Si vous êtes comme la plupart des organisations, vous confiez des responsabilités à un tiers pour mieux servir vos clients, augmenter vos revenus et réduire vos coûts. Toutefois, l'intervention de tiers peut introduire une longue liste de risques susceptibles de causer de sérieux dommages à une organisation.

Qu'est-ce que la gestion des risques fournisseurs ?

La gestion des risques fournisseurs désigne le processus que les organisations utilisent pour s'assurer que les produits et services des tiers n'entraînent pas de conséquences négatives sur le plan financier, de la réputation, de la réglementation, des opérations et de la stratégie.

La gestion des risques fournisseurs consiste à approuver les partenaires, les fournisseurs et les vendeurs pour s'assurer qu'ils remplissent certaines conditions. Ces conditions, ainsi que les attentes de chaque partie, sont détaillées dans le contrat du fournisseur et comprennent des éléments tels que la sécurité des informations et les exigences de conformité réglementaire. Par exemple, vous pouvez préciser la fréquence à laquelle un audit fournisseurs doit avoir lieu ou les exigences à remplir en matière de complexité du mot de passe pour toute personne accédant à vos données.

En quoi consiste la gestion des risques de tiers ?

La gestion des risques de tiers va encore plus loin et inclut chaque tiers, comme les partenaires, les agences gouvernementales, vos franchises ou les organisations caritatives pour lesquels vous consacrez du temps ou de l'argent, ainsi que tous vos fournisseurs. Dans ce cas, ces organisations peuvent exiger l'accès aux données sensibles de l'entreprise (par exemple, pour démontrer leur conformité avec les réglementations gouvernementales), mais vous n'avez souvent pas la possibilité de définir qui y a accès ou comment elles sont utilisées - et il y a de fortes chances que vous ne puissiez pas les vérifier.

La gestion des risques de tiers commence souvent par la gestion des risques fournisseurs ; c'est d'ailleurs la base sur laquelle la gestion des risques de tiers est construite. Les organisations commenceront par un programme de gestion des risques fournisseurs et, au fur et à mesure de leur croissance et de leur maturité, elles identifieront la nécessité de traiter les risques spécifiques et souvent disparates que présente une liste croissante de tiers.

Nous parlons plus en détail de la gestion des risques de tiers dans notre eBook, Principes essentiels en matière de gestion des risques tiers.

Les risques que les fournisseurs font courir à votre organisation

Vous mettez une grande partie du contrôle entre les mains de vos fournisseurs, c'est pourquoi une solution continue et automatisée de gestion des risques de tiers est une bonne idée. Examinons trois risques que les fournisseurs peuvent faire courir à votre organisation, ainsi que quelques exemples.

1. Risque réglementaire

Si un tiers ou un fournisseur enfreint un règlement, une loi, un code de conduite ou une politique interne de l'organisation (accidentellement ou sciemment), vous pourriez en payer le prix.

• Exemple : Une entreprise de soins de santé engage un développeur pour créer une application contenant des informations de santé protégées (PHI) telles que définies par la loi HIPAA (Health Insurance Portability and Accountability Act). Le développeur ne s'assure pas que l'application est conforme à la loi HIPAA, et la société de soins de santé reçoit une amende.

2. Risque opérationnel

Cela inclut tout risque lié à un tiers qui pourrait perturber votre travail, comme une violation de données. En moyenne, une violation de données coûte 3,92 millions de dollars à une organisation.

• Exemple : Une chaîne de grands magasins fait appel à un prestataire de services client pour fournir une assistance par chat en ligne. Le prestataire du service client est piraté par un logiciel malveillant, ce qui compromet les informations relatives aux cartes de crédit et d'autres données personnelles.

Comme l'a dit Warren Buffet, « Il faut 20 ans pour se bâtir une réputation, et cinq minutes pour la détruire. » Cette réputation ternie peut aussi se retrouver rapidement dans les journaux et sur les réseaux sociaux.

• Exemple : Un fabricant de produits électroniques sous-traite sa production à une usine qui viole les lois sur le travail des enfants, ce qui entraîne des amendes et une publicité négative.

La gestion des risques fournisseurs et la gestion de risques de tiers à long terme

Ce n'est pas parce qu'un tiers est conforme et prudent aujourd'hui que cela sera toujours le cas. Par ailleurs, l' étude de Gartner montre que 71 % des entreprises déclarent que leur réseau de tiers contient plus de tiers qu'il y a trois ans, le même pourcentage indiquant que ce réseau va encore s'agrandir au cours des trois prochaines années.

Que vous vous concentriez sur la gestion des risques fournisseurs ou des risques de tiers, il est essentiel de surveiller votre programme en continu. C'est le seul moyen pour vous de faire face à un nombre croissant de risques et de protéger vos clients et votre organisation.

Découvrez nos capacités de gestion des risques de tiers.