Accueil
Think
Thèmes
Gestion des risques liés aux tiers
Date de publication : 29 mai 2024
Contributeurs : Matthew Finio, Amanda Downie
La gestion des risques liés aux tiers (TPRM) permet d’identifier, d’évaluer et d’atténuer les risques associés à l’externalisation des tâches.
Dans un monde toujours plus interconnecté, où l’externalisation est devenue pratique courante, la gestion des risques liés aux tiers (TPRM) est une stratégie commerciale essentielle. La gestion des risques liés aux tiers permet d’identifier et d’atténuer les risques auxquels les entreprises s’exposent en confiant leurs tâches à des fournisseurs ou prestataires de services externes. Ces tiers peuvent être impliqués dans diverses fonctions, des services informatiques au support client en passant par le développement logiciel et la gestion de la chaîne d’approvisionnement.
La TPRM s’avère indispensable face aux vulnérabilités inhérentes aux relations avec les tiers. Si l’externalisation des tâches présente des avantages tels que la réduction des coûts, l’évolutivité et l’accès à des compétences spécialisées, elle expose également les entreprises à des risques. La TPRM leur offre une vision complète de leur relation avec les tiers et des garanties mises en place par ces fournisseurs. Cela permet d’éviter des problèmes tels que l’interruption d’activité, les violations de la sécurité et la non-conformité.
Similaire à la gestion des risques liés aux fournisseurs (VRM) ou encore à la gestion des risques liés à la chaîne d’approvisionnement, la TPRM constitue une approche globale de la gestion des risques liés aux divers engagements tiers. Elle s’appuie sur des principes universels comme la diligence raisonnable, l’évaluation des risques liés aux tiers, la résolution et la surveillance continue, pour garantir que les tiers respectent les réglementations, protègent les données sensibles, assurent leur résilience opérationnelle et répondent aux critères environnementaux, sociaux et de gouvernance (ESG).
Les risques numériques, un sous-ensemble de la TPRM, englobent les préoccupations financières, de réputation, environnementales et de sécurité. L’accès des fournisseurs à la propriété intellectuelle, aux données confidentielles et aux informations personnellement identifiables (PII) souligne la nécessité d’intégrer la TPRM dans les cadres de cybersécurité et les stratégies de gestion des risques cyber.
Aucun service n’est responsable à lui seul de la gestion des risques liés aux tiers (TPRM) ; cela varie d’une entreprise à l’autre. On peut choisir de disposer d’une équipe TPRM dédiée, ou de répartir ces responsabilités entre différents postes. Parmi les services et les fonctions généralement impliqués dans la TPRM, citons le responsable des technologies de l’information (RSSI), le directeur des achats (CPO), le responsable des technologies de l’information (CIO), le responsable de la confidentialité (CPO), le service informatique (IT) ou encore le responsable de la chaîne d’approvisionnement.
Une TPRM efficace protège les entreprises contre les risques liés à l’externalisation et leur permet de bâtir des partenariats plus solides et plus résilients. En intégrant la TPRM dans leurs opérations principales, elles tirent parti des compétences externes tout en renforçant leur sécurité, leur conformité et leur intégrité opérationnelle. En transformant les vulnérabilités en risques gérés, les entreprises sont en mesure de concilier croissance, sécurité et conformité.
Découvrez pourquoi IBM Security Trusteer a été nommé leader dans le KuppingerCole FRIP Leadership Compass 2023.
La gestion des risques liés aux tiers (TPRM) est essentielle en raison des risques importants associés aux fournisseurs et prestataires de services externes. La relation avec les tiers implique souvent l’accès à des informations sensibles telles que les données clients et les systèmes internes, qui deviennent des points d’entrée potentiels pour les cyberattaques. Le risque s’étend aux sous-traitants et prestataires de services engagés par les tiers.
Les entreprises qui prennent uniquement des mesures de cybersécurité internes, sans prendre en compte les tiers, s’exposent à des risques comme les violations et autres incidents de sécurité.
La TPRM est indispensable pour plusieurs raisons :
Assurer la conformité réglementaire : les réglementations en matière de confidentialité et de protection des données telles que le RGPD et la loi CCPA obligent les entreprises à veiller à la conformité des tiers. Les violations subies par les tiers peuvent entraîner de lourdes sanctions, ainsi qu’une perte de réputation pour le donneur d’ordre, même si ce dernier n’est pas directement responsable de l’incident.
Renforcer la résilience opérationnelle : les perturbations subies par les tiers peuvent entraîner des retards, des défauts et des problèmes opérationnels. Une TPRM efficace permet d’identifier et de corriger ces vulnérabilités pour garantir la continuité des activités. Ceci est particulièrement important pour les secteurs qui dépendent des chaînes d’approvisionnement. En effet, la TPRM leur permet d’assurer la fluidité des opérations et le respect des normes qualité.
