autorités de régulation.