Sélectionner la page

Adopter les inconnues de la gestion des risques tiers

Galvanize

La gestion des risques tiers est une grosse responsabilité, remplie de menaces et difficultés aux origines multiples. Et ce ne sont que les dangers que vous connaissez ! Plutôt que de craindre l'inconnu, apprenons à mieux le trouver.

L'externalisation vers des tiers est pratiquement inévitable pour les organisations modernes. Toutefois, cette commodité et cette réduction des coûts s'accompagnent d'une grande responsabilité. Pour éviter les risques qui causent des dommages financiers et nuisant à la réputation, vous devez être particulièrement vigilant à l'égard des entreprises avec lesquelles vous travaillez.

Selon l'étude du Ponemon Institute 2018 sur les risques liés aux données, 59 % des entreprises ont connu une violation de données causée par un fournisseur ou un partenaire tiers ; 22 % ont admis n'avoir eu connaissance d'aucune violation de données de tiers au cours des 12 derniers mois. Quels sont donc les risques inconnus qui passeront inaperçus ?

Pour vous aider à répondre à cette question, nous examinerons certaines des raisons pour lesquelles les risques restent cachés et comment les faire apparaître dans votre programme de gestion des risques.

« Il existe de nombreuses sources de données précieuses, mais souvent inutilisées, qui peuvent mettre en lumière des fautes commises par des tiers. »

L'origine des « inconnues inconnues »

Vous vous souvenez peut-être de Donald Rumsfeld, secrétaire à la défense, qui a déclaré lors d'un point de presse en 2002 prendre en compte les limites des rapports de renseignement : « Il y a des connaissances connues. Il y a des choses que nous avons conscience de savoir. Nous savons aussi qu'il y a des inconnus connus, c'est-à-dire que nous savons qu'il y a des choses que nous ne savons pas. Mais il y a aussi des inconnues qui restent inconnues : celles que nous ne connaissons pas, nous ne les connaissons pas. »

Alors comment passer de l'incertitude à la compréhension ? En étant conscient de ce que vous ne savez pas et en l'acceptant.

L'approche de M. Rumsfeld, qui consiste en ce virelangue, peut s'appliquer à de nombreuses choses dans la vie, y compris la gestion des risques liés aux tiers, qui s'est assombrie ces dernières années suite aux événements suivants :

  • La mondialisation, qui pousse les organisations à s'approvisionner loin de chez elles. Il existe de nombreuses nouvelles choses à prendre en compte concernant les risques, allant des lois contre la corruption aux perturbations potentielles de la chaîne d'approvisionnement causées par les troubles politiques.
  • Les technologies émergentes comme l'Internet des objets (IoT) et le Machine Learning, qui ne sont pas bien comprises par de nombreuses organisations (ni encore très réglementées).
  • Une augmentation des cyberattaques, du phishing aux rançongiciels.
  • Des règlements en constante évolution comme le GDPR, qui est entré en vigueur en 2018 et qui dicte les obligations en matière de protection des données des organisations qui traitent les données personnelles des citoyens de l'UE.
  • le risque de quatrième parti, qui consiste à confier vos tiers à des tiers. Cela ajoute une couche de risque supplémentaire dont il faut s'inquiéter.

Vous devez sortir des sentiers battus pour avoir un programme TPRM qui soit vraiment efficace. Commencez par plonger dans les « inconnues inconnues »

Apprenez à connaître les choses que vous ne connaissez pas

L'un des principaux défis de l'identification et de la gestion des risques liés aux tiers est que la plupart des organisations ont tendance à ne pas gérer les « connaissances connues ». Il s'agit de choses comme :

  • Fichier maître fournisseurs
  • Demandes d'embarquement de tiers
  • Fichier Comptabilité fournisseurs
  • TPRM via un programme GRC

Bien que ces éléments soient importants, vous devez également sortir des sentiers battus pour disposer d'un programme TPRM réellement efficace. Voici comment faire en plongeant dans les « inconnues inconnues »

1. Identifiez vos parties prenantes.

Recherchez les parties prenantes essentielles dans votre organisation et faites-les participer au succès continu du programme. Il faut sensibiliser tous les niveaux de l'entreprise afin que chacun commence à intégrer les bonnes pratiques en matière de TPRM aux processus quotidiens. (La participation du CA est également essentielle pour l'adhésion des parties prenantes.)

