Cet article s’inscrit dans la série 12 principes stratégiques en gestion des risques liés au respect de la vie privée, à la cybersécurité et à l’IA. Cette série aide les entreprises canadiennes à axer leur surveillance sur des éléments qui favorisent la résilience, la responsabilisation et la conformité.
Le recours à des tiers, notamment des fournisseurs de services et des plateformes infonuagiques, est désormais au cœur des modèles d’affaires. C’est toutefois l’un des plus grands risques en matière de cybersécurité. Si solides soient vos systèmes, il suffit d’un maillon faible pour déclencher un grave incident.
Pourquoi est-ce important?
Beaucoup de cyberincidents récents découlent de vulnérabilités dans les systèmes de tiers et non dans les systèmes internes. D’où l’intérêt marqué des organismes de réglementation pour les risques de la chaîne d’approvisionnement : désormais, les entreprises doivent démontrer qu’elles surveillent rigoureusement leurs partenaires tiers.
Trop souvent, le contrôle diligent se fait uniquement à l’arrivée du fournisseur. La surveillance continue, l’exécution des contrats et la responsabilisation à l’interne sont souvent négligées. Pourtant, ces étapes sont essentielles à l’identification des risques au fil de la relation.
Ce que les équipes de direction et les conseils d’administration doivent prioriser
1. Surveillance et évaluation des risques en continu
L’évaluation des risques associés aux fournisseurs n’est pas qu’un exercice ponctuel. Les organisations doivent mettre en place des examens périodiques, des tests d’intrusion et des vérifications, surtout auprès des fournisseurs de services névralgiques.
2. Garde-fous contractuels
Les contrats avec les fournisseurs doivent renfermer des dispositions claires sur les normes de cybersécurité, les délais de signalement des incidents, les droits de vérification et le droit de mettre un terme à la relation en cas d’incident ou de non-conformité.
3. Responsabilisation à l’interne
Il faut désigner à l’interne une personne ou une équipe chargée de la gestion des risques associés aux fournisseurs. Le conseil d’administration doit vérifier la présence d’une structure de gouvernance et de procédures d’escalade en cas de problème.
Dernières réflexions
Quand vous déléguez une tâche, vous en demeurez responsable. Le conseil d’administration doit s’assurer que les risques associés aux tiers sont intégrés au cadre de gestion des risques de l’entreprise et traités avec sérieux, comme les risques internes.
