De nombreux domaines sont concernés par la gestion des risques tiers : l’infosec, la protection de la vie privée, l’approvisionnement, les finances, le juridique et de nombreuses autres équipes peuvent avoir besoin d’interagir régulièrement avec des tiers. Cela souligne la nécessité de créer un programme de gestion des risque tiers (ou TPRM) centré sur l’utilisateur et simple à mettre en œuvre.

« J’ai travaillé dans des sociétés où différentes équipes, que ce soit juridiques, de protection de la vie privée ou de sécurité, avaient élaboré un processus qui répondait à tous leurs besoins et travaillait pour elles. Mais elles n’avaient pas pensé à l’expérience de l’utilisateur : l’employé, l’équipe d’approvisionnement ou toute autre personne pouvant être concernée. On se retrouvait alors avec un processus très complexe et déroutant que les individus ne voulaient pas utiliser », a déclaré Ruo Xie, VP of Source to Pay chez OneTrust. « Le processus doit être facile à comprendre pour l’utilisateur final. Il doit avoir envie de l’utiliser. » 

Dans cet article, six responsables des domaines de l’infosec et du risque tiers de OneTrust et de sociétés du Fortune Global 500 vous conseillent sur la manière de mettre en œuvre un programme de gestion des risques tiers dans l’ensemble de votre organisation. C'est le troisième article de notre série sur l’élaboration des programmes de gestion des risques tiers.

Outils nécessaires à la mise en œuvre des programmes de gestion des risques tiers

Souvent, les organisations qui ont déjà des programmes GRC n’ont pas besoin de beaucoup investir pour démarrer leur programme de gestion des risques tiers. Dans de nombreux cas, les outils et ressources existants peuvent être exploités.

Par exemple, vous pouvez commencer par votre plateforme GRC et créer vous-même une partie de la fonctionnalité ou utiliser une solution de gestion des risques pour faciliter la cotation des tiers. Même si cela ne fournit pas toutes les capacités nécessaires des programmes de gestion des risques tiers plus matures, certaines des données dont vous avez besoin pour vous lancer peuvent être renseignées.

« Si votre objectif est de développer la fonctionnalité à partir de rien et que vous n’avez pas beaucoup de ressources, commencez par exploiter ce que vous avez dans votre environnement », explique Matthew Solomon, VP of Technology and Cyber Risk Management de Humana. 

« Cependant, si votre objectif est de créer des fonctionnalités plus abouties et qu’une grande partie des décisions d’approvisionnement de l’organisation dépendent de la cotation du risque cyber du fournisseur, vous avez probablement besoin de fonctionnalités nouvelles ou complémentaires à ajouter à vos outils existants, capables de recueillir de manière transparente les données de risque fournisseur requises, de les analyser, puis de rendre compte des résultats d’une manière qui aide le décideur ultime. »

Le retour sur investissement est une autre considération lorsqu’il s’agit des outils de gestion du risque tiers. De combien de personnes avez-vous besoin pour faire le travail ? À mesure que de plus en plus de tiers sont intégrés, un outil centralisé peut réduire les coûts de personnel et faciliter le processus de gestion des risques tiers et le rendre plus rapide et plus évolutif à long terme. Les équipes n’auront pas non plus besoin d’une formation aussi poussée, car elles pourront tirer parti des instructions intégrées à l’outil.

« S’il est possible d’automatiser ce qui doit l’être pour la sécurité ou la protection de la vie privée, il ne devrait pas y avoir besoin de vérification par un humain. Le seul moment où une décision humaine doit être faite est le cas où l’on s’écarte des obligations ou lorsqu’une décision commerciale est nécessaire », ajoute Ruo Xie. « L’automatisation fait gagner du temps et permet à l’équipe de sécurité de se concentrer sur les revues des fournisseurs qui présentent un risque plus élevé ou plus complexes. »

Une équipe de gestion des risques tiers dédiée est-elle nécessaire ?

La sécurité n’est qu’une partie de l’ensemble du processus de gestion des tiers. Les programmes de gestion des risques tiers traitent également des revues de contrat, des évaluations et d’autres activités de diligence raisonnable.

