/08.third-party-risk-management-maitriser-les-risques-lies-a-vos-fournisseurs/tprm.jpeg)
Blog of cyber
En tant qu’entreprise, vous vous appuyez sur de nombreux fournisseurs ou partenaires dans le cadre de vos activités. Source d’agilité et de performance, l’appel à des tiers peut aussi vous exposer à des risques et engendrer des pertes de données ou un arrêt d’activité.
Et les conséquences peuvent être multiples : financiers, réglementaires et réputationnels. In fine, 73% des entreprises françaises ont subit au moins une interruption d’activité, en raison d’un tiers.
C’est pourquoi, de nombreuses organisations s’engagent dans une démarche de gestion de risques tiers. Le Third Party Risk Management (TPRM) consiste à déployer des processus permettant d’identifier, de mesurer et de surveiller les risques potentiels d’un tiers.
Un enjeu fort qui touche toute la chaîne de production et d’approvisionnement, ainsi que tous les corps de métier d’une entreprise (RH, comptabilité, achat…)
Face à une pression réglementaire constante (RGPD, DORA, NIS 2), structurer cette démarche devient incontournable. Comment s’y prendre ? Quels outils adopter ?
Le Third Party Risk Management (TPRM) regroupe les processus et méthodes permettant “d'identifier, évaluer, gérer, surveiller et signaler les risques liés aux tiers associés aux fournisseurs, distributeurs, agents, partenaires ou autres tiers’” (définition Gartner). Il inclut aussi bien les risques de cybersécurité que la conformité réglementaire et juridique, l'approvisionnement, la gestion des fournisseurs ou le système d'informations. Autrement dit, il concerne toutes les équipes et activités travaillant de près ou de loin avec des tiers.
L’objectif est à la fois de protéger l’entreprise de perturbations liées à des ses tiers mais aussi d‘anticiper les risques afin d’assurer une poursuite d'activité.
Une entreprise s’appuie sur de nombreux tiers dans tous les domaines de son activité (fournisseurs, sous-traitants, partenaires technologiques…). Malgré les attentions portées à la santé financière ou aux process internes, le choix d’un tiers est toujours une zone de risques. Dans un contexte mondial perturbé par les guerres et les fluctuations économiques, le Third Party Risk Management doit permettre d’identifier les risques associés aux partenaires sur lesquels ils s’appuient.
Les cyberattaques se multiplient et touchent tous les secteurs d’activité : industrie, santé, administrations… En 2024, l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) a constaté une augmentation de 15 % des incidents de sécurité en entreprise par rapport à 2023. Des attaques qui peuvent mettre à l’arrêt une activité pendant plusieurs heures voire jours.
Une vulnérabilité dans un outil SaaS, un accès mal sécurisé ou une erreur humaine peuvent devenir une porte d’entrée pour les cybermalveillants. Le Third Party Cyber Risk Management (TPCRM) consiste à identifier ces défaillances ou zones de faiblesses d’un point de vue technologique et de cybersécurité et à adapter/corriger les pratiques.
Dans un contexte mondial perturbé, la robustesse financière est scrutée au peigne fin par les directions des achats. Un fournisseur qui risque de mettre la clé sous la porte ou qui n’assure pas la délivrance du produit ou du service peut vite devenir un problème.
Il s’agit aussi d’identifier les risques de corruption ou de pratiques douteuses et de vérifier la gestion responsable de l’entreprise (respect des réglementations, démarche RSE…). Le rôle du Third Party Provider est de monitorer les fournisseurs afin de détecter d’éventuels risques ou défaillances.
Selon l’étude International SOS, 75 % des décideurs interrogés indiquent les troubles politiques et sociaux comme un risque prioritaire pour leur entreprise et personnel au cours des 12 prochains mois. Les tensions géopolitiques impactent directement la gestion des fournisseurs. Sanctions, problème de transport, inéligibilité selon la zone géographique ou instabilité réglementaire fragilisent l’activité d’un tiers. D’où la nécessité de surveiller ces paramètres grâce au Third Party Risk Management.
