Pour vous aider à naviguer dans la complexité de la gestion du risque tiers, nous avons interviewé six leaders de l’infosec et de la gestion des risques tiers de OneTrust et de sociétés du Fortune Global 500 : nous avons parlé de leur approche de la création d’un programme de gestion des risques tiers et des leçons qu’ils ont pu tirer pendant le processus.

Que vous travailliez avec un ou avec 1 000 tiers, vous établirez votre programme de gestion des risques tiers en suivant ces étapes : 

1. Établissement du périmètre du programme de TPRM et obtention de l'adhésion des dirigeants.
   
   
2. Identification et compréhension des types de risque tiers
   
   
3. Mise en œuvre la gestion des risques tiers dans l'organisation
   
   
4. Entretien et surveillance du programme  

Dans cet article, nous abordons la première étape de l’élaboration de votre programme gestion des risques tiers : établissement du périmètre du programme et obtention de l'adhésion des dirigeants.

Définir la portée de son programme de gestion des risques tiers

Tous les responsables de la gestion des risques tiers souhaitent avoir un programme qui atténue activement tous les risques liés aux tiers. Mais en réalité, toutes les relations ne doivent pas être évaluées au même niveau. Les vérifications de sécurité, les revues des risques et autres tâches de diligence raisonnable nécessitent un déploiement de ressources important. Ces ressources ne sont pas toujours disponibles, en particulier au début du programme.

Définir le périmètre du programme permet d’établir des limites, de déterminer des livrables et des délais clairs, et de rester concentré sur les efforts qui auront le plus de valeur ajoutée. 

Selon Tim Mullen, Chief Information Security Officer, OneTrust : « Il y a de nombreuses considérations à prendre en compte, mais au début, il faut commencer par vous débarrasser des tâches les plus accessibles et déterminer votre exposition au risque pour chacun de vos partenaires. Il convient de faire preuve de beaucoup plus de rigueur lorsqu’il s’agit d’évaluer les fournisseurs de services financiers ou de sécurité par rapport à ceux qui fournissent des stylos ou de l’essuie-tout. »

Posez les questions suivantes pour circonscrire le périmètre de votre programme de gestion des risques tiers :

• Quels sont les objectifs de votre programme de gestion des risques tiers  ?
  
  
• Avez-vous des obligations ou des livrables de conformité spécifiques à satisfaire (par exemple, pour les sociétés cotées en bourse ou les industries réglementées) ?
  
  
• Quels domaines de risque doivent être pris en compte (infosec, protection de la vie privée, finances, réputation) ?
  
  
• Quel est l’appétence au risque de votre organisation ?

Ensuite, faites l’inventaire de vos fournisseurs, sous-traitants, partenaires et autres tiers actuels, et déterminez lesquels doivent être inclus dans le périmètre de votre programme de gestion des risques tiers.

Les questions suivantes vous aideront à prendre cette décision :

• Quels types de services le tiers fournit-il ?
  
  
• À quelles données a-t-il accès ?
  
  
• Va-t-il traiter ou héberger certaines de vos données ?
  
  
• Quelles fonctions ou équipes s’appuient sur le tiers pour fonctionner ?
  
  
• Quels sont les coûts et les termes de votre relation avec le tiers (un contract, une souscription, un projet ponctuel) ?
  
  
• Y a-t-il des intégrations avec vos systèmes ?
  
  
• Les services ou produits du tiers seront-ils intégrés à votre produit ?
  
  
• Le tiers est-il en mesure de démontrer qu’il est certifié ou conforme aux réglementations de sécurité ?
  
  
• Quels types de risques lui sont associés ?
  
  
• À quel point est-il essentiel pour votre organisation ?

Cet inventaire sera votre unique source d’information et vous aidera à mieux catégoriser les tiers en fonction des risques associés. Il est donc important de le mettre à jour pour tout contrat nouveau, résilié ou révisé avec des tiers.

« Les tiers sont une ressource de plus à gérer. Comme avec toutes les ressources, il y a toujours un niveau de risque ou une menace associé », déclare Kevin Liu, Senior Director of Information Security chez OneTrust.

« Identifiez les risques tiers et comprenez le niveau d’exposition possible et leur impact sur votre l’organisation. Ensuite, vous pouvez créer un processus d’évaluation et attribuer un niveau de criticité au tiers. »

Une fois le périmètre défini, il est temps de présenter le programme de gestion des risques tiers à l’équipe de direction.

Comment obtenir l’adhésion des dirigeants

Tous les experts que nous avons interrogés sont d’accord sur un principe universel : l’adhésion de la direction est essentielle à la réussite de votre programme de gestion des risques tiers.

« Commencez par le sommet. La direction doit comprendre l’importance du risque tiers, quel pourrait être ses conséquences et comment il pourrait affecter l’entreprise s’il devait s’avérer », déclare Zuzana Rebrova, Head of Third-Party Cyber Risk Management chez Swiss Re.

Il s’agit donc de présenter les objectifs du programme et les stratégies pour les atteindre, ainsi que l’analyse de rentabilité sur son efficacité à protéger l’organisation contre les risques et les pertes potentielles.

Qu’il s’agisse du conseil d’administration, de la direction ou d’autres parties prenantes clés, avoir un soutien de haut niveau contribue grandement à favoriser une culture du risque. Le management peut non seulement soutenir le programme, mais également aider à établir la gouvernance qui permet d’intégrer la gestion des risques tiers dans les opérations courantes.

« Plus vous coordonnez et plus vous informez les dirigeants et les parties prenantes du résultat visé, mieux vous saurez définir les niveaux de ressources, mesurer l’atteinte de la valeur souhaitée et structurer votre programme », selon Matthew Solomon, VP of Technology and Cyber Risk Management chez Humana.

Au bilan, la gestion des risques tiers est un exercice à l’échelle de l’ensemble de l’organisation qui nécessite l’implication de nombreuses équipes. Même si, en général, ce sont les départments infosec ou conformité qui supervisent la gestion des risques tiers, toute personne qui traite avec des tiers, notamment dans les équipes de protection de la vie privée, l’approvisionnement, les finances et le service juridique, doit être alignée et respecter le programme.

Démarrer son programme de gestion des risques tiers

Prendre le temps necessaire à la planification de son programme de gestion des tiers vous prépare à la réussite sur le long terme. La meilleure façon de lancer votre programme de gestion des risques tiers est d’obtenir l’adhésion du management et des parties prenantes dès le début, puis de définir sa portée de manière à atténuer les risques les plus élevés et à s’aligner sur les objectifs stratégiques.

Réduisez les risques, renforcez la confiance et consolidez la résilience de l’entreprise. Réservez une démo dès aujourd’hui.