Gérer la relation fournisseur : les normes de sécurité varient d’une relation fournisseur à l’autre. La TPRM associe diligence raisonnable, évaluation des risques et surveillance continue pour garantir que les fournisseurs respectent les normes de sécurité et d’éthique les plus strictes.
Atténuer les risques pesant sur la cybersécurité : les tiers ont généralement accès aux données sensibles et aux systèmes internes, qui deviennent des points d’entrée potentiels pour les cyberattaques. Une TPRM efficace étend les mesures de cybersécurité à ces entités externes et inclut la sécurité des données pour protéger contre les violations et les fuites de données.
Préserver sa réputation : les actions des tiers peuvent affecter directement la réputation de l’entreprise. En gérant les risques liés aux tiers, cette dernière est en mesure d’empêcher les pratiques contraires à l’éthique, ainsi que les comportements répréhensibles susceptibles de nuire à son image et d’altérer la confiance de ses clients.
Optimiser l’impact sur les affaires : sans une TPRM efficace, les entreprises s’exposent à des risques susceptibles d’affecter leur résultat de manière durable. La TPRM leur permet d’éviter les pertes financières associées aux défaillances des tiers, comme les coûts de gestion des violations de données, les frais de non-conformité et les pertes dues aux temps d’arrêt opérationnel.
Réduire la complexité et la surface d’attaque : chaque tiers contribue à élargir la surface d’attaque de l’entreprise. La TPRM réduit la complexité en gérant les vulnérabilités potentiellement introduites par les innombrables connexions tierces.
En gérant efficacement les risques liés aux tiers, les entreprises sécurisent leurs opérations et prospèrent dans un environnement externalisé et interconnecté.
Pour identifier les tiers, l’entreprise consolide les informations sur les fournisseurs actuels, les intègre aux technologies existantes et mène des évaluations ou des entretiens avec les responsables internes. Cette phase consiste à dresser un inventaire de l’écosystème tiers et à classer les fournisseurs en fonction des risques inhérents qu’ils font peser sur l’entreprise.
L’entreprise examine les appels d’offres et sélectionne ses nouveaux fournisseurs en fonction de ses besoins et de ses critères spécifiques. Il s’agit d’évaluer l’exposition aux risques, souvent par le biais de questionnaires et d’évaluations sur site, qui visent à vérifier la pertinence et l’efficacité des mesures de sécurité interne et de sécurité de l’information. Les principaux facteurs pris en compte sont le score et la posture de sécurité du fournisseur, sa conformité aux normes du secteur et sa capacité globale à répondre aux exigences de l’entreprise.
L’entreprise procède à une évaluation approfondie des risques liés aux fournisseurs sélectionnés en s’appuyant sur diverses normes (par exemple, ISO 27001, NIST SP 800-53). Certaines entreprises font appel aux plateformes de gestion des risques liés aux tiers pour accéder aux évaluations préremplies, tandis que d’autres préfèrent les logiciels d’automatisation des évaluations ou les feuilles de calcul.
Après avoir évalué les risques, l’entreprise procède à leur atténuation. Il s’agit de signaler et d’évaluer les risques, de déterminer si leur niveau est acceptable selon l’appétit aux risques de l’entreprise, et de mettre en œuvre les contrôles nécessaires pour réduire les risques à un niveau acceptable. La surveillance continue permet d’identifier les événements susceptibles de modifier le profil de risque, tels que les violations de données et les modifications réglementaires.
Cette phase peut chevaucher l’atténuation des risques et implique la négociation et la finalisation des contrats avec les fournisseurs. Il faut s’assurer que les contrats incluent des dispositions essentielles telles que des clauses de confidentialité, des accords de confidentialité, des accords de protection des données et des accords de niveau de service (SLA). Les contrats doivent être structurés de manière à répondre aux principales préoccupations en matière de gestion des risques et aux exigences de conformité. Les fournisseurs sont intégrés en les intégrant dans les systèmes et les processus de l’organisation.
Les organisations tiennent des registres détaillés de toutes les interactions avec des tiers et de toutes les activités de gestion des risques. La mise en œuvre d’un logiciel TPRM peut faciliter la tenue de registres complets et vérifiables, ce qui permet d’améliorer la production de rapports et la conformité.
La surveillance continue des fournisseurs tiers est cruciale car elle fournit des informations continues sur leur posture de sécurité et leurs niveaux de risque. Les événements clés à surveiller comprennent les changements réglementaires, la viabilité financière et toute nouvelle négative susceptible d'affecter le profil de risque du fournisseur.
Lorsqu’elles mettent fin à une relation avec un fournisseur, les organisations doivent s’assurer que l’ensemble des données et des actifs sont restitués ou éliminés en toute sécurité et que des enregistrements détaillés du processus de désintégration sont conservés à des fins de conformité. Une liste de contrôle permet de s’assurer que toutes les mesures nécessaires sont prises.