Selon les fournisseurs, le niveau de criticité peut varier. Certains interviennent directement dans votre système d’information. D’autres manipulent des données sensibles. Enfin certains peuvent être au cœur de vos processus métiers.
Ils mettent tout en œuvre pour limiter les risques d’attaques et garantir une continuité d’activité (PCA, PRA…). Pour autant, ils peuvent héberger des données sensibles, confidentielles et personnelles, parfois hors de l’Union européenne. Leurs infrastructures (datacenter) peuvent aussi faire l'objet d'infractions ou être victime d’incendies (exemple du datacenter d’OVH à Strasbourg en 2021).
Ils interviennent directement dans votre système d’information. En cas d’accès compromis, les risques d’attaques fragilisent l’ensemble de l'infrastructure informatique. Selon une étude de Positive Technologies, 93 % des test réalisés sur les réseaux informatiques d’entreprise ont abouti à un accès au au réseau local.
Ils traitent de données confidentielles, personnelles et stratégiques (salaires, contrats, données fiscales) . L’externalisation de ces activités représente un risque en matière de fuite de données mais aussi d’erreurs de manipulation.
Un centre logistique ou de production d’un tiers peut connaître un incident. C’est alors l’ensemble de la chaîne qui peut être bloqué et impacter directement votre continuité d’activité.
Tous ces acteurs disposent de process internes garantissant une résilience opérationnelle. Certains étant plus rigoureux que d’autres, à vous de juger l’effort à produire pour surveiller ceux présentant les risques les plus élevés. Dans tous les cas, quelle que soit votre taille, vous êtes concernés par ces risques de manière plus ou moins importante. C’est le rôle du Third Party Risk Management d’accompagner cette analyse et d’identifier les priorités d’action.
Gartner prévoit que 45 % des entreprises mondiales auront subi une attaque sur leurs chaînes d’approvisionnement en logiciels en 2025. Un chiffre en forte croissance de +300 % par rapport à 2021.
L’un des exemples les plus marquants est celui de ****SolarWinds. Cette société fournit des solutions de surveillance des réseaux et des infrastructures. L’attaque de leur système à touché plus de 30 000 organisations privées et publiques. C’est la diffusion d’une mauvaise mise à jour qui a permis aux pirates de s’y introduire.
Plus récemment, la société MOVEit, une solution de transfert de fichiers, à connu un piratage massif de plus de 2 500 de ses clients. A l’origine, une vulnérabilité inconnue permettait de lancer des requêtes SQL et d’accéder aux données transférées.
Ces deux exemples démontrent la vulnérabilité que peuvent représenter les risques tiers mal maîtrisés par les entreprises. Et les conséquences sont parfois colossales sur son activité.
Au-delà des impacts juridiques, les défaillances des tiers peuvent mettre en péril l’activité de l’entreprise. Les récentes attaques d'hôpitaux tels que ceux à Corbeil-Essonnes ou de Cannes ont fortement dégradé l'accueil et la prise en charge des patients pendant plusieurs jours.
Dans les deux cas de figure, les données volées ont fait l’objet de demandes de rançon. Les attaques par ransomware deviennent courantes. En 2024, 86% des entreprises françaises ont été touchées. Parmi elles, 92% ont effectivement payé la rançon.
Enfin, ces attaques réussies ont des impacts forts sur la réputation de l’entreprise, jugée non sécurisée ou peu fiable.
Les réglementations françaises et européennes incitent les entreprises à maîtriser leur Third Party Risk Management.
Dans ce contexte, les RSSI sont devenus très attentifs à la sécurité et à la conformité des tiers technologiques. La “cybersécurité” pèse lourd dans la sélection d’un fournisseur IT. Accès aux données, protocoles d’identification, hébergement sont dorénavant des critères de choix indéniables. La gestion des risques tiers (TPRM) évolue donc vers le Third Party Cyber Risks Management (TPCRM). Les équipes CISO, Compliance et RSSI identifient les point de défaillances possibles, mesure les risques potentiels et mettent en place un monitoring continu en cas de choix du prestataire IT.
