La gestion des tiers (TPM - Third-Party Management) permet d’améliorer la visibilité de l’entreprise sur ses relations avec les entités externes telles que les fournisseurs ou les prestataires de services. Elle vise à optimiser la valeur et à atténuer les risques associés aux tiers.

Pour savoir ce qu’est une gestion des tiers complète, il est important de comprendre où elle commence et comment elle concerne l’ensemble de l’entreprise. 

Éléments clés de la gestion des tiers :

• Les fournisseurs : ils fournissent des matières premières ou des produits non transformés en début de chaîne d’approvisionnement
• Les partenaires : ils proposent des produits ou des services plus tard dans la chaîne d’approvisionnement. Ils comprennent les partenaires technologiques.
• Les prestataires de services : ils fournissent des services ou des technologies plutôt que des produits ou des matières premières.

Tous les tiers ont accès aux systèmes de l’entreprise et à sa propriété intellectuelle, ce qui nécessite une gestion proactive des risques.

En savoir plus sur le cycle de vie de la gestion des tiers avec cet eBook à télécharger.

Évolution de la gestion du risque tiers :

• Passer de la gestion du risque à une gestion exhaustive : traditionnellement, la gestion du risque tiers se focalisait principalement sur la sécurité. On met maintenant aussi l’accent sur la protection de la vie privée, l’éthique et la résilience opérationnelle, en incluant notamment les risques émergents tels que l’IA. Cette gestion des tiers étendue implique différents métiers de l’entreprise de façon à traiter les risques opérationnels de manière exhaustive.

Le cycle de vie de la gestion des tiers : de quoi s’agit-il ?

Comme pour tout type de relation, les relations de votre entreprise avec ses tiers passent par des phases distinctes au fil du temps. Il est important d’avoir une stratégie de gestion des tiers qui prend correctement en compte chacune d’elles, ainsi qu’une solution logicielle pour aider à son déroulement. Les étapes du cycle de vie de la gestion des tiers comprennent :

1. L’intégration : établissez et tenez à jour un inventaire complet des tiers à l'aide d'intégrations logicielles ou de questionnaires.
2. La définition de l’appétence au risque : alignez la tolérance au risque de votre organisation sur ses objectifs, en impliquant les parties prenantes clés pour définir des seuils de niveaux de risque acceptable. Communiquez clairement ces limites aux tiers.
3. Le calcul du risque inhérent : évaluez les risques liés aux tiers en fonction de facteurs tels que le secteur d’activité, le pays ou la région et la performance. Comparez les risques inhérents avec l’appétence au risque de votre organisation pour décider si des mesures de contrôle supplémentaires sont nécessaires.
4. Des étapes d’évaluation :
   • Examen des données concernant le risque et la conformité : exploitez les données externes pour identifier les signaux d’alarme et les préoccupations éthiques. Les vérifications de diligence raisonnable sont essentielles pour repérer les problèmes potentiels tels que les violations des réglementations ou les pratiques contraires à l’éthique
   • Évaluation des certifications et des attestations : passez en revue les certifications des tiers (par ex. ISO 27001) pour vérifier la conformité aux normes et aux pratiques de sécurité du secteur
   • Envoi de questionnaires dynamiques : personnalisez les questionnaires pour traiter des risques spécifiques et recueillez des informations détaillées pour évaluer l’alignement par rapport à votre appétence au risque
5. L’atténuation et des mesures de contrôle du risque : analysez les réponses apportées aux questionnaires pour interpréter les implications du risque et mettre en place les mesures de contrôle appropriées. Intégrez la gestion des risques dans les documents contractuels pour adapter les protections en fonction des risques identifiés.
6. La surveillance, la réponse et la réévaluation : surveillez les activités des tiers en continu et réévaluez les risques en parallèle de l’évolution de la relation. Mettez en place des alertes et des revues régulières pour traiter les risques émergents et les changements dans l’implication des tiers
7. Le reporting et la tenue de registres : suivez et visualisez les métriques clés liées à la gestion des tiers. Maintenez des registres automatisés pour la transparence et la conformité

Rôles et responsabilités des différents secteurs de l’entreprise

Les rôles que jouent les différents secteurs de l’organisation dans la gestion des tiers sont principalement déterminés par les types de risques qui les concernent le plus. L’équipe de sécurité, par exemple, voudra savoir si les tiers ont déjà été victimes de violations de données et, le cas échéant, comment ils y ont répondu.

Chaque secteur d’activité aura ses propres besoins au regard des tiers, ce qui implique qu’il devra également disposer d’un système de rôles et de responsabilités défini, garantissant sa sécurité dans l’organisation.

Rôles des secteurs d’activité clés :

• Sécurité : se concentre sur les risques de cybersécurité associés aux tiers, notamment sur l’historique des violations de données et les mesures de protection. Cette fonction doit garantir que les tiers ont mis en place des mesures de contrôle de sécurité adéquats et qu’ils respectent les exigences en termes de continuité de activités.

• Protection de la vie privée : gère les risques liés à la protection de la vie privée et à la conformité réglementaire, en particulier concernant les données personnelles sensibles. Cette équipe collabore avec les équipes de sécurité pour protéger les données et assurer la conformité légale

• Éthique et conformité : est en charge des vérifications sur les risques liés à la réglementation et à la réputation, notamment concernant les pratiques contraires à l’éthique et les violations des politiques. Utilise des outils de diligence raisonnable et de surveillance pour identifier les éventuels problèmes.

• Achats : contribue à la sélection des fournisseurs, gère les appels d’offres concurrentiels et négocie les contrats. Ces équipes jouent un rôle clé dans la vérification initiale des tiers et la gestion du processus d’intégration

Et après ?

Une gestion efficace des tiers implique de comprendre et de gérer le cycle de vie des relations avec les entités extérieures. Elle nécessite une coordination entre les différents secteurs de compétences de l’organisation pour traiter les risques liés à la sécurité, à la protection de la vie privée, à l’éthique et à la conformité. En gérant ces relations de manière systématique et en intégrant les processus de gestion des risques, les organisations peuvent optimiser la création de valeur tout en se protégeant contre les menaces potentielles.

À propos de OneTrust Third-Party Management

OneTrust Third-Party Management permet d’avoir une meilleure visibilité des risques en termes de gestion des tiers dans l’ensemble de l’entreprise. La solution donne accès à un éventail de produits et de fonctionnalités, chacun étant conçu pour l'automatisation et le gain de temps. La solution comprend les produits Third-Party Due Diligence pour les vérifications préalables, Third-Party Risk Management pour la gestion des risques et du cycle de vie, tandis que Third-Party Risk Exchange vous permet d’accéder à des données prêtes à l’emploi sur des milliers de tiers, provenant de SecurityScorecard, de RiskRecon et d’ISS Corporate Solutions (anciennement FICO) entre autres.

Ensemble, ces produits facilitent la collaboration en toute confiance avec vos tiers, en réduisant les angles morts dans les domaines de risque, en simplifiant la conformité, en permettant un meilleur délai de valorisation lors de l’intégration et de l’évaluation des tiers, et en améliorant la résilience de l’entreprise grâce à une surveillance continue, tout en exposant les données pour une prise de décision plus rapide tout au long du cycle de vie des tiers.

Pour en savoir plus sur la façon dont OneTrust Third-Party Management peut vous aider à comprendre et à traiter les risques dans l’ensemble de votre entreprise, demandez une démonstration personnalisée dès aujourd’hui.