Gros plan des mains tapant sur un ordinateur portable.

Tendances de risque en 2024 et par la suite : Gestion des risques TI liés aux tiers

Tendances de risque en 2024 et par la suite : Gestion des risques TI liés aux tiers

Résumé
4 minutes de lecture

Les sociétés canadiennes comptent de plus en plus sur les services technologiques d’entreprises externes. Dans de nombreux cas, l’option la plus judicieuse sur le plan financier est d’avoir recours à des tiers pour la sous-traitance du soutien TI. La vitesse fulgurante à laquelle de nouvelles technologies sont adoptées, la spécialisation accrue des experts requis pour la gestion des outils numériques et la pénurie actuelle de main-d’œuvre justifient ce choix.

Cependant, confier des renseignements confidentiels et donner accès au réseau à des prestataires de services tiers comportent des risques.

Il est donc important d’examiner et de tester les clauses de responsabilité des tiers ainsi que les permissions d’accès afin de garantir l’intégrité des contrôles de sécurité. Les organisations doivent également évaluer les menaces à la cybersécurité de façon régulière afin de trouver les maillons faibles et apporter les corrections nécessaires.

Connaissez-vous les éléments les plus vulnérables de votre entreprise à surveiller dans l’année à venir? Notre rapport sur les tendances de risque en 2024 fait l’analyse de 15 d’entre eux sur lesquels porter votre attention. Découvrez tous les risques abordés dans le rapport de cette année. 

À quel point connaissez-vous vos fournisseurs?

Les entreprises canadiennes dépendent de plus en plus d’entreprises externes pour leurs services technologiques, une tendance accentuée depuis la pandémie et propulsée par la hausse de l’innovation numérique en général. Les raisons qui justifient ce phénomène sont nombreuses.

L’une d’entre elles est que les organisations ont de la difficulté à trouver des personnes dotées du savoir‑faire nécessaire pour gérer la technologie à la vitesse à laquelle on doit l’adopter. Cette situation s’est détériorée avec la pénurie de main-d’œuvre actuelle. En effet, l’équipe des TI doit désormais se concentrer sur l’embauche pour répondre aux besoins de l’équipe, mais aussi sur le soutien offert aux autres secteurs de l’entreprise.

Il est donc fréquent que la sous-traitance des services de TI devienne l’option la plus judicieuse d’un point de vue financier. De nouveaux rôles font leur apparition et le secteur est de plus en plus spécialisé. Ce type d’expertise entraîne des coûts de plus en plus élevés. Il devient difficile de justifier l’embauche d’un employé dont les compétences ne sont probablement pas requises à temps plein.

De plus, la définition au sens large des tiers n’inclut pas uniquement les entrepreneurs et les conseillers qui réalisent les travaux. Les fournisseurs de logiciel-service sont maintenant omniprésents et s’occupent de tout, des outils administratifs au quotidien (logiciels de traitement de texte, applications de courriels, serveurs de stockage, etc.) jusqu’aux systèmes de comptabilité, de gestion des stocks et de logistique.

Les prestataires de services tiers ne se sont jamais vu confier autant de renseignements et accorder autant d’accès aux réseaux de la part des organisations. Même s’il existe des cas où la présente façon de faire est logique, voire nécessaire, le sentiment qu’il s’agit du nouveau statu quo peut facilement engendrer la complaisance.

Les clauses de responsabilité des tiers, la gestion des permissions d’accès et les évaluations en continu sur les menaces à la cybersécurité ne peuvent pas se résumer en une case à cocher lorsque les services d’un nouveau fournisseur tiers sont retenus. Ces éléments doivent être passés en revue et testés régulièrement en vue de détecter les maillons faibles causés par une trop grande dépendance aux tiers et d’y remédier.

