3 min reading
Sat Apr 23 2022

Comment gérer les fournisseurs peu réactifs dans votre programme de gestion des risques liés aux tiers ?

how-to-manage-unresponsive-vendors-in-your-third-party-risk-management-program

quant  à leur utilisation ou non. Et en communiquant avec eux tôt et souvent, vous pouvez aider à établir une relation de confiance qui facilitera la collaboration avec eux à l’avenir.
Il peut y avoir plusieurs raisons pour qu’un fournisseur ne réponde plus.
Fatigue du questionnaire
La raison la plus courante est la fatigue du questionnaire. Lorsque vous envoyez des questionnaires régulièrement - comme vous le devriez - certains fournisseurs cesseront tout simplement de répondre. Ils peuvent être fatigués de répondre aux mêmes questions encore et encore, ou ils peuvent avoir l’impression qu’ils n’obtiennent rien en retour.
Dans certains cas, le fournisseur peut ne pas répondre parce qu’il a des problèmes avec sa posture de sécurité  et qu’il ne veut pas signaler de nouvelles négatives. C’est là que vous devrez utiliser d’autres méthodes d’évaluation pour obtenir une image plus complète.
N’oubliez pas que vous n’êtes pas le seul client de ce fournisseur et de nos jours, de nombreuses organisations appliquent une forme de gestion des fournisseurs dans leurs contrats de fournisseur.
Mon fournisseur n’a jamais répondu au départ, ou  vais-je même recevoir des commentaires sur les questionnaires d’un grand fournisseur comme Microsoft ou IBM?
Vous n’êtes pas seul dans ce cas. De nombreuses organisations ont du mal à obtenir des réponses de leurs fournisseurs, en particulier des plus grands. Et il peut être difficile de savoir quoi faire lorsque vous n’obtenez pas les réponses que vous espériez.
Il y a quelques choses que vous pouvez faire pour essayer d’obtenir l’information dont vous avez besoin :
• Faites un suivi avec eux par courriel ou par téléphone. Assurez-vous de suivre à qui vous avez parlé et ce qu’ils ont dit afin que vous puissiez faire un suivi plus tard si nécessaire.
• Utilisez d’autres méthodes d’évaluation, telles que des audits sur site ou des rapports tiers tels que des cotes de sécurité. Cela vous donnera une image plus complète de leur posture de sécurité.
• Contactez votre représentant de compte auprès de la société fournisseur. Ils peuvent être en mesure d’obtenir l’information dont vous avez besoin.
• Parlez à d’autres organisations qui font également affaire avec le fournisseur. Ils ont peut-être eu une meilleure expérience.
Si toutes ces méthodes échouent et que le fournisseur ne répond pas, il peut être nécessaire de mettre fin à la relation. Cela devrait toujours être votre dernier recours, car il peut être coûteux et long de trouver un nouveau fournisseur.
Cela étant dit, vous devriez vous demander si vous avez vraiment besoin d’un grand fournisseur ou fournisseur comme Microsoft, IBM, Salesforce, etc. pour répondre à vos questionnaires spécifiques. Voyant qu’ils s’adressent à beaucoup de clients, ils n’auront probablement pas le temps, ni ne sont prêts à faire l’effort, de répondre à chaque demande de questionnaire.
En guise de contre-effort, ces entreprises publient souvent leurs certifications RGPD, SOC2, PCI DSS, ISO 27001, CSA et autres pour que tout le monde puisse les examiner. Une simple recherche sur leur site Web peut vous fournir la plupart des garanties dont vous aurez besoin.
Conclusion
Aucune organisation n’est à l’abri de fournisseurs qui ne répondent pas. En utilisant les méthodes décrites dans cet article, vous pouvez rapidement évaluer et atténuer les cyber-risques qu’elles posent. Et en communiquant avec vos fournisseurs, vous pouvez les aider à comprendre l’importance de la sécurité et son impact sur leur entreprise.
Rappelez-vous que tous les fournisseurs ne sont pas égaux. Selon la criticité de votre fournisseur, vous voudrez peut-être l’évaluer différemment et communiquer avec lui différemment. Mais l’objectif devrait toujours être de maintenir une relation de confiance et de collaboration.
Si vous avez du mal à gérer les fournisseurs qui ne répondent pas, ou si vous avez des questions sur la gestion des risques liés aux tiers, n’hésitez pas à nous contacter. Nous serions heureux de vous aider.
 

Jimmy pommerenke Ceeyu

Jimmy Pommerenke

Author

Jimmy is the founder, CEO and CTO of Ceeyu. Prior to founding Ceeyu, Jimmy was responsible for cybersecurity programs at large financial institutions and consulting company EY. Jimmy started his career as a security engineer. His duties included installing and managing firewalls, scanning infrastructure for vulnerabilities, and performing pen testing and ethical hacking.

Other Blogposts

Ceeyu UI

Améliorer la gestion des risques pour les tiers : La puissance des questionnaires compacts

En matière de gestion des risques pour les tiers, la précision et la pertinence priment sur l'exhaustivité. Cela deviendra encore plus impo...

October 5, 2023

Ceeyu UI

La certification ISO 27001 est-elle suffisante pour assurer la conformité à la norme NIS2 ?

Au fil des ans, la cybersécurité étant devenue un domaine d'intérêt de plus en plus important dans le secteur des technologies de l'informat...

February 20, 2024

why-your-digital-footprint-matters

L'importance de votre empreinte numérique

Connaissez toute l'étendue de ce que votre entreprise expose sur Internet et les risques de cybersécurité qui y sont associés.

January 10, 2023