Quelles sont les meilleures pratiques pour réduire les risques de sécurité vis à vis des fournisseurs tiers ?

Quelles sont les meilleures pratiques pour réduire les risques de sécurité vis à vis des fournisseurs tiers ?

mars 30, 2020 Non Par samantha

Bénéficiez des conseils d’experts sur la façon d’atténuer le risque d’atteinte à la protection des données de votre entreprise causée par des fournisseurs tiers.

De plus en plus d’entreprises déchargent leurs opérations internes vers des fournisseurs tiers. L’incitation ? Cela permet d’économiser de l’argent. Le transfert des fonctions permet également aux entreprises de se concentrer sur leurs compétences de base. Cependant, le plus souvent, décharger une fonction signifie aussi donner à une organisation externe différents degrés d’accès au réseau et/ou aux données de l’entreprise. Et comme vous le savez tous, cela peut mener à des problèmes.

Beaucoup d’entreprises confrontées à des problèmes de fournisseurs tiers cooptés sont équipées de services informatiques et de sécurité à part entière. Vous pouvez vous demander où cela laisse les petites entreprises avec peu ou pas d’expertise en technologie de l’information et en sécurité. Il est intéressant de noter que cela signifie généralement qu’il faut compter sur les consultants de fournisseurs tiers pour l’aider à configurer et à maintenir tous les besoins informatiques nécessaires, ce qui signifie bien sûr un accès plus à distance.

Comment diminuer les problèmes d’accès des fournisseurs tiers ?

Lise Kahn Lite qui a écrit pour « Les revues d’affaires », offre la suggestion suivante : « Un bon programme de gestion des fournisseurs peut permettre à une entreprise d’atténuer les risques, d’aider à contrôler les coûts et de favoriser l’excellence du service pour maximiser la valeur de ses fournisseurs. »

Quant à ce qui constitue un bon programme de gestion des fournisseurs, Kahn Lite fait appel à George Raie, un directeur de la sécurité de l’information chez GIAMBRA Consulting, pour faire la lumière sur ce que cela signifie.

Gérez le processus de sélection

La première préoccupation de M.Raie concerne les services qu’il envisage d’externaliser. Quel type d’accès à l’information les fournisseurs tiers auront-ils ? Si un fournisseur envisagé aura accès à des données sensibles comme les renseignements sur les clients ou les dossiers financiers de l’entreprise, un examen plus approfondi au cours du processus de sélection est conseillé. « Faites preuve de diligence raisonnable », suggère M.Raie. « Prenez votre temps pour choisir un fournisseur en créant une liste d’entreprises possibles, en évaluant leurs propositions et en examinant vos besoins pour trouver un bon fournisseur. »

Voici d’autres suggestions de notre spécialiste.

  • Examinez les antécédents en matière de crédit des fournisseurs potentiels.
  • Demandez depuis combien de temps l’entreprise existe.
  • Déterminez si l’entreprise a eu des problèmes juridiques ou financiers.
  • Examinez les pratiques internes du fournisseur potentiel en matière de sécurité.
  • Vérifiez s’ils ont mis en place des politiques complètes de sécurité de l’information et des plans de reprise d’activité.
  • Demandez-leur s’ils effectuent régulièrement des sauvegardes de données, des vérifications internes de sécurité et des vérifications des antécédents des employés qui auront accès aux données des clients.

Comprenez les contrats des fournisseurs

M.Raie conseille que les contrats soient transparents, flexibles et concis. La flexibilité est essentielle si jamais il faut changer de fournisseur. Les contrats doivent comprendre les éléments suivants :

  • les services fournis,
  • la durée du contrat,
  • les clauses de confidentialité,
  • le droit de vérification,
  • les plans d’urgence.

« En tant que propriétaire d’entreprise, il est important de comprendre les accords de niveau de service, y compris les ramifications pour les fournisseurs qui ne les respectent pas », explique M.Raie. « Il est également utile de mettre en place des procédures d’étape de clôture, au cas ou une relation avec un fournisseur prendrait fin. » Il faut bien mentionner qu’il est important de garder une copie du contrat hors site en cas de sinistre.