Risques connexes

  • Exposition au risque à la cybersécurité et au risque d’atteinte à la vie privée
  • Fraude
  • Enjeux de qualité et/ou de gestion des projets
  • Pannes de systèmes

""Questions importantes à vous poser

  • Combien de nouveaux contrats avec des prestataires de services tiers votre entreprise a-t-elle conclus depuis 2020?
  • Votre organisation réalise-t-elle une évaluation de risques détaillée avant de conclure des contrats avec des tiers? La responsabilité de l’atténuation des risques est-elle identifiée dans le contrat?
  • Les plans de résilience organisationnelle et de reprise après sinistre prennent-ils en considération la responsabilité de tiers précis? Ces entreprises sont-elles prêtes à agir en votre nom en cas de besoin?
  • Les fournisseurs tiers sur lesquels vous comptez ont-ils des plans de réponse appropriés mis en place en cas de perturbations de leurs activités? Ces plans ont-ils été testés?
  • Quelles mesures avez-vous prises pour garantir l’efficacité opérationnelle et la résilience des tiers sur lesquels vous comptez?
  • Disposez-vous d’un code de conduite personnalisé et d’un programme de formations pour les prestataires de services tiers? Est-ce qu’ils comprennent des attentes touchant la cybersécurité?

""Signaux d’alerte

  • Multiples plaintes concernant les tiers
  • Dénonciation
  • Problèmes de qualité et de performance des systèmes

Audits internes à considérer

Audit de gestion des fournisseurs 
Il évalue la façon dont l’organisation choisit, surveille et gère ses fournisseurs pour s’assurer qu’ils satisfont à des critères précis, fournissent des produits et des services de qualité et se conforment aux obligations contractuelles.
Audit de conformité des fournisseurs 
Il évalue si les fournisseurs de l’organisation sont conformes ou non aux réglementations, aux normes et aux obligations contractuelles qui s’appliquent.
Audit de vérification diligente 
Il examine le processus d’évaluation et de sélection de fournisseurs ou de tiers pour identifier les risques et évaluer la durabilité de ces relations.
Audit de conformité des contrats 
Il analyse les contrats des entreprises externes pour garantir que les deux parties remplissent leurs obligations et que les accords sont conformes aux obligations juridiques et réglementaires.
Audit de la sécurité de l’information et de la confidentialité des données 
Il se concentre sur la façon dont les fournisseurs tiers de l’organisation traitent les données et les renseignements confidentiels, s’assurant ainsi que les mesures de sécurité en place sont appropriées et que les règles de confidentialité sont suivies.
Audit de la prévention de la corruption et du trafic d’influence 
Il enquête sur les relations de l’organisation avec les tiers pour garantir la conformité avec les lois et la réglementation portant sur la lutte à la corruption, assurant ainsi une protection contre les pratiques contraires à l’éthique.
Audit financier des opérations avec des tiers 
Il examine les opérations financières et les paiements à l’ordre des tiers dans l’objectif de déceler toute irrégularité ou indication de fraude potentielle.
Audit de la performance et du niveau de service 
Il évalue la performance des fournisseurs tiers concernant la livraison des produits et des services selon les accords sur le niveau de service convenu.
Audit du plan de continuité des activités et de reprise après sinistre 
l évalue si le fournisseur tiers a mis en place des plans et des mesures adéquates pour assurer la continuité des activités et la reprise en cas d’urgence ou de catastrophe.
Audit de l’éthique et de la responsabilité sociale 
Il évalue les politiques et les pratiques des fournisseurs tiers sur les plans de l’éthique et de la responsabilité sociale, comme les pratiques de travail, la durabilité et la diversité.
Audit de l’évaluation et de la gestion des risques liés aux tiers 
Il analyse les façons dont l’organisation détermine, évalue et atténue les risques liés aux relations avec les prestataires de services tiers.

Les risques : tendances pour 2024 et par la suite

Découvrez tous les risques abordés dans le rapport de cette année. 

Points de vue

  • Confiance

    Le parlement adopte le projet de loi S-211 : êtes-vous prêt à répondre à ses exigences?

    Le parlement canadien a adopté le projet de loi S-211, Loi édictant la Loi sur la lutte contre le travail forcé et le travail des enfants dans les chaînes d’approvisionnement, qui a pour but de réduire le risque de recours au travail forcé ou au travail des enfants au sein des chaînes d’approvisionnement utilisées par les entités canadiennes. Découvrez l’incidence de cette loi pour votre entreprise.

  • Confiance

    30 septembre 2024

    Cybersécurité 101 : se relever après avoir été victime d’une cyberattaque

    Les cyberattaques peuvent avoir des effets dévastateurs sur les petites entreprises, savoir comment s’en remettre peut tout changer.

  • Performance

    24 septembre 2024

    Transformez les activités de votre concession grâce aux services informatiques gérés

    Qu’ils soient courants ou inattendus, vos besoins en TI ne devraient pas vous empêcher de conclure une affaire.