Maîtriser la gestion des risques liés aux tiers (third party risk management) : Meilleures pratiques pour la conformité et la sécurité

Qu’est-ce que le third party risk management ?

Le third party risk management est le processus d’identification, d’évaluation et de contrôle des risques associés aux partenaires externes, tels que les vendeurs, les fournisseurs et les sous-traitants. Étant donné que les organisations dépendent de plus en plus de tiers pour des fonctions critiques, ces risques (par exemple, financiers, opérationnels, réglementaires ou liés à la cybersécurité) doivent être gérés efficacement afin de maintenir la continuité de l’activité, la conformité et la réputation.

Importance

La pratique de l’externalisation de tâches spécifiques auprès de fournisseurs ou de sous-traitants externes remonte aux premiers jours du commerce. Si elle présentait de nombreux avantages, elle s’accompagnait également de problèmes tels qu’une surveillance réduite, un risque accru et la possibilité d’une atteinte à la réputation. Le concept de gestion des risques liés aux tiers a été officiellement reconnu par les institutions financières en 2008, encourageant une approche préventive de la gestion des risques, de la création de valeur et du renforcement de la résilience. On ne saurait trop insister sur l’importance de la gestion des risques de tiers dans le paysage commercial actuel. Tout d’abord, elle accroît l’efficacité opérationnelle grâce à une surveillance continue, améliorant ainsi la gestion des risques en matière de sécurité physique et informatique. Ensuite, l’amélioration des performances permet de réduire les coûts, d’accroître la productivité et d’améliorer la conformité. Enfin, une politique solide de gestion des risques liés aux tiers permet de renforcer les relations avec les partenaires. Les systèmes de gestion des risques des tiers intégrés dans le cadre plus large de la gouvernance, du risque et de la conformité (GRC) permettent aux organisations d’influencer positivement leurs partenaires pour qu’ils adhèrent aux meilleures pratiques, ce qui leur est mutuellement bénéfique.

Risques courants liés aux tiers

L’identification et l’évaluation des risques liés aux tiers constituent une première étape essentielle dans la gestion des vulnérabilités potentielles qui peuvent survenir. Une détection précoce par le biais d’une diligence raisonnable, d’une catégorisation des risques et d’une surveillance continue permet aux entreprises d’atténuer de manière proactive les risques pour la continuité des activités, la stabilité financière et le respect des réglementations. Voici quelques exemples à surveiller :

Risques courants liés aux tiers

• Le risque de cybersécurité expose l’organisation à des violations de données, à des attaques de logiciels malveillants ou à d’autres menaces connexes. Par exemple, en 2013, Target a été victime d’une violation de données par l’intermédiaire d’un entrepreneur en CVC, exposant ainsi 40 millions de détenteurs de cartes de crédit.
• Le risque de conformité est le non-respect des réglementations ou des lois de l’industrie. En 2019, British Airways a dû payer près de 20 millions de livres sterling en raison de la faiblesse des contrôles de sécurité de son partenaire, en violation des lignes directrices du règlement général sur la protection des données (RGPD).
• Les risques opérationnels Il s’agit de toute perturbation ou défaillance ayant un impact sur la continuité de l’activité. Un cas notable est celui de Delta Airlines qui, en 2016, a dû faire face à des annulations et des retards massifs de vols en raison d’une défaillance du système de son fournisseur de services informatiques.
• Les risques sont des fautes qui nuisent à la position de l’organisation dans l’industrie et la société. Par exemple, la fiabilité et la valeur marchande de Facebook ont chuté lorsque l’entreprise alliée Cambridge Analytica a accédé de manière inappropriée aux données de millions d’utilisateurs de Facebook.
• Le risque financier est causé par l’insolvabilité du partenaire, la fraude ou une mauvaise gestion fiscale. Wirecard, une société de traitement des paiements par des tiers, a commis une fraude massive en 2020, qui a coûté des millions de dollars à de grandes banques et à des investisseurs.
• Risques liés à la chaîne d’approvisionnement Les risques liés à la chaîne d’approvisionnement sont des perturbations qui ont un impact sur la livraison des produits, la fabrication ou d’autres opérations critiques. La récente pandémie, par exemple, a déclenché une pénurie mondiale de semi-conducteurs qui a paralysé la production automobile et électronique.
• Le risque stratégique a un impact négatif sur les objectifs à long terme de l’organisation, sa position sur le marché et sa compétitivité. En 2019, la crise du 737 Max de Boeing a contribué à deux accidents mortels et à l’immobilisation de l’ensemble de la flotte. Cette situation était en partie due aux insuffisances d’un développeur de logiciels externe.

