L’importance de la gestion des risques liés aux fournisseurs pour les CISO
Si une entreprise traite ne serait-ce qu’avec un seul fournisseur tiers, la gestion des risques liés aux fournisseurs doit être au premier plan de l’esprit du RSSI.
Qu’est-ce que la gestion des risques fournisseurs ? La gestion des risques des fournisseurs (VRM) est le processus qu’une entreprise prend pour vérifier que ses fournisseurs et fournisseurs respectent des réglementations et des normes spécifiques afin de ne pas avoir d’impact négatif sur leur entreprise.
Pourquoi la gestion des risques des fournisseurs est-elle importante pour mes opérations commerciales et ma logistique ?
Un fait des affaires modernes est que nous comptons de plus en plus sur les fournisseurs pour prendre en charge les opérations internes traditionnelles. Les applications de productivité cloud, le marketing, le stockage, l’analyse, le traitement des paiements et la cybersécurité ont tous, en partie ou en totalité, été efficacement transformés en services externalisés fournis par des fournisseurs experts dans leur domaine.
Et ce n’est pas surprenant. Certains des avantages que beaucoup d’entre nous exploitent en travaillant avec des fournisseurs incluent la réduction des coûts en n’ayant pas à déployer ou à maintenir du personnel informatique complexe ou spécialisé pour gérer ou maintenir des fonctions de niche. De plus, vous pouvez apporter des niveaux d’expertise spécialisée beaucoup plus élevés à votre organisation, que cela s’applique à la sécurité, à l’apprentissage automatique, au support cloud ou à toute autre fonction commerciale importante. Enfin, les avantages combinés de l’assistance, de l’expertise et de l’efficacité contribuent de manière significative à la résilience et à l’évolutivité de votre entreprise et de votre infrastructure informatique.
Étant donné que les fournisseurs occupent ces créneaux nécessaires à nos activités, ils entrent naturellement en contact avec des opérations et des informations commerciales critiques. C’est pourquoi vous verrez des industries comme la santé, avec des réglementations HIPAA strictes , maintenir des règles bien définies sur les obligations et les exigences des fournisseurs qui traitent les informations sur les patients.
Cependant, ce type d’attention portée aux détails, à la sécurité et aux procédures devrait s’appliquer à votre entreprise au-delà des exigences de conformité réglementaire . Travailler avec des fournisseurs, même ceux qui disposent du meilleur support opérationnel et logistique, introduit des risques dans votre entreprise : risque de violation, d’inefficacité, de perte ou de détérioration des données.
Ces risques apparaissent dans plusieurs domaines clés, notamment les suivants :
- Sécurité: Vous comptez sur l’infrastructure de sécurité d’un fournisseur. Bien que cela soit rentable lorsqu’il est bien fait, cela signifie également qu’une menace de sécurité pour un fournisseur (ou le client d’un fournisseur) peut avoir un impact sur vos opérations ou la sécurité des données.
- Conformité: selon votre secteur d’activité, vous devez travailler avec des fournisseurs conformes. S’ils ne sont pas conformes ou ne maintiennent pas la conformité, vous pourriez faire face à des sanctions sévères, à une perte de capacités d’exploitation et à un impact négatif sur votre réputation.
- Dépendance à l’infrastructure externe: si un fournisseur dont vous dépendez tombe en panne, cela peut perturber l’ensemble de votre entreprise. Les bogues, les erreurs ou les problèmes d’infrastructure peuvent avoir un effet d’entraînement massif sur la productivité, et la résolution du problème est souvent hors de votre contrôle.
- Manque d’agilité stratégique :les fournisseurs sont leur propre entité avec leurs propres objectifs commerciaux et priorités opérationnelles, et ils peuvent prendre des décisions qui ne correspondent pas à vos objectifs ou à vos besoins. Si cela se produit, votre organisation pourrait être prise au dépourvu et se démener pour combler le vide.
VRM fait appel à votre organisation pour faire le point sur les acteurs gérant les fonctions de votre entreprise. Contrairement à la gestion des risques fournisseurs (où vous devez suivre les produits et les chaînes d’approvisionnement ), de nombreux fournisseurs travailleront en étroite collaboration avec votre entreprise ou fourniront une technologie qui deviendra une partie intégrante de votre entreprise et nécessitera une analyse plus approfondie pour être gérée.
Mettre en œuvre la gestion des risques des fournisseurs en tant que stratégie d’entreprise
La gestion des risques fournisseur oblige votre organisation à élaborer des plans pour évaluer le niveau de risque que vous prenez lorsque vous travaillez avec un ou plusieurs fournisseurs. En tant que stratégie et politique, VRM donne la priorité à l’analyse des relations avec les fournisseurs et des objectifs commerciaux pour façonner la manière dont les fournisseurs sont sélectionnés, comment les relations avec les fournisseurs évoluent et quand prendre des décisions sur la rupture ou le changement de relations avec les fournisseurs.
