Articles en relation
Pour évaluer la criticité d’un fournisseur et assurer la gestion des risques fournisseurs, il est possible de créer son propre questionnaire manuel mais cette méthode peut générer des complexités d’industrialisation, de collaboration et demande beaucoup de ressources et d’investissement. Il existe aussi des solutions du marché (Panorays, Security Scoreguard, et bien d’autres...) dites clés en mains pour la gestion des risques fournisseurs. Pour le moment, l’ensemble des critères servant à définir la criticité d’un fournisseur n’a pas encore été clairement défini par la Commission européenne.
Les risques devront être en outre appréciés à plusieurs niveaux :
– les impacts métiers liés à un incident chez un tiers : quel est l’impact sur les processus métiers cœur de l’entreprise ?
– le non-respect de réglementations causées par un tiers (RGPD, PCI, SWIFT...) ;
– l’atteinte à l’image de l’entreprise en cas de défaillance du tiers, cruciale dans le secteur bancaire basé sur la confiance des clients ;
– le niveau de dépendance vis-à-vis d’un tiers pour le fonctionnement des processus métiers cœur de l’entreprise ;
– les acteurs du conseil peuvent ici apporter une plus-value grâce à leur expertise des réglementations, de l’outillage, des process clés à mettre en place et de la stratégie de conduite du changement à adopter.
Intégrer la gestion des risques fournisseurs aux savoir-faire des banques
Les entités financières ayant déjà pris des mesures pour être conformes à la directive NIS ont l’avantage d’avoir déjà des processus et des procédures présents dans DORA. Notamment la gestion des risques, la détection et la réponse aux incidents, la notification des incidents de sécurité informatiques majeurs à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
La connaissance sur la gestion des risques fournisseurs n’est pas centrée uniquement sur l’informatique mais sur l’ensemble des processus métiers et départements clés des entreprises bancaires. L’outillage sera inutile s’il n’est pas accompagné de process de gestion des risques fournisseurs et d’humains, qui vont mener la conduite du changement grâce à un appui aux métiers pour s’approprier ces process, aider à la bonne compréhension et évaluation des risques...
Les équipes chargées d’intégrer cette connaissance au savoir-faire des banques devront travailler avec les directions métier afin d’évaluer la dépendance d’un fournisseur pour la réalisation des processus métiers.
Les formations : un levier à la conduite du changement
Les formations des dirigeants sont un des leviers à la conduite du changement et sont cruciales pour les impliquer. L’ensemble du personnel, employés et directions, doit être formé au travers de programmes de sensibilisation à la sécurité informatique et la résilience opérationnelle numérique sous forme de modules obligatoires.
En pratique, la mise en place d’une démarche globale dans l’entreprise de gestion des risques fournisseurs, se rapprochant du Security by Design, va permettre d’élever le niveau de maturité des métiers et acteurs. L’implication des métiers dans les ateliers d’analyses de risques et d’identification des scénarios de risques contribuera à leur sensibilisation.
Un autre aspect est l’élaboration de process d’acceptation des risques par les directions métiers afin de favoriser la compréhension des enjeux et de responsabiliser quant aux volontés d’accepter, de refuser ou diminuer les risques avec un fournisseur.
Les acteurs habitués à la déclinaison des réglementations bancaires et à la conduite du changement pourront être des partenaires de cette transformation, cabinets d’avocats spécialisés ou cabinets de conseil.
Plusieurs approches restent possibles concernant la formation et la sensibilisation :
– la création d’un module de formation en ligne par l’entreprise, déployée sous forme de campagne de sensibilisation obligatoire pour l’ensemble du personnel peut être adaptée pour de grosses structures bancaires ;
– l’animation de session de sensibilisation en présentiel ;
– des éditeurs de logiciels se sont lancés dans l’édition de plateformes de sensibilisation à la sécurité, serious game thématique, ils peuvent appuyer ce type d’initiatives et parfois proposer des solutions clés en main (par exemple Erium, Conscio Technologies...).