Guide étape par étape sur la gestion des risques liés aux tiers

La gestion des risques associés aux partenaires externes est un défi pour toute organisation en raison de la complexité et de l’interdépendance des écosystèmes commerciaux d’aujourd’hui. Les difficultés peuvent être résolues lorsque l’entreprise suit un cadre de gestion des risques liés aux partenaires externes basé sur les normes GRC. Pour vous guider, suivez les activités clés suivantes :

1. Gérer les risques contractuels.

Établissez des contrats clairs avec les tiers. Tous les documents doivent préciser les rôles, les responsabilités et les obligations. Ils doivent également être revus périodiquement pour s’adapter à l’évolution de la réglementation et aux risques émergents. Prenez note des meilleures pratiques suivantes :

• Définir des mesures de performance, des délais et des sanctions en cas de non-respect des accords de niveau de service (SLA).
• Définir clairement les conditions de résiliation du contrat en cas de violations graves.
• Incluez des dispositions relatives à la conformité avec les réglementations pertinentes, telles que le RGPD, le Health Insurance Portability & Accountability Act (HIPAA) et le California Consumer Privacy Act (CCPA), pour n’en citer que quelques-unes.

2. Contrôler et auditer en permanence.

Le contrôle continu permet de connaître en temps réel la position des partenaires extérieurs en matière de risques. Les risques potentiels et les vulnérabilités peuvent être facilement traités au fur et à mesure qu’ils se présentent lorsque cette surveillance est effectuée religieusement.

• Programmer et réaliser des audits annuels ou semestriels pour vérifier le respect des obligations contractuelles.
• Utilisez les tableaux de bord des fournisseurs et les tableaux de bord des risques pour obtenir une vue rapide des niveaux de performance et de risque.
• Utilisez un logiciel de gestion des risques pour suivre les performances, repérer les anomalies et signaler les risques (par exemple, les atteintes à la sécurité, les fuites de données ou les problèmes de conformité) en temps réel.

3. Atténuer les risques et prévoir des mesures d’urgence.

Les stratégies d’atténuation aident les organisations à se préparer, à réagir et à se remettre des perturbations potentielles. Les plans de secours et les solutions alternatives permettent aux entreprises de pivoter rapidement en cas d’imprévu.

• Classer les partenaires par niveau de risque (faible, moyen, élevé) et appliquer les stratégies correspondantes. Des mesures d’urgence, telles que le choix d’un autre fournisseur, doivent être élaborées pour les contrevenants à haut risque.
• Définissez des protocoles de gestion de crise si le fournisseur ne remplit pas ses obligations essentielles ou s’il introduit un risque grave.
• Veillez à ce que les vendeurs disposent d’une assurance adéquate pour couvrir les responsabilités potentielles liées à leurs actions.

4. Préparer des programmes de formation et de sensibilisation des tiers.

Les vendeurs, les fournisseurs et les prestataires de services doivent bénéficier régulièrement de formations et de ressources. C’est l’un des moyens les plus efficaces de faire respecter les meilleures pratiques de l’entreprise en matière de GRC.

• Exiger des partenaires qu’ils suivent une formation en matière de conformité et de gestion des risques, en particulier ceux qui participent à des activités à haut risque.
• Sensibilisez tout le monde aux meilleures pratiques en matière de cybersécurité, à la confidentialité des données et à la prévention de l’hameçonnage.
• Informer les tiers de l’évolution des lois, des réglementations et des politiques de l’entreprise.

5. Mener à bien la fin de la relation et le désengagement.

Les risques liés aux tiers ne se dissipent pas automatiquement après la résiliation d’un contrat. La résiliation formelle et le désengagement constituent un aspect crucial de la gestion des relations avec les tiers. En suivant ce processus, les organisations peuvent mieux gérer les complexités associées à leurs partenaires, même après la fin de la relation.

• Récupérer les données partagées avec le vendeur ou le fournisseur et les sécuriser ou les éliminer de manière appropriée.
• Révoquer l’accès du partenaire aux systèmes, plateformes ou bases de données de l’entreprise.
• Procédez à un examen approfondi des performances finales du tiers et des problèmes non résolus avant la résiliation définitive, puis analysez le processus pour déceler les lacunes ou les problèmes susceptibles d’être améliorés à l’avenir.