Face aux menaces cyber, les entreprises n’ont plus le choix que de se préoccuper de la gestion du risque cyber de leurs tiers. Pour ce faire, elles doivent d’abord être conscientes de leurs vulnérabilités. Cela passe nécessairement par un recensement exhaustif de leurs tiers et la classification des risques, quel que soit leur rôle dans la chaîne de valeur. Cette démarche doit être envisagée en continu, à la fois pour adopter une surveillance proactive mais aussi pour renforcer le dispositif.
La gestion du risque tiers devient donc une priorité pour les DSI et RSSI. Ils doivent évaluer les failles et risques de sécurité et définir un plan d’actions pour les corriger. Une surveillance continue permet d’anticiper ces risques dans une démarche de résilience opérationnelle numérique.
Beaucoup d’entreprises lancent leur programme de Third Party Risk Management. Cette démarche, qui repose très souvent sur l’auto-évaluation, implique une mobilisation des équipes IT dans tous les chaînons de l’activité. Chronophage, elle est surtout basée sur des éléments déclaratifs.
Pour gagner en efficience, le Third Party Cyber Risk Management intègre des solutions technologiques, basées sur l’IA, pour automatiser et optimiser chaque étape du processus TPRM.
C’est la vocation même de Board of cyber: accompagner les entreprises et organisations dans l’amélioration continue de leur performance cyber et de celle de leurs fournisseurs. Nos solutions SaaS Trust HQ et Security Rating automatisent la gouvernance cyber afin d’aider les RSSI à identifier, évaluer et corriger les risques tiers. In fine, nous apportons les outils de pilotage cyber en matière de sécurité et de fiabilité IT afin de limiter les risques de cybersécurité liés aux tiers. Ce sont déjà plus d’une centaine d’organisations qui s’appuient sur nos technologies pour piloter leur gestion des risques tiers.
Le Third Party Risk Management est dorénavant un incontournable. Le contexte normatif, réglementaire et juridique impose aux entreprises de déployer des stratégies de gestion des risques tiers. Réduction des vulnérabilités, anticiper les défaillances et s’assurer d’être en conformité guide les DSI/RSSI dans le pilotage de leurs performances cyber. Parce qu’il concerne toutes les entités de l’entreprise, le TPRM ne doit pas être une démarche ponctuelle. L’évaluation et le suivi continu des tiers sont la clé pour les organisations qui souhaitent gagner en sérénité et faire la différence. Adopter une démarche proactive et déployer les bons outils TPRM sont essentiels pour se prémunir des risques tiers et notamment ceux liés aux cyberattaques.
1. Qu’est-ce que le Third Party Risk Management (TPRM) ? Le TPRM est un processus qui permet d’identifier, d’évaluer et de gérer les risques liés aux prestataires, fournisseurs et partenaires externes. Il vise à protéger l’entreprise des défaillances et incidents subit par des tiers et d’en limiter les i:pacts sur sa propre activité.
2. Pourquoi est-il important de gérer les risques liés aux tiers ? Les entreprises font face de plus en plus à des risques d’attaques ou à des incidents sur leurs infrastructures. Ces défaillances peuvent avoir un impact direct sur le fonctionnement de l’entreprise qui s’appuie sur ce tiers et subir elle-même des perturbations.
3. Quels types de risques le TPRM couvrent-t-il ? Le TPRM couvre principalement les risques :
4. Quel est le cadre réglementaire du TPRM ? Les différentes réglementations européennes et françaises imposent aux entreprises et organisations de se prémunir des risques via une mise en conformité (RGPD, DORA, ISO 27001).
5. Quelles démarche pour structurer un programme TPRM ? Un programme TPRM repose sur :
