Il n'est pas réaliste de lancer un programme de gestion du risque tiers (TPRM - Third-Party Risk Management en anglais) en s’attendant à ce qu’il protège l’organisation pour toujours. De nouveaux risques de cybersécurité émergent quotidiennement et votre écosystème et vos relations tiers évoluent dans le temps.
Gartner estime que 45 % des organisations du monde entier auront subi une attaque sur leurs chaînes d’approvisionnement numériques d’ici 2025. Pour se protéger contre ces attaques, les organisations ont besoin de mesures de sécurité réactives qui suivent le rythme des changements dans le paysage des menaces.
En matière de programmes de gestion des risques tiers, il est tout aussi essentiel de les entretenir que de les développer. En tenant leurs processus liés aux tiers à jour, les organisations peuvent anticiper les problèmes potentiels et réduire au minimum les impacts négatifs possibles.
Nous avons interrogé six responsables de l’infosec et des risques tiers de OneTrust et d’entreprises du classement Fortune Global 500 sur les meilleures pratiques pour maintenir un programme de gestion des risques tiers, ainsi que sur leurs méthodes habituelles de reporting des résultats à la direction. Il s’agit du dernier article de notre série sur l’élaboration des programmes de gestion des risques tiers.
Téléchargez notre guide infosec sur la gestion du risque tiers, qui couvre toutes les étapes de la mise en place du programme, de la planification à la surveillance et au reporting.
Surveillance des risques liés aux tiers
La plupart des tiers se trouvent à l’étape de surveillance continue dans le cycle de vie de la gestion des risques tiers. Même s’ils réussissent haut la main l’évaluation initiale, il s’agit seulement d’un instantané de leur état à un moment donné : une surveillance continue reste nécessaire pour atténuer les risques tout au long de la relation.
La surveillance des tiers est généralement facilitée par un outil automatisé de suivi des risques et doit comprendre un plan étape par étape pour traiter les alertes de sécurité et déterminer les actions nécessaires pour chaque problème identifié.
« Même après l’intégration d’un fournisseur, vous devez planifier votre processus de surveillance et votre workflow en cas de problème. Imaginons qu’un événement en lien avec l’ESG (Environnement, Société et Gouvernance) se produise. Qui va le traiter ? Ce n’est pas un problème de sécurité. Si vous définissez les rôles et les responsabilités à l’avance, vous saurez quoi faire », déclare Kevin Liu, Sr. Director of Information Security chez OneTrust.
« Lorsque je vois une alerte, je commence par l’évaluer en m’efforçant de la comprendre, car elles n’ont pas toute la même importance. Parcourez la liste des éléments que vous surveillez : la posture de sécurité, la gouvernance sociale, la santé financière dans certains cas, etc. »
Si une alerte doit être traitée, vos équipes doivent contacter le tiers pour faire une enquête plus poussée et pour circonscrire toute menace potentielle. Cela peut impliquer de désactiver les accès du tiers et de mettre le statut à jour au fur et à mesure que le plan d’action corrective est déroulé. Ce n’est que lorsque le tiers est en mesure d’apporter la preuve que le problème a été résolu que l’organisation peut lui redonner accès à ses systèmes internes.
Maintien d’un programme de gestion des risques tiers - ou «∘TPRM∘»
La clé pour maintenir votre programme de gestion des risques tiers est d’être réactif à tout changement dans votre environnement tiers ou dans votre paysage de risque.
« Si vos activités sont les mêmes que l’an passé et que rien n’a vraiment changé, vous n’aurez peut-être pas besoin de faire de maintenance active », déclare Tim Mullen, Chief Information Security Officer de OneTrust. « Bien sûr, si quelque chose de nouveau apparaît sur le marché, une nouvelle vulnérabilité, un nouveau «∘zero-day∘», ou tout élément qui attire votre attention, cela peut entraîner un changement. »
Les questions suivantes peuvent vous aider à guider votre processus de maintenance habituelle :
- Avez-vous conclu un nouveau contrat avec un tiers ?
- Partagez-vous des types de données différents ?
- De nouveaux risques potentiels ont-ils été identifiés par l’organisation ?
