Apprenez à créer un tableau de bord d’évaluation des fournisseurs, à automatiser les questionnaires d’assurance et à détecter les zones de risque pour l’organisation causées par un fournisseur.
La validation des fournisseurs tiers est devenue une partie intégrante des stratégies de cybersécurité, de approvisionnement, de conformité et de chaîne d’approvisionnement. Précédemment, nous avons discuté des pratiques générales derrière le tableau de bord d’évaluation; dans cet article, nous discuterons de la création d’un tableau de bord d’évaluation des fournisseurs, en utilisant la gestion des risques des fournisseurs comme exemple.
Vