Tendances pour 2025 et par la suite : Gestion du risque de tiers

Avez-vous analysé les risques auxquels vous exposent vos fournisseurs externes? Les avez-vous atténués au moyen de contrats?

Connaissez-vous vraiment vos partenaires externes?

La gestion des risques auxquels ils vous exposent est essentielle à la sécurité et à la conformité de votre organisation. Or, certaines entreprises sont encore coupables d’un certain laisser-aller à cet égard.

Selon un sondage mené par Statista en octobre 2021, environ la moitié seulement des organisations dans les domaines de la technologie et de la sécurité procèdent à l’audit ou à la vérification du dispositif de sécurité et de la conformité de leurs fournisseurs externes de services. Seulement 43 % d’entre elles ont resserré les critères de sélection et étoffé les évaluations des risques pour leurs fournisseurs et partenaires externes. Une proportion de 27 % des répondants affirme avoir mis fin à des partenariats en vue d’améliorer leur cadre de gestion des risques.

Une entreprise doit non seulement veiller à son propre respect de la réglementation et des normes sectorielles en vigueur, mais à celui des tiers avec lesquels elle fait affaire. Sinon, elle s’expose à des sanctions juridiques et à des atteintes à sa réputation. Des audits et des contrôles de conformité menés régulièrement peuvent servir à confirmer que vos partenaires sont en règle.

Prenons l’exemple d’une entreprise dont le fournisseur en TI subit un piratage à cause d’une faille dans son dispositif de sécurité. Cette attaque pourrait exposer des informations confidentielles et compromettre les systèmes de ceux qui se fient à ce fournisseur. Ainsi, les risques auxquels une entreprise est confrontée s’étendent aux tiers avec qui elle fait affaire. Les vulnérabilités de l’un deviennent les vulnérabilités de l’autre.

Chocs opérationnels et lacunes sur le plan des compétences

Des risques opérationnels découlent des perturbations qui nuisent à la prestation de services par un tiers. Pensez aux faillites, aux interruptions des activités ou aux problèmes de rendement. Par exemple, un fournisseur qui fait faillite pourrait entraîner des dépenses inattendues et la perte d’un service important pour votre entreprise, et compromettre sa santé financière. En évaluant la stabilité opérationnelle et la santé financière de vos fournisseurs, vous vous assurez de la fiabilité de ces partenaires.

Les risques liés aux tiers vont plus loin que les préoccupations habituelles. Par exemple, si un fournisseur n’est pas formé pour gérer une situation d’urgence, comme un feu de forêt qui menace un projet de pipeline, les conséquences pourraient être catastrophiques. Pensez à ce qui se produirait si vous faites appel à un tiers pour vos besoins numériques. Si ce partenaire ne réussit pas à maintenir en poste du personnel de talent, cette fuite des cerveaux pourrait nuire à sa croissance et sa capacité d’innover.

L’impartition de services peut aussi priver une entreprise de jeunes talents qu’elle peut cultiver et amener à occuper des postes de haute direction. Ainsi, une trop grande dépendance sur des tiers peut à terme créer une pénurie de dirigeants.

Une gestion proactive des risques liés aux tiers contribue grandement à la protection de votre entreprise. Une évaluation régulière des risques, des contrats limpides et une communication transparente en tout temps sont essentiels. N’oubliez pas que la cohésion d’une exploitation repose sur la fiabilité d’une organisation et de ses partenaires. Donc, même si vous pensez bien connaître les tiers avec qui vous faites affaire, il n’y a aucun mal à approfondir ces relations.

Et ce n’est pas tout! Voici d’autres risques à ne pas négliger...

• Risques déontologiques, de fraude et d’atteinte à la réputation posés par des tiers
• Risques menaçant les données et les projets ESG à cause d’informations de mauvaise qualité fournies par un tiers
• Cyberrisques découlant de l’accès d’un tiers aux systèmes d’une entreprise
• Risques d’approvisionnement causés par les mauvaises décisions de tiers
• Risques à la qualité occasionnés par des tiers qui ne respectent pas les normes en vigueur

Quelques questions à se poser :

• Avez-vous le bon cadre et les bons outils pour évaluer les risques que présentent vos fournisseurs et vos partenaires d’affaires?
• Procédez-vous à des vérifications de leurs antécédents et de ceux de leurs principales ressources qui sont proportionnelles à ce qui est en jeu (p. ex., considérez-vous les fournisseurs qui ont accès à des données confidentielles et des systèmes névralgiques comme présentant un risque élevé)?
• Quelles stratégies avez-vous mises en œuvre pour atténuer toute perturbation de vos activités causée par une interruption des activités de l’un de vos fournisseurs? Connaissez-vous les mesures qu’ils ont prises pour en atténuer les répercussions pour vous?
• Avez-vous instauré un code de conduite auquel vos tiers doivent confirmer leur adhésion chaque année et une formation obligatoire qu’ils doivent suivre annuellement?

Les signaux d’alarme :

• Tiers dénoncé par des employés ou des fournisseurs
• Tiers victime de piratages informatique à plusieurs reprises
• Tiers visé par un nombre excessif de plaintes déposées par votre entreprise ou par d’autres clients pour la qualité ou le prix du travail réalisé