- Avez-vous démarré des activités dans un nouveau secteur ?
- Avez-vous effectué des fusions et acquisitions ou avez-vous vendu certaines ressources ?
« Un autre scénario fréquent est celui où vous signez avec un fournisseur, puis le périmètre évolue. Par exemple, il est possible que vous ayez mis en place une nouvelle fonctionnalité, et soudainement, un fournisseur initialement considéré à faible risque a désormais accès à des données hautement sensibles », déclare Jose Costa, Sr. Director of GRC Labs & Research chez OneTrust. « Même les petits changements dans la relation avec un fournisseur devraient faire l’objet d’un nouveau processus d’évaluation. »
Dans la plupart des cas, il est recommandé de revoir son programme de gestion des risques tiers une fois par an. L’objectif de la réévaluation de vos processus est non seulement de maintenir la sécurité, mais également de continuer à faire évoluer votre programme.
« Ne vous contentez pas d’évaluer la gestion des risques tiers : évaluez tout ce qui tourne autour. Quelle est votre politique de gestion des fournisseurs ? L’organisation a-t-elle identifié des problèmes liés à ce fournisseur ou même à un autre fournisseur de la même catégorie ? Apportez toutes les informations pertinentes et évaluez votre programme de gestion des risques tiers de manière holistique pour voir comment poursuivre », reprend Kevin Liu.
Reporting de la performance du programme TPRM au management
Le reporting sur la performance des programmes de gestion des risques tiers peut varier d’une organisation à l’autre.
En fonction de la maturité de votre programme et de ce qui compte le plus pour la direction, certains des indicateurs suivants peuvent être suivis :
- Nombre total de tiers évalués
- Temps nécessaire à l’évaluation des tiers
- Répartition des tiers en fonction de leur impact faible, moyen ou critique
- Niveau global d’exposition au risque introduit par les tiers
- Nombre de problèmes associés aux tiers (sur une période de temps)
- Temps moyen de résolution
- Retard dans les activités d’atténuation des risques
« Si vous commencez tout juste à mettre en place votre programme de gestion des risques tiers, vous pouvez par exemple indiquer combien de fournisseurs ont été évalués, combien sont conformes, etc. Vous pouvez également rendre compte des principaux risques que vous avez évalués, des mesures mises en place pour les atténuer et de la manière dont vous prévoyez de les évaluer régulièrement », déclare Jose Costa. « Tout dépend vraiment de ce que la direction souhaite voir, mais je recommande de garder le reporting à un niveau global et de veiller au minimum à ce que 100 % des fournisseurs, quelle que soit leur taille ou leur complexité, suivent le processus et que celui-ci fonctionne. »
Au fur et à mesure que le programme évolue en maturité, la direction souhaitera connaître l’impact réel de vos efforts en matière de gestion des risques tiers et comment ils contribuent à une réduction des risques. Cela nécessite de trouver des moyens de quantifier de manière significative l’évolution des niveaux de risque tiers et de les mettre en avant dans votre reporting.
« Dans le domaine de la sécurité de l’information, il n’y a que très rarement des estimations précises et exactes du risque réel. Nous devons donc rechercher des indicateurs de risque, des proxys de risque ou même des indicateurs après coup du nombre réel d’incidents », déclare Matthew Solomon, VP of Technology and Cyber Risk Management chez Humana. « Pour montrer l’impact réel du programme, l’astuce consiste vraiment à vous rapprocher le plus possible de la quantification de votre niveau de risque et de la manière dont vous le réduisez. »
Abaisser les niveaux de risque grâce à la gestion des risques tiers
Quel que soit l’endroit où vous vous trouvez dans votre démarche de gestion des risques tiers, l’objectif final est de réduire les risques dans l’ensemble de votre organisation. Pour ce faire, il faut surveiller activement les alertes de sécurité, traiter tout problème potentiel et revoir périodiquement votre programme pour détecter tout changement significatif. Enfin, montrez le résultat des efforts de votre équipe en quantifiant les niveaux de risque tiers et en soulignant l’impact réel de votre travail sur le risque.