Les organisations peuvent adopter plusieurs bonnes pratiques pour une TPRM efficace. Voici quelques stratégies clés :
Définir les objectifs de l’entreprise
- Aligner le TPRM sur la stratégie globale de gestion des risques de l'organisation
- Créez un inventaire solide en différenciant les tiers et en identifiant les actions de protection nécessaires
- Établissez une cartographie des risques couvrant plusieurs domaines (risque financier, risque opérationnel, risque de conformité, risque stratégique, risque de réputation, etc.).
Obtenir l’adhésion des parties prenantes
- Faire participer les intervenants dès le début du processus afin de concevoir et de mettre en œuvre efficacement le programme de gestion des risques et des débroussailles.
- Veiller à ce que l’équipe de direction soit consciente de tous les risques liés aux tiers et s’y conforme
- Assurer la coopération de toutes les parties concernées (équipes de risque et de conformité, d'approvisionnement, de sécurité et commerciales)
- Évitez les approches cloisonnées en mettant en place une stratégie globale qui inclut les contributions de tous les services concernés
Établir un programme de gestion des droits des personnes
- Développer une approche programmatique avec une structure de gouvernance pour des processus de gestion des risques cohérents et reproductibles. Des webinaires réguliers, par exemple, peuvent tenir les parties concernées informées et mises à jour.
- Adapter le programme de gestion des risques tiers aux exigences spécifiques de l'organisation en matière de réglementation, de protection des données et de tolérance aux risques
Tenir à jour un inventaire précis des fournisseurs
- Mettre en œuvre des stratégies pour maintenir à jour l’inventaire de tous les tiers
- Garantir une visibilité complète sur le paysage des tiers afin de gérer efficacement les risques de sécurité
Prioriser les fournisseurs
- Segmenter les stocks des fournisseurs en niveaux en fonction des risques et de la criticité
- Concentrer les ressources sur les fournisseurs à haut risque en vue d'un contrôle préalable plus rigoureux et d'une surveillance continue.
Évaluer la sécurité pendant le processus de passation de contrats
- Procéder à des évaluations de la sécurité des fournisseurs tiers au cours de l’approvisionnement, et pas seulement à la fin des négociations
- Intégrez les exigences de sécurité dans les contrats dès le début pour garantir la conformité et atténuer les risques avant la finalisation des accords
Au-delà de la cybersécurité
- Traiter différents types de risques, et pas seulement la cybersécurité
- Tenir compte des risques liés à la réputation, à la géographie, à la géopolitique, à la stratégie, à la finance, à l’exploitation, à la confidentialité, à la conformité, à l’éthique, à la continuité des opérations, à la performance et à l’environnement
- Comprendre tous les risques pertinents pour élaborer un programme TPRM complet
Automatisez les processus à l'aide du logiciel TPRM
- Automatisez les processus TPRM répétitifs pour améliorer l’efficacité. Le logiciel TPRM peut rationaliser des processus tels que :
- Intégration des fournisseurs et évaluation des risques
- Attribuer des tâches d'atténuation et procéder à des évaluations de performance
- Envoyer des notifications et générer des rapports
Mettre en place une surveillance continue :
- Assurer une surveillance continue pour évaluer les risques tiers en temps réel
- Utiliser des outils automatisés pour détecter rapidement les problèmes de sécurité et de conformité
- Maintenir une vue constante de l’ensemble des risques liés aux tiers pour faire face aux changements de manière proactive
Améliorez les performances de votre entreprise et gérez efficacement vos engagements avec les fournisseurs grâce à ce module IBM TPRM.
Gérez les risques liés à l’évolution des conditions du marché, aux nouvelles réglementations et aux opérations complexes tout en améliorant l’efficacité.
Transformez votre entreprise et maîtrisez vos risques avec un leader mondial de la cybersécurité, du cloud et des services de sécurité gérés.
Explorez OpenPages UX grâce à cette visite interactive et suivez l’équipe dans son identification des risques, l’examen des dernières exigences réglementaires, le début de la gestion des évaluations des risques et la gestion des workflows.
Découvrez comment la solution IBM OpenPages vous aide à prendre des décisions en tenant compte des risques pour la conformité et l’amélioration des performances métier dans tous les secteurs.
Renforcez votre sécurité grâce au renseignement sur les menaces.
Découvrez comment la ville de Los Angeles a innové avec IBM Security pour créer un groupe de partage d’informations sur les cybermenaces.
Découvrez comment Centripetal a exploité les renseignements sur les menaces pour agir contre les cybermenaces en temps réel.
Découvrez comment les entreprises peuvent réduire de manière proactive leurs vulnérabilités face à diverses cyberattaques.