Par Paul McCormack
Les entreprises qui font appel à des tiers ne peuvent pas ignorer l’importance de gérer les risques liés aux fournisseurs externes.
Pour être concurrentielles sur le marché mondial d’aujourd’hui, les entreprises font souvent appel à des tiers. Puisque ces collaborations comportent certains risques, la gestion des risques liés aux fournisseurs externes doit s’avérer une compétence clé pour les organisations qui utilisent ce type de services.
Quelles questions les chefs d’entreprise doivent-ils se poser pour réduire les risques liés aux fournisseurs tiers, surtout en matière de sécurité et de confidentialité? Et est-ce que les modes de travail en contexte de pandémie ont changé la donne?
Placer la barre haute
Selon Phani Dasari, vice-président mondial de la gestion des risques liés aux tiers chez ADP, lorsqu’une entreprise fait appel à un tiers, elle doit formuler clairement ses attentes dès le début de la relation.
« Vous devez vous assurer que la confiance règne dans votre réseau de partenaires et que chacun d’entre eux respecte les plus hautes normes de votre entreprise », affirme-t-il.
Phani Dasari recommande également aux entreprises de définir les risques inhérents au fait de collaborer avec un fournisseur externe. En d’autres mots, il s’agit d’évaluer les risques si aucun contrôle n’est mis en place. Il conseille également de s’assurer de bien comprendre les activités du tiers ainsi que son impact sur les données et l’infrastructure de votre entreprise.
Évaluer les risques inhérents à une collaboration externe requiert également d’analyser certains éléments comme la résilience du tiers, sa capacité à lutter contre la corruption et la qualité de son programme de confidentialité des données pour assurer sa conformité à la réglementation en vigueur, comme la Loi canadienne sur la protection des renseignements personnels et les documents électroniques et la loi californienne sur la protection de la vie privée des consommateurs. Après cette étape, les entreprises peuvent attribuer un niveau de risque au tiers, le « Niveau 1 » étant le plus risqué et exigeant le plus de supervision.
Consigner le tout
Pour éviter de rédiger des contrats complexes qui indiquent en détail toutes les exigences en matière de contrôle, Phani Dasari recommande d’utiliser des énoncés qui placent la barre à la hauteur des normes de l’industrie, ou plus haut.
Si un manquement est révélé pendant le processus de vérification du tiers et que la correction requiert du temps, Phani Dasari suggère d’en informer l’unité fonctionnelle de l’entreprise qui sera en contact avec le tiers et d’obtenir son autorisation explicite avant de poursuivre la collaboration.
« Les entreprises doivent se demander si elles acceptent de continuer de faire affaire avec le tiers pendant qu’il règle le problème et si elles sont prêtes à tolérer les risques d’ici là », souligne Phani Dasari.
Le vice-président insiste également sur le besoin d’inclure des dispositions contractuelles pour autoriser les vérifications à d’autres moments que lors de l’évaluation annuelle afin de déterminer si le tiers a réglé les problèmes soulevés par l’entreprise (ou est en voie de le faire).
Les nouveaux risques posés par le télétravail
Considérant les conditions de travail actuelles et les répercussions de la pandémie sur les tiers, Phani Dasari affirme que les risques ont changé depuis que certains employés ont été obligés d’apporter des renseignements confidentiels à la maison. Il souligne notamment que les employés des tiers sont à risque d’être victimes de tentatives d’hameçonnage et d’installer des logiciels malveillants sur leur ordinateur. Il affirme d’ailleurs que les fournisseurs externes devraient obliger leurs employés à seulement utiliser leurs équipements pour le travail afin de réduire les risques d’atterrir sur un site Web malveillant.
Phani Dasari conseille aux entreprises de demander à leurs fournisseurs tiers de présenter la manière dont ils prévoient de sensibiliser leurs employés à de tels risques ainsi que les mesures qu’ils ont adoptées pour réduire les effets néfastes potentiels liés à une attaque ou à une brèche de sécurité.
Par-dessus tout, Phani Dasari insiste sur l’importance de la communication pour bien comprendre les risques que les tiers représentent et ceux auxquels ils sont exposés. Par exemple, dès le début de la pandémie, l’équipe du vice-président a communiqué avec tous ses fournisseurs pour déterminer s’ils étaient en mesure de garder à flots leur entreprise pendant les 120 prochains jours et si leur plan de continuité des activités allait être efficace pour affronter la situation.
Bien que certaines entreprises négligent la gestion des risques liés aux fournisseurs tiers, toutes les organisations, peu importe leur taille, doivent envisager de consacrer du temps et de l’énergie à la vérification de leurs fournisseurs. La plupart des tiers ont les ressources nécessaires pour gérer leurs risques de manière proactive, mais vous ne perdez rien à évaluer et à confirmer la présence d’un plan robuste de gestion des risques.
En savoir plus
Écoutez ce balado (en tout temps disponible en anglais) : Cybersecurity in the Workplace. Avec le télétravail comme nouvelle norme, nous sommes plus susceptibles que jamais de subir des cyberattaques. Le cybercriminel d’aujourd’hui est hyper sophistiqué, et en ce qui concerne les brèches de sécurité, il n’est plus question de savoir si elles se produiront, mais plutôt quand elles auront lieu. Écoutez ce conférencier de Ted Talk, Andre Boysen, éminent spécialiste mondial en sécurité informatique, parler de la prévention des brèches de cybersécurité, des vulnérabilités de votre système informatique, de la protection des données sensibles et de ses principales prédictions en matière de cybersécurité pour 2021.
Apprenez-en plus sur l’engagement d’ADP envers la vie privée et lisez notre document de position (en anglais seulement), ADP : Ethics in Artificial Intelligence, que l’on retrouve sous la section Intelligence artificielle, données et éthique de la page Confidentialité chez ADP.