Qu’est-ce que la gestion des risques tiers (TPRM) ?

Les tiers sont importants pour la réussite d’une entreprise, mais ils peuvent introduire des risques de diverses manières.

Travailler avec un tiers peut présenter des risques pour votre entreprise. Si les tiers ont accès à des données sensibles, ils peuvent représenter un risque de sécurité, s’ils fournissent un composant ou un service essentiel à votre entreprise, ils peuvent représenter un risque opérationnel, etc. La gestion des risques tiers permet aux entreprises de surveiller et d’évaluer les risques posés par les tiers afin d’identifier les cas où ils dépassent le seuil défini par l’entreprise. Les entreprises peuvent alors prendre des décisions éclairées en matière de risques et ramener les risques posés par les fournisseurs à un niveau acceptable.

Les tiers jouent un rôle important dans la réussite d’une entreprise. Les entreprises de toutes tailles dépendent de plus en plus de tiers pour leur innovation, leur croissance et leur transformation digitale.

Cependant, une forte dépendance vis-à-vis de tiers peut être risquée. Le positionnement en matière de risque d’un tiers est crucial pour la posture face aux risques, la résilience et la réputation d’une entreprise faisant appel à un tiers. Un incident tiers peut se révéler très coûteux et difficile à gérer, et entraîner des conséquences telles que des mesures réglementaires, une atteinte à la réputation et une perte de revenus. Les tiers doivent faire l’objet d’un examen minutieux et d’une évaluation continue des risques afin de garantir la protection et la sécurité de l’entreprise.

Auparavant, la gestion des risques fournisseurs prenait beaucoup de temps et était sujette aux erreurs. Elle consistait en des processus manuels utilisant des e-mails, des feuilles de calcul et des outils cloisonnés de gestion des risques fournisseurs. Ces processus et outils sont tout simplement inadéquats, ni les outils ni les équipes ne pouvant suivre le nombre croissant de tiers. Les entreprises qui n’ont pas implémenté de solutions modernes ou complètes sont souvent confrontées aux défis suivants :

  • Processus manuels : faible efficacité de la surveillance des tiers et temps plus long pour trouver et atténuer les problèmes.
  • Manque d’évolutivité : lorsqu’elles utilisent un outil non évolutif, les équipes ne sont pas en mesure de suivre le rythme de la gestion des tiers, ce qui peut augmenter les risques.
  • Silos : un trop grand nombre de silos peut rendre difficile l’accès aux informations sur les risques au sein de l’entreprise.
  • Déconnexion : l’absence de contexte d’entreprise rend difficile la hiérarchisation des risques tiers tout au long du cycle de vie du fournisseur, ou lorsque les besoins changent.

Vous trouverez ci-dessous quelques considérations importantes à prendre en compte lors du choix d’un tiers. Les réponses déterminent le niveau de risque qu’ils présentent pour l’entreprise :

  • À quel type de données le tiers a-t-il accès ? Quel type d’accès a été accordé ?
  • Le tiers travaille-t-il avec des acteurs subséquents susceptibles de poser des problèmes de livraison ?
  • Se trouve-t-il dans une région instable du monde ?
  • Fournit-il un produit ou un service essentiel ? Si oui, devons-nous mettre en place un autre fournisseur ?
  • Quel est son historique de sécurité, quelles sont les bonnes pratiques mises en place et appliquées ? (Hygiène de base, application de correctifs aux SLA, historique des violations, etc.)
  • A-t-il mis en place des plans de continuité d’activité ?
  • Est-il conforme aux réglementations identifiées par votre entreprise ?
  • Quelle est sa situation financière ?

Risques stratégiques

La stratégie peut être menacée lorsque l’organisation et les tiers ne sont pas alignés sur les décisions et les objectifs. Il est essentiel de surveiller les tiers pour s’assurer que le risque stratégique n’entraîne pas un manque de conformité ou un risque financier éventuel.

Graphique montrant les différents types de risques tiers.

Risques d’atteinte à la réputation

La réputation d’une entreprise peut également reposer sur la réputation d’un tiers avec lequel elle fait affaire. Si un tiers a un problème de réputation ou de violation de données, cela peut réduire la confiance des clients dans les entreprises qui travaillent avec ce tiers.

Risques opérationnels

Les opérations dépendent parfois d’applications et de services tiers, et il existe toujours un risque que le tiers soit victime d’une cyberattaque ou d’une défaillance de service pouvant entraîner des interruptions opérationnelles, une perte de données ou une violation de la confidentialité. Si des acteurs subséquents sont impliqués, les mêmes préoccupations s’appliquent à eux.

Risques liés aux transactions

Il peut y avoir des problèmes avec la livraison d’un produit ou d’un service par un tiers, ce qui peut entraîner des problèmes transactionnels au sein de l’organisation.

Risques liés à la conformité

Les normes commencent à intégrer les risques tiers en tant qu’exigences de conformité. Par conséquent, la tolérance au risque pour la conformité doit également être étendue aux tiers.

Risques liés à la sécurité des informations

Quelle que soit la forme que prennent les données, le fait d’autoriser un tiers à interagir avec elles comporte un certain degré de risque, et notamment un risque d’accès non autorisé, de disruption, de modification, d’enregistrement, d’inspection, ou de destruction des informations.

Risques financiers

Il est important de travailler avec des tiers financièrement viables afin d’éviter toute disruption de la chaîne d’approvisionnement. En outre, les tiers en difficulté financière peuvent ne pas être aussi attentifs aux mesures de sécurité, ce qui les expose à des risques inutiles.

