De nombreuses organisations commencent à faire face à des perturbations ou à des interruptions de leurs activités dues à des incidents chez leurs organisations tierces. Ces incidents peuvent aller de pannes à des atteintes à la cybersécurité. Au cours des dernières années, la plupart des clients ont trouvé que la gestion de la cybersécurité de leur propre infrastructure était moins intimidante qu’auparavant. Cependant, ils continuent d’avoir de la difficulté à se protéger contre les risques provenant de leur écosystème de tiers et à gérer la cyberrésilience. Cette difficulté s’est intensifiée à mesure que la surface d’attaque s’est élargie avec l’externalisation.
Le besoin urgent du moment est de comprendre les approches et les meilleures pratiques pour intégrer votre plan de résilience d’entreprise avec la gestion des risques liés aux tiers (TPRM). L’intégration peut aider votre organisation à atténuer l’impact des perturbations susceptibles de survenir dans un environnement tiers.
Le besoin urgent du moment est de comprendre les approches et les meilleures pratiques pour intégrer votre plan de résilience d’entreprise à la gestion des risques liés aux tiers. Cette intégration peut aider votre organisation à atténuer l’impact des perturbations susceptibles de survenir dans un environnement tiers.
Impact des risques liés aux tiers sur la résilience organisationnelle
L’industrie d’aujourd’hui comprend les avantages de l’externalisation, ce qui a mené à une grande dépendance envers les tiers. En raison de cette dépendance, les organisations partagent plus de données et d’informations avec leurs tiers. Ce type d’exposition modifie la dynamique de la gestion des risques.
Si les tiers ne disposent pas d’arrangements appropriés en matière de résilience organisationnelle, ils peuvent avoir un impact significatif sur la résilience organisationnelle. Il est également important de comprendre la dépendance croissante envers les tiers pour atteindre les objectifs d’affaires. Les organisations exigent désormais des services ininterrompus, selon les ententes de niveau de service convenues, de la part de leurs tiers. Ces services doivent intégrer des pratiques solides de sécurité des données, de respect de la vie privée et de résilience organisationnelle.
Une question intimidante pour de nombreuses organisations est de savoir comment concevoir et exploiter un programme de résilience organisationnelle dans un contexte de risques introduits par les relations avec des tiers. Des événements comme des catastrophes naturelles ou des incidents de cybersécurité chez un tiers peuvent entraîner des perturbations inattendues aux activités et aux objectifs organisationnels.
Intégrer la résilience organisationnelle et la gestion des risques liés aux tiers (TPRM)
Malheureusement, seules quelques organisations ont fait des efforts raisonnables pour gérer leurs relations avec les tiers du point de vue de la résilience organisationnelle. Lorsqu’elles prennent en compte leur propre planification de la continuité des activités, ces organisations couvrent non seulement leur capacité à surmonter les perturbations, mais aussi la résilience de leur écosystème de tiers. Elles y sont parvenues en établissant une collaboration efficace et efficiente.
Intégrer la cyberrésilience et la gestion des risques liés aux tiers (TPRM) est tout à fait logique. Les organisations se sont mises à recourir de façon intensive aux tiers pour appuyer la gestion de leur infrastructure TI, la gestion d’applications, les services infonuagiques, la gestion de données, des services non liés aux TI, des produits et bien d’autres besoins.
Les organisations doivent se concentrer sur plusieurs domaines clés :
Tenir à jour un inventaire des tiers pour comprendre les sources de risque, identifier et remédier aux risques, catégoriser les tiers, surveiller la performance des tiers et gérer la cartographie des services fournis par les tiers aux processus organisationnels.
Effectuer une analyse d’impact d’affaires afin de comprendre la criticité de la relation avec le tiers et l’impact d’affaires susceptible de découler de l’indisponibilité des services fournis par les tiers.
Identifier les tiers critiques et les services qu’ils fournissent, ainsi que vérifier si le tiers est une source unique ou multi-source.
Déterminer les risques introduits par les tiers peut être complexe. Il n’existe pas de solution unique, puisque le risque introduit par chaque tiers peut être différent et doit être évalué en conséquence. Concevoir une approche basée sur les risques est la bonne façon d’identifier le risque introduit par chaque relation avec un tiers. Cette approche devrait couvrir les principaux facteurs de risque pour l’organisation afin d’identifier et d’assigner un niveau de risque aux tiers, développer des catégories/évaluations de risques et établir une méthodologie de traitement des risques.
Réviser et valider le plan de continuité des activités d’un tiers, le plan d’intervention en cas d’incident, ainsi que les programmes de formation et de sensibilisation.
Surveiller de façon proactive et continue les données provenant de sources externes de surveillance continue de la sécurité comme SecurityScoreCard, BitSight et UpGuard.
Établir des mécanismes de collaboration, au moins avec les tiers critiques. De cette façon, une organisation peut réduire les risques de résilience organisationnelle provenant de pannes chez les tiers et évaluer les plans de résilience organisationnelle des fournisseurs. Cela aidera également à combler les écarts identifiés lors du processus d’évaluation.
Inclure les bonnes clauses de sécurité dans les contrats. Celles-ci devraient contenir des exigences relatives à la résilience organisationnelle/cyber dans les contrats avec les tiers, ainsi que certains mandats tels que le droit d’audit, les exigences de sécurité, les ententes de niveau de service et les indicateurs de surveillance du rendement.
Élaborer un mécanisme et un processus efficaces pour identifier, signaler et atténuer les risques de concentration. Le risque de concentration devrait être intégré de façon transparente aux processus de risque inhérent et de risque résiduel.
Le risque de concentration peut entraîner des pannes de services et des perturbations aux services fournis par les tiers. Développer et mettre en œuvre des mécanismes de résilience organisationnelle liés aux tiers peut être difficile. Ces mécanismes peuvent aller à l’encontre des efforts stratégiques de l’organisation à recourir à des fournisseurs à source unique. Toutefois, il est essentiel pour l’équipe responsable de tenir la haute direction informée, afin que les initiatives stratégiques puissent être modifiées ou adaptées pour réduire les points de défaillance uniques et les risques de concentration liés aux tiers.
Conclusion
Dans le paysage en évolution des affaires numériques, la cybersécurité a été la pierre angulaire de tout programme robuste de gestion des risques liés aux tiers (TPRM). Cependant, à mesure que nous avançons dans des réseaux de relations tierces de plus en plus complexes, la perspective à travers laquelle nous appréhendons la gestion des risques doit s’élargir. La résilience organisationnelle s’est imposée comme un volet essentiel qui exige notre attention.
L’intégration de la résilience organisationnelle dans votre programme TPRM n’est pas seulement une nécessité, mais une stratégie. Elle permet aux organisations d’identifier, de gérer et de mesurer les risques de concentration liés aux tiers, offrant une vue d’ensemble des vulnérabilités potentielles. Il s’agit de traiter proactivement les risques de résilience organisationnelle introduits par les relations tierces, d’accroître l’efficacité et de garantir des réponses en temps opportun. Cette approche prépare également la voie à la maturation de votre programme de gestion de la continuité des activités, en favorisant une culture d’amélioration continue. Elle invite à une réévaluation de l’orientation stratégique de vos relations avec les tiers, encourageant l’adaptabilité face au changement.
Il est essentiel de se rappeler que les tiers ne sont pas que des entités externes, mais des prolongements de votre propre organisation. Les risques qu’ils présentent — qu’il s’agisse de risque technologique/cyber, de risque de concentration, de viabilité financière, de risque opérationnel (résilience organisationnelle) ou de risque de réputation — sont également les vôtres. Par conséquent, leurs plans de résilience organisationnelle et de reprise après sinistre doivent être intégrés à la structure de votre programme TPRM. Cette approche globale est la clé pour bâtir une organisation résiliente capable de prospérer dans l’incertitude.
