Tendances de risque en 2024 et par la suite : Gestion des risques TI liés aux tiers

À quel point connaissez-vous vos fournisseurs?

Les entreprises canadiennes dépendent de plus en plus d’entreprises externes pour leurs services technologiques, une tendance accentuée depuis la pandémie et propulsée par la hausse de l’innovation numérique en général. Les raisons qui justifient ce phénomène sont nombreuses.

L’une d’entre elles est que les organisations ont de la difficulté à trouver des personnes dotées du savoir‑faire nécessaire pour gérer la technologie à la vitesse à laquelle on doit l’adopter. Cette situation s’est détériorée avec la pénurie de main-d’œuvre actuelle. En effet, l’équipe des TI doit désormais se concentrer sur l’embauche pour répondre aux besoins de l’équipe, mais aussi sur le soutien offert aux autres secteurs de l’entreprise.

Il est donc fréquent que la sous-traitance des services de TI devienne l’option la plus judicieuse d’un point de vue financier. De nouveaux rôles font leur apparition et le secteur est de plus en plus spécialisé. Ce type d’expertise entraîne des coûts de plus en plus élevés. Il devient difficile de justifier l’embauche d’un employé dont les compétences ne sont probablement pas requises à temps plein.

De plus, la définition au sens large des tiers n’inclut pas uniquement les entrepreneurs et les conseillers qui réalisent les travaux. Les fournisseurs de logiciel-service sont maintenant omniprésents et s’occupent de tout, des outils administratifs au quotidien (logiciels de traitement de texte, applications de courriels, serveurs de stockage, etc.) jusqu’aux systèmes de comptabilité, de gestion des stocks et de logistique.

Les prestataires de services tiers ne se sont jamais vu confier autant de renseignements et accorder autant d’accès aux réseaux de la part des organisations. Même s’il existe des cas où la présente façon de faire est logique, voire nécessaire, le sentiment qu’il s’agit du nouveau statu quo peut facilement engendrer la complaisance.

Les clauses de responsabilité des tiers, la gestion des permissions d’accès et les évaluations en continu sur les menaces à la cybersécurité ne peuvent pas se résumer en une case à cocher lorsque les services d’un nouveau fournisseur tiers sont retenus. Ces éléments doivent être passés en revue et testés régulièrement en vue de détecter les maillons faibles causés par une trop grande dépendance aux tiers et d’y remédier.

Questions importantes à vous poser

• Combien de nouveaux contrats avec des prestataires de services tiers votre entreprise a-t-elle conclus depuis 2020?
• Votre organisation réalise-t-elle une évaluation de risques détaillée avant de conclure des contrats avec des tiers? La responsabilité de l’atténuation des risques est-elle identifiée dans le contrat?
• Les plans de résilience organisationnelle et de reprise après sinistre prennent-ils en considération la responsabilité de tiers précis? Ces entreprises sont-elles prêtes à agir en votre nom en cas de besoin?
• Les fournisseurs tiers sur lesquels vous comptez ont-ils des plans de réponse appropriés mis en place en cas de perturbations de leurs activités? Ces plans ont-ils été testés?
• Quelles mesures avez-vous prises pour garantir l’efficacité opérationnelle et la résilience des tiers sur lesquels vous comptez?
• Disposez-vous d’un code de conduite personnalisé et d’un programme de formations pour les prestataires de services tiers? Est-ce qu’ils comprennent des attentes touchant la cybersécurité?

Signaux d’alerte

• Multiples plaintes concernant les tiers
• Dénonciation
• Problèmes de qualité et de performance des systèmes

Audits internes à considérer