Une politique VRM comprendra une orientation stratégique claire sur la façon dont votre organisation intègre le risque dans les relations avec les fournisseurs. Voici quelques-unes des étapes que vous pouvez suivre pour élaborer une politique VRM :
- Élaboration d’une déclaration d’appétence au risquepour définir le niveau de risque acceptable pour votre entreprise
- Conformité au catalogage ou aux normes de l’industriequi ont un impact sur les services des fournisseurs et sur la façon dont vous travaillez avec les fournisseurs qui gèrent les données protégées
- Utiliser l’appétit pour le risque, la conformité et les opérations internespour définir une norme de contrôle et d’évaluation qui façonnera les mesures appliquées aux fournisseurs
- Inventaire des produits ou services individuels offerts par les fournisseurs par rapport à cette norme d’évaluation établie
- Catégoriser les fournisseurs et les servicesen fonction de leur nécessité pour vos opérations et de leur impact sur le risque acceptable
- Exiger des évaluations des risques internes régulièreset des rapports contractuels de la part des fournisseurs pour maintenir une prise de décision éclairée fondée sur les risques
- Évaluer régulièrement les contrats des fournisseurset déterminer les mises à jour requises en fonction de l’évolution des réglementations, des technologies et des vulnérabilités
- Surveiller en permanence les performances des fournisseurs(telles que la sécurité, l’efficacité et la réactivité) et réévaluer régulièrement les relations
Avec ces étapes à l’esprit, vous pouvez voir un chemin ou un voyage émerger. En termes plus concis, le cycle de vie du VRM comprend les étapes suivantes :
- Identifier les fournisseurs appropriés avec lesquels travailler en fonction de vos besoins
- Évaluer les fournisseurs pour leur applicabilité à votre travail, ce qui comprend la création d’un catalogue de services, de produits, de rapports de conformité, etc.
- Évaluer tout risque associé à ces fournisseurs et à leurs produits
- Établir des contrats avec les fournisseurs, y compris la langue pour les examens réguliers, les rapports et toute autre exigence que vous avez identifiée dans votre stratégie VRM
- Exiger et acquérir de la documentation et des rapports sur les aspects critiques de leurs opérations avant la signature d’un contrat et à intervalles réguliers par la suite
- Surveiller en permanence les opérations, les modifications apportées aux opérations des fournisseurs et l’efficacité des contrôles pour déterminer les ajustements nécessaires ou les mesures correctives requises
Comment un CISO pilote-t-il un VRM ?
En tant que CISO, votre rôle est de guider la technologie, l’infrastructure et les employés sous l’informatique pour une sécurité, une efficacité et un service maximum pour votre entreprise. En tant que tel, vous vous retrouverez à travailler directement avec des fournisseurs et à créer des VRM pour vous assurer que ces fournisseurs servent votre entreprise selon les besoins. De plus, vous devrez répondre des fournisseurs devant des investisseurs, des chefs d’entreprise et des pairs. Si un fournisseur n’est pas sécurisé, change rapidement de services ou apparaît régulièrement de manière négative dans les conversations de l’industrie ou dans la presse, les chefs d’entreprise se tourneront vers vous pour obtenir des réponses.
Le fait le plus crucial dont vous devez vous souvenir est que les vulnérabilités des fournisseurs sont de plus en plus répandues dans les entreprises modernes, même pour les fournisseurs de services établis travaillant avec les plus grandes entreprises du monde. Par conséquent, si vous travaillez avec un réseau de fournisseurs, vous devez posséder toute expérience négative avec un fournisseur. De toute évidence, alors, VRM devient une pratique vitale.
Votre première étape devrait toujours consister à examiner minutieusement un fournisseur. Certaines étapes à suivre pour évaluer les fournisseurs potentiels en tant que CISO comprennent la collecte de références clients, la détermination de la responsabilité et de l’assurance et la vérification des antécédents. Vous devez toujours rechercher la documentation de conformité, à la fois pour les normes de l’industrie et pour tout cadre supplémentaire comme SOC 2 . Enfin, un processus d’examen clair et rigoureux doit toujours être en place pour tout contrat entre vous et un fournisseur.
En tant que CISO, vous êtes responsable de la mise en œuvre, dans le sens le plus significatif, de votre stratégie VRM. Si vous démarrez sans aucun modèle de gestion, vous pouvez utiliser le modèle de maturité VRM (VRMMM) pour évaluer où vous en êtes et comment vous pouvez vous développer en tant qu’organisation.
Les six niveaux de VRMMM sont les suivants :
- Pas de VRM :Vous êtes peut-être une start-up ou une nouvelle entreprise sans politique VRM active en place.
- Ad Hoc VRM :vous avez commencé à mettre en œuvre des procédures de révision et de gestion en fonction des besoins.
- Feuille de route avec ad hoc :Après avoir travaillé avec les fournisseurs, vous avez développé un plan VRM réel basé sur les informations précédentes des activités ad hoc. Vous vous dirigez également vers la mise en œuvre complète de VRM.
- VRM établi :vous disposez d’une infrastructure VRM complète, établie et définie que vous vous préparez à mettre en œuvre dans votre organisation.
- Implémenté et opérationnel :Votre VRM est maintenant en vigueur et vos relations avec les fournisseurs fonctionnent dans le cadre de ce plan.
- Amélioration continue : vous optimisez votre VRM au fil du temps, en utilisant des données extraites des performances des fournisseurs, de la surveillance continue et de l’examen interne des risques.
Enfin, le logiciel VRM existe et peut aider à gérer le risque fournisseur. Les outils VRM de fournisseurs tiers de gestion des risques automatisent les tâches critiques telles que l’évaluation et la surveillance des risques, et contrôlent la mise en œuvre et la création de rapports. En outre, le logiciel de gestion des risques des fournisseurs tiers peut inclure des solutions pour évaluer les contrats et les modifications apportées aux politiques, aux procédures et à la correspondance entre votre organisation et le fournisseur. Et, le plus souvent, le logiciel VRM peut vous aider à évaluer les risques sur un ensemble complexe de relations avec les fournisseurs.
Faites de la gestion des risques des fournisseurs un élément clé de votre description de poste
Les services des fournisseurs sont le présent et l’avenir des affaires dans un monde axé sur les données. Cependant, les fournisseurs comportent des risques importants. C’est pourquoi, en tant que CISO de votre organisation, vous devez traiter ce risque comme n’importe quel autre indicateur. Définissez, mesurez, surveillez et agissez en fonction du risque fournisseur et des besoins de votre organisation afin de maintenir la sécurité et la conformité de vos données et de vos systèmes.