Il existe quelques étapes essentielles permettant de mettre en œuvre la gestion des risques tiers :

Embauche

Lorsque vous envisagez de travailler avec un tiers, il est important d’inclure une évaluation initiale des risques au processus de prise de décision, et ce avant d’intégrer officiellement ce tiers. Vous pouvez utiliser des données externes afin d’obtenir une vision globale des risques liés au tiers à l’aide, par exemple, de notes de cybersécurité permettant d’évaluer sa posture en matière de sécurité. Vous réduisez ainsi les probabilités d’hériter sans le savoir d’un risque indésirable.

Niveau

Une évaluation de la hiérarchisation doit être effectuée, soit pendant l’évaluation initiale des risques (idéalement avant l’embauche du tiers), soit dès que le tiers est intégré. Cette évaluation est effectuée en interne et permet de classer le tiers dans une catégorie déterminant le type et la fréquence des évaluations dont il fera l’objet. Les fournisseurs de niveau 1, ou critiques, constituent le niveau le plus élevé. Certains vendeurs peuvent appartenir à un niveau qui ne nécessite pas d’évaluations régulières (par exemple, les tiers responsables de la tonte de la pelouse). Des données externes provenant, par exemple, de fournisseurs d’évaluations de sécurité, peuvent aider à ajuster les niveaux, si nécessaire.

Évaluation

Les tiers des niveaux supérieurs doivent faire l’objet d’évaluations régulières des risques. Celles-ci doivent être effectuées en fonction des domaines de risque posés par les tiers. Par exemple, les fournisseurs fabriquant un composant peuvent être interrogés au sujet des employés, de la santé et de la sécurité, ce qui ne sera pas le cas d’un cabinet de conseil. En revanche, tous les tiers doivent être interrogés au sujet de leur viabilité financière et de leur posture en matière de sécurité. La fréquence de ces évaluations varie selon les niveaux, les niveaux les plus élevés faisant le plus fréquemment l’objet d’évaluations.

Conclusions

Lors de la réception d’une évaluation, certaines réponses peuvent paraître insatisfaisantes ou incomplètes. En outre, toute donnée externe objective recueillie au sujet de l’intégrité financière ou de la posture de sécurité d’un tiers doit être examinée à ce moment-là. Les problèmes ou les conclusions peuvent être renvoyés au tiers afin qu’il y réponde.

Résolution des problèmes

Il se peut qu’il y ait une période pendant laquelle une évaluation effectue des allers-retours : des tâches sont générées, des problèmes sont résolus et des preuves sont fournies, si nécessaire. Toutes les communications doivent être capturées pour référence ultérieure. Finalement, certains risques peuvent être acceptés.

Rapports sur les risques

Après avoir été identifiés, analysés et résolus, les risques doivent faire l’objet d’un rapport transmis aux parties concernées. Toutes les parties prenantes doivent pouvoir bénéficier du niveau de visibilité qui leur convient.

Surveillance

Comme indiqué précédemment, les tiers doivent être continuellement évalués, ce qui signifie qu’il faut idéalement surveiller tout changement lié aux risques ou aux performances. Cela peut se faire par le biais d’évaluations plus fréquentes ou de flux de données externes, telles que des évaluations de cybersécurité mises à jour en permanence. Les changements doivent automatiquement déclencher un problème, une évaluation et/ou un changement de niveau. Il est essentiel d’effectuer une surveillance continue afin de s’assurer que tous les tiers remplissent leurs obligations et ne présentent pas de risque indésirable pour l’entreprise.

Mise hors service

Toutes les organisations doivent disposer d’un processus formel permettant de mettre les tiers hors service et de s’assurer que toutes les informations ne devant pas être stockées sont supprimées.

  • Visibilité totale sur toutes les relations tierces
  • Évaluation précontractuelle formelle et diligence raisonnable
  • Utilisation de termes standardisés permettant d’atténuer les risques
  • Surveillance et supervision basées sur les risques
  • Séparation officielle à la fin de la relation

  • Digitalisez et intégrez tous les aspects du cycle de vie de la gestion des fournisseurs. L’évaluation des risques doit faire partie des premières étapes.
  • Consolidez les informations sur les fournisseurs et collaborez avec des tiers tout en conservant une piste d’audit de toutes les collaborations.
  • Acquérez et maintenez une compréhension et une visibilité des risques et des performances des tiers, y compris les filiales (ou les acteurs subséquents).
  • Développez une évaluation granulaire de l’origine du risque.
  • Créez des scores de risque pour comparer, hiérarchiser et communiquer les risques.
  • Utilisez les systèmes d’apprentissage machine et d’automatisation pour en faire plus tout en réduisant les coûts.
  • Créez un plan de résilience et intégrez-le à chaque aspect du système de gestion des fournisseurs.
  • Intégrez d’autres applications (telles que des flux de données pour les taux de cybersécurité) et systèmes tiers.

  • Amélioration de l’expérience utilisateur
  • Amélioration de la posture globale de sécurité
  • Meilleure efficacité opérationnelle
  • Amélioration de l’acquisition et de la fidélisation des clients
  • Amélioration de la confiance des clients
  • Amélioration du chiffre d’affaires, des projections et de la rentabilité
  • Performances tierces constantes correspondant aux attentes
  • Amélioration de la capacité à atteindre les objectifs de l’organisation, qu’ils soient stratégiques ou liés aux projets
  • Réduction des disruptions business
  • Reprise plus rapide après les disruptions

Prise en main de ServiceNow Governance, Risk, and Compliance

Gérez les risques et la résilience en temps réel avec ServiceNow.