Améliorer la gestion des risques pour les tiers : La puissance des questionnaires compacts

Dans l'environnement commercial mondial et interconnecté d'aujourd'hui, les partenariats avec des tiers sont devenus essentiels à la réussite des organisations du monde entier. Si ces partenariats offrent de précieuses opportunités, ils exposent également les entreprises à divers risques. Pour protéger leurs intérêts, les entreprises prudentes donnent la priorité à la gestion des risques liés aux tiers (TPRM).  En raison du NIS 2, de plus en plus d'entreprises (nous estimons qu'il y en a environ 100 000) devront gérer les risques liés aux tiers pour se conformer aux réglementations.

Cependant, l'approche traditionnelle consistant à utiliser des cadres normalisés, tels que l'ISO, s'avère moins efficace.   En fait, nous vous déconseillons d'utiliser ISO ou tout autre cadre de cybersécurité comme base de votre gestion des risques liés aux tiers.  Nous recommandons une approche ciblée.  

Si vous n'avez pas encore commencé à gérer les risques liés aux tiers, lisez notre article de blog sur le démarrage de la gestion des risques liés aux tiers.   Si vous avez déjà commencé et que vous trouvez cela lourd, lisez la suite !

Le défi de la gestion des risques liés aux tiers

La gestion des risques liés aux tiers consiste à évaluer les risques potentiels qui surviennent lorsque l'on travaille avec des partenaires externes, principalement des fournisseurs. Comme les organisations sont de plus en plus impliquées avec un nombre croissant de tiers et que ces interactions sont de plus en plus numériques, la gestion et l'atténuation de ces risques sont devenues une tâche complexe.

La méthode conventionnelle consistant à utiliser de grands cadres normalisés pour l'évaluation des risques peut sembler une base logique pour la gestion des risques liés aux tiers, mais elle a ses limites.    Ces cadres consistent souvent en une liste exhaustive de questions, dont beaucoup n'abordent pas directement la nature spécifique de la relation avec un tiers ou les risques uniques qu'elle implique. En conséquence, les entreprises finissent par investir un temps et des ressources excessifs dans une pléthore de questions qui n'ont qu'un impact minime sur l'analyse des risques. Et imaginez la tâche décourageante de votre fournisseur tiers qui doit répondre à cette liste de questions, ... pour chacun de ses clients.

L'importance de la précision : des questionnaires compacts avec des questions pertinentes

Un changement d'état d'esprit est en train de s'opérer dans la gestion des risques pour les tiers. Les entreprises reconnaissent que la précision est cruciale pour une évaluation efficace des risques. Plutôt que de s'appuyer uniquement sur des cadres normatifs exhaustifs, il s'avère plus utile d'utiliser des questionnaires compacts comportant des questions pertinentes adaptées au contexte spécifique de chaque relation avec un tiers.

1. Efficacité et ciblage : Les questionnaires compacts permettent aux organisations de se concentrer sur les principaux domaines de risque et d'éliminer les distractions inutiles. En se concentrant uniquement sur les aspects les plus pertinents, les analystes de risques peuvent rationaliser le processus d'évaluation et concentrer leurs efforts sur les aspects les plus importants. Cette approche permet d'économiser du temps et des ressources, d'accélérer la prise de décision et de permettre aux fournisseurs de réagir plus rapidement.

2. Amélioration de la pertinence : L'adaptation du questionnaire garantit que les questions posées sont précisément adaptées à la nature de la collaboration et aux risques associés. Cette pertinence permet d'identifier plus précisément les risques posés par la collaboration. Cette pertinence permet d'identifier et d'évaluer les risques avec plus de précision, ce qui permet de mieux comprendre les vulnérabilités potentielles.

3. Amélioration de la collaboration : L'utilisation d'un questionnaire plus restreint et personnalisé encourage une communication et une collaboration ouvertes avec les tiers. Si les partenaires ont l'impression que l'évaluation respecte leur temps et s'applique directement à leurs opérations, ils sont plus enclins à coopérer de manière significative et à fournir des réponses exactes.

4. Flexibilité et adaptabilité : Les relations avec les tiers sont fluides et les risques peuvent évoluer dans le temps. Les questionnaires compacts offrent une plus grande souplesse d'adaptation au changement, ce qui facilite la mise à jour et l'amélioration du processus d'évaluation au fur et à mesure que le partenariat progresse ou que de nouveaux risques apparaissent.

5. Facilité d'interprétation : Les longs questionnaires peuvent submerger à la fois les analystes de risques et les tiers concernés. Des questionnaires plus petits et plus ciblés présentent les informations de manière concise, ce qui facilite l'interprétation et la prise de mesures efficaces par toutes les parties concernées.

Les certifications sont importantes... pour rendre les questionnaires encore plus compacts

Les certifications sont importantes.   Si un fournisseur est certifié ISO 27001 ou IEC 62443, ou possède un rapport SOC 2 (pour SOC 2, qui est moins rigide qu'ISO, il n'y a pas de certification formelle. Au lieu de cela, les organisations demandent à un auditeur indépendant d'établir un rapport sur la mesure dans laquelle une organisation a mis en œuvre ses contrôles SOC 2), cela signifie que de nombreux aspects de la sécurité ont été pris en compte dans leurs opérations.  En conséquence, elles peuvent prétendre à un questionnaire (encore plus léger).

Dans de nombreux domaines de la cybersécurité, il existe des cadres et des normes qui n'ont pas de processus de certification (comme ISO) ou de processus de rapport audité (comme SOC).  C'est le cas du GDPR, du NIST, du CIS et de plusieurs autres cadres utiles.   Pour ces cadres, les auto-évaluations, surtout si elles sont signées par un cadre de l'entreprise, peuvent être considérées comme une exemption aux questions ou aux questionnaires.    Après tout, les réponses aux questionnaires d'auto-évaluation que vous soumettez aux fournisseurs ne sont pas non plus auditées (par défaut, elles pourraient toutefois servir de base à un futur audit indépendant).

Conclusion

En matière de gestion des risques pour les tiers, la précision et la pertinence priment sur l'exhaustivité.  Cela deviendra encore plus important lorsque le règlement NIS 2 entrera en vigueur dans les États membres de l'UE, ce qui fera exploser le nombre d'évaluations des risques par des tiers.

Si les cadres établis tels que l'ISO fournissent des orientations précieuses, les entreprises devraient également envisager de les compléter par des questionnaires concis qui couvrent des sujets pertinents spécifiques au contexte de chaque partenariat. De cette manière, les entreprises peuvent rationaliser leurs processus d'évaluation des risques, améliorer la collaboration avec les tiers et, en fin de compte, renforcer leurs stratégies de gestion des risques. L'adoption de cette approche souple et ciblée contribuera à une bonne collaboration entre les entreprises en matière de cybersécurité, ce qui, en fin de compte, contribuera à la résilience des organisations dans le paysage commercial en constante évolution d'aujourd'hui.