Les organisations se connectent aujourd’hui avec plus de partenaires de la chaîne d’approvisionnement que jamais auparavant, reflet de l’environnement distribué et connecté dans lequel la plupart des entreprises opèrent désormais. En conséquence, les achats sont plus automatisés et rationalisés. Pourtant, même si ces processus d’approvisionnement deviennent plus simples, la gestion des risques de cybersécurité liés aux tiers est devenue plus difficile.
Les risques sont importants : pensez à la violation en 2023 du fournisseur de logiciels de transfert de fichiers MoveIt, où des acteurs malveillants ont exploité les vulnérabilités du logiciel pour exfiltrer des données de grande valeur provenant d’environ 2 300 entités commerciales publiques et privées, ce qui a coûté plus de 10 milliards de dollars. L’attaque MoveIt était loin d’être unique. Capterra, un site d’analyse technologique, a constaté que 61 % des entreprises américaines ont subi des attaques contre leur chaîne d’approvisionnement en 2023.
Pour contrer les risques associés aux fournisseurs, prestataires de services, partenaires, sous-traitants et autres tiers, les organisations doivent procéder à des évaluations des risques par des tiers avant d’investir et de manière continue.
Évaluer et traiter les risques liés aux tiers
La nature numérique des achats a conduit à une nature moins manuelle des achats. L’automatisation permet aux entreprises d’augmenter considérablement le nombre de fournisseurs avec lesquels elles font affaire, mais elle a également mis davantage de pression sur le service informatique pour qu’il gère les fournisseurs et sous-traitants tiers, ainsi que les risques qu’ils comportent.
Alors, que doivent envisager les organisations pour s’engager dans une nouvelle relation avec un fournisseur et comment peuvent-elles maintenir avec succès les partenariats existants ?
La première étape de la gestion des risques liés aux tiers consiste à élaborer des normes sur la manière de procéder à une évaluation des risques liés aux tiers.
Tout d’abord, créez des questionnaires d’évaluation des risques des fournisseurs pour déterminer les contrôles qu’un fournisseur a mis en place pour garantir la redondance, la résilience et la sécurité. Concentrez-vous sur les éléments suivants :
- Risques opérationnels.
- Risques juridiques, réglementaires et de conformité.
- Risques de réputation.
- Risques financiers.
Utilisez les normes de cybersécurité, telles que le NIST Cybersecurity Framework et le Center for Internet Security Critical Security Controls, ainsi que les réglementations du secteur, telles que PCI DSS, HIPAA et GDPR, pour créer une liste de questions. Considérez les éléments suivants :
- Quels contrôles de sécurité avez-vous mis en place ?
- Comment stockez-vous ou traitez-vous les données sensibles ?
- Quelle est votre politique d’authentification ? L’AMF est-elle obligatoire ?
- À quelle fréquence effectuez-vous des sauvegardes ?
- Avez-vous un plan de réponse aux incidents ?
- Comment communiquez-vous avec les clients et les parties prenantes en cas d’incident de sécurité, tel qu’une violation de données ?
- Effectuez-vous des audits internes pour évaluer et garantir la conformité réglementaire ?
- Quelle est votre politique de confidentialité ?
Ensuite, catégorisez les fournisseurs en fonction du niveau de risque qu’ils posent. Cela aide les organisations à comparer les menaces potentielles avec plus de précision. Considérez les éléments suivants :
Examinez également l’historique de livraison et la réputation du fournisseur. Y a-t-il eu des problèmes opérationnels dans le passé qui ont perturbé les distributions ? Si oui, le fournisseur a-t-il suffisamment répondu à ces problèmes et rétabli sa fiabilité ? Les organisations doivent également évaluer la santé financière du fournisseur pour s’assurer qu’il peut toujours répondre aux exigences de livraison.
N’oubliez pas qu’une évaluation des risques par un tiers n’est pas un engagement ponctuel qui n’a lieu que lors du processus d’évaluation initial du fournisseur. Les évaluations doivent être continues pour déterminer si des changements dans les procédures ou les politiques ont affecté la stabilité de la livraison. Utilisez des outils d’IA et d’analyse pour vous aider dans cette tâche.
Amy Larsen DeCarlo couvre le secteur informatique depuis plus de 30 ans, en tant que journaliste, rédactrice et analyste. En tant qu’analyste principale chez GlobalData, elle couvre la sécurité gérée et les services cloud.