« De nombreux professionnels du risque possèdent un « couteau suisse », un large éventail de connaissances en sécurité. Ils ne sont spécialistes dans aucun domaine, mais ils en savent suffisamment pour poser les bonnes questions », explique Tim Mullen, Chief Information Security Officer chez OneTrust.

« S’il y a certaines questions très spécialisées, par exemple sur les clés API ou sur les données personnelles permettant l’identification, notre équipe d’architecture sera impliquée pour une étude plus poussée. Donc, non seulement vous avez besoin d’individus qui connaissent bien les risques, mais vous avez occasionnellement besoin de techniciens pour avoir ces conversations plus approfondies. »

Les organisations peuvent choisir une des deux voies principales suivantes pour trouver ces ressources : elles peuvent établir des partenariats et allouer des ressources à leurs équipes existantes ou embaucher des personnes qui seront dédiées à la gestion des risques tiers.

« Si votre objectif est de vous engager auprès de vos fournisseurs pour comprendre et remédier aux risques associés, vous aurez probablement à embaucher des personnes ayant des compétences en négociation de contrats pour développer des accords de sécurité de l’information. Une personne possédant une expertise approfondie en cybersécurité qui peut passer les mesures de contrôle des fournisseurs en revue et tirer des conclusions utiles quant à leur pertinence. Et quelqu’un avec une expérience en gestion de programme ou en communication qui a la capacité d’affecter réellement les résultats des relations avec le fournisseur pour faciliter une gestion efficace des risques », conseille Matthew Solomon.

« En fin de compte, la réussite des personnes allouées dépend de votre capacité à rassembler toutes les informations nécessaires dans une présentation de façon à obtenir le bon financement et à attirer les rares talents qui peuvent être efficaces. »

Comment mettre en œuvre un programme de gestion des risques tiers dans l’ensemble de l’organisation ?

La mise en œuvre de la gestion des risques tiers est différente dans chaque organisation. Elle dépend des types de tiers concernés, de l’accès qu’ils ont aux données internes, de toutes les obligations légales ou réglementaires et de l’écart entre le nouveau programme et la gestion des tiers existante.

« Je regarde l’expérience globale. Que ressentent les employés lorsque ce processus est déroulé ? Et que devons-nous faire du point de vue de la sécurité pour protéger OneTrust ? » poursuit Ruo Xie. Enfin, dans quelle mesure pouvons-nous automatiser pour atteindre ces deux objectifs avec le moins de points de contact possible pour l’employé et pour les équipes de sécurité, de protection de la vie privée et de conformité. »

Outre la création d’un processus automatisé et intuitif qui implique uniquement les équipes lorsque cela est nécessaire, la fourniture d’une documentation et d’une formation adéquates est également essentielle à la réussite de la gestion des risques tiers. 

« Nous faisons des tournées de présentation, nous avons une liste de distribution pour les e-mails et proposons différents canaux d’assistance : un canal général, un canal d’assistance à l’approvisionnement, un canal de comptes fournisseurs, etc. », explique Ruo Xie. « Nous avons également créé une page d’accueil qui guide les personnes tout au long du processus de gestion des risques tiers, qui fournit des liens importants et qui communique nos politiques d’approvisionnement. Pour nos équipes qui travaillent beaucoup avec les tiers, nous dispensons une formation sur le suivi du processus, ce à quoi s’attendre et qui contacter. »

Le chemin vers la gestion du risque tiers

Même le meilleur plan pour la gestion des risques tiers peut échouer si sa mise en œuvre n'est pas adaptée. Pour aider votre organisation à intégrer un nouveau programme de gestion des risques tiers, il est important de rassembler les ressources nécessaires, de constituer une équipe dédiée et de dispenser une formation suffisante afin que toutes les parties prenantes puissent contribuer à la protection contre le risque tiers.

Réduisez les risques, renforcez la confiance et consolidez la résilience de l’entreprise  Réservez une démo dès aujourd’hui.