Ce faisant, incluez certaines parties prenantes non traditionnelles. En déplaçant vos attentes sur différents domaines d'expertise et en en tirant parti, vous favoriserez une culture de gestion des risques plus riche. Posez des questions sur les objectifs et les buts de l'entreprise, plutôt que sur les processus, et vous ferez participer des personnes que vous n'aviez peut-être même pas envisagées auparavant.

2. Mettez un comité au volant.

Si seul votre CISO ou le responsable supply chain s'investit dans ce que vous faites, vous ratez la cible. Votre programme est-il suffisamment puissant ? Les personnes sur lesquelles vous comptez ont-elles suffisamment de poids dans l'organisation pour faire avancer les choses ? Un comité réunissant des responsables de la conformité, des responsables de la protection de la vie privée et des équipes d'audit, par exemple, peut vous permettre d'aller bien au-delà de vos « connaissances connues ».

Une fois que vous avez construit votre comité, trouvez une communauté. En vous alignant sur les groupes du secteur, vous pouvez partager vos réflexions et vos idées avec des personnes partageant les mêmes idées pour continuer à bâtir une solution TPRM plus solide.

3. Concentrez-vous sur la vue d'ensemble.

Il est temps de reconnaître que vous avez des points faibles. Par exemple, de nombreuses organisations étudient leurs fournisseurs de si près qu'elles ne voient pas les risques que posent les courtiers, les partenaires ou les financiers.

Voici une idée : demandez à votre comité de dresser un inventaire des événements et des scénarios à risque que des tiers apportent à votre organisation (par exemple, une violation de données). Ensuite, établissez une correspondance avec les types de tiers qui pourraient vous exposer à ce risque (par exemple, votre société de gestion des salaires). Au cours de votre réflexion, il y a de fortes chances que vous trouviez de nouveaux types de risques à prendre en compte (par exemple, un fournisseur abusivement délocalisé qui reçoit encore des mises à jour automatiques des données clients).

Cet exercice vous aidera à définir clairement la portée de votre programme TPRM. Et si vous l'utilisez avec un outil comme ThirdPartyBond, vous aurez une meilleure visibilité sur l'ensemble du cycle de vie de la gestion des risques des tiers.

4. Ne manquez pas ce qui est juste devant vous.

Il existe de nombreuses sources de données précieuses, mais souvent inutilisées, qui peuvent mettre en lumière des fautes commises par des tiers. Demandez aux parties prenantes de votre comité si elles ont des données que vous pouvez utiliser :

  • Gestion des menaces et des vulnérabilités
  • Prévention des pertes de données
  • Gestion des identités et des accès
  • Gestion des incidents de sécurité et des événements

Il existe de nombreuses autres sources d'information inexploitées dans votre organisation. Commencez à creuser, et vous pourriez être surpris de ce que vous trouverez dans des données auparavant négligées.

Pour en savoir plus sur les « connues » et les « inconnues », ainsi que pour connaître les histoires folles sur les risques liés aux tiers dans le monde réel, écoutez l'épisode de Office Hours sur la gestion des risques liés aux tiers, avec Chris Murphey, chef de produit senior chez Galvanize.

Un cadre pour une meilleure compréhension

La compréhension de tous les risques - même ceux qui échappent à votre contrôle direct - est la clé d'un programme de gestion des risques mature. L'utilisation de ce cadre peut vous permettre de commencer à reconnaître les inconnues dans votre organisation. En réunissant les bonnes personnes, les bons processus et la bonne technologie, vous serez en mesure de développer votre programme de gestion des risques liés au tiers au-delà de tout ce que vous avez connu jusqu'à présent.

eBook :

Principes essentiels en matière de gestion des risques tiers

Cet eBook explore les points suivants :

  • les bases de la gestion des risques liés aux tiers
  • la différence entre la TPRM et la gestion des risques liés aux fournisseurs
  • le processus consistant à choisir le cadre de gestion des risques qui convient le mieux à votre organisation.

Télécharger l'eBook

Articles liés

lang="en-US"

Trouvez-nous dans le Magic Quadrant Gartner pour la gestion des risques IT

Trouvez-nous dans le Magic Quadrant Gartner pour la gestion des risques IT

Gartner nomme Galvanize (anciennement ACL et Rsam)* leader dans le Magic Quadrant 2019 pour la gestion des risques IT.
Découvrez ce que vous devriez rechercher lorsque vous choisissez une solution ITRM.