Surveillez le rendement des fournisseurs

M.Raie estime qu’il est important de poser les questions suivantes à des intervalles réguliers.

  • Le fournisseur respecte-t-il les conditions de l’accord de prestation de services ?
  • Les délais sont-ils respectés ?
  • La qualité du produit ou du service est-elle conforme aux normes spécifiées ?

Poursuivez la surveillance interne

Pour détecter les problèmes tôt, M.Raie pense qu’il est important de garder une trace des finances de l’entreprise et de la sécurité des données. « C’est une bonne idée de surveiller régulièrement les comptes créditeurs et de rester au courant de ce qui se passe avec les rentrées et les sorties de fonds de votre entreprise « , mentionne M.Raie. « L’établissement d’un programme de sécurité de l’information et la mise en oeuvre de contrôles internes appropriés peuvent vous aider à déceler les problèmes potentiels, que ce soit avec les fournisseurs, les employés ou autres. »

Utilisez les ententes de non-divulgation des fournisseurs

Les non-divulgation des fournisseurs sont nécessaires si le fournisseur tiers a accès aux données sensibles de l’entreprise, en particulier aux données des clients. Quant à savoir pourquoi, M.Raie ajoute : « une non-divulgation des fournisseurs peut aider à protéger les données critiques de votre entreprise, que vous ne voudriez pas tomber entre les mains d’un concurrent ou du grand public « .

Les autres conseils sur le processus de sélection

Hélène Landau, un PDG d’Optimal France, qui a écrit pour « Les revues d’affaires » offre une suggestion intéressante pour les responsables de la sélection des fournisseurs tiers. « Après avoir passé 24 ans sur la scène technologique à Dax et dans les environs, de Gascogne , j’en suis venu à reconnaître les signes d’un fournisseur de qualité et les signaux d’alarme qui devraient vous faire tourner à plein régime dans la direction opposée,  » écrit Landau. « Bon nombre de ces indicateurs apparaîtront dans le premier document que vous recevrez de votre fournisseur potentiel : la proposition de soutien. » Mme.Landau recommande de faire attention à ce qui suit.

  • La clarté : Le jargon est sorti. Si le contact est déroutant, Landau suggère qu’il y a de bonnes chances que des problèmes surgissent plus tard.
  • La personnalisation : La proposition doit refléter les besoins de l’entreprise et non une proposition à l’emporte-pièce.
  • L’apparence : La façon dont la proposition est présentée est représentative des efforts déployés par le fournisseur aujourd’hui et probablement à l’avenir.

« L’apparence de votre proposition est importante parce qu’il y a généralement une corrélation directe entre l’apparence et l’effort », explique Landau. « Cela ne veut pas dire que la proposition la plus flashy est la meilleure, mais que quelques morceaux de papier en lambeaux glissés dans une chemise indiquent probablement un niveau d’engagement inférieur par rapport à un document bien formaté, minutieusement organisé, coloré et relié. »

Les références et les témoignages

Raie et Landau accordent beaucoup d’importance à ce que pensent les clients existants d’un vendeur potentiel.

  • Que pensent les clients actuels du vendeur à leur sujet ?
  • Comment s’est déroulé le processus d’intégration ?
  • Sont-ils communicatifs ?
  • Dans quelle mesure comprennent-ils à la fois le réseau du client et ses objectifs commerciaux globaux ?
  • Comment le fournisseur potentiel traite-t-il ses employés ?

Considérez l’ironie

Il se peut fort bien que les petites organisations n’aient pas le temps ou la capacité de mettre sur pied un programme de gestion des fournisseurs. Il y a cependant des fournisseurs qui offrent ce service. Si c’est un facteur à prendre en considération, vous devriez également envisager d’utiliser les conseils offerts ici pour évaluer leurs propositions et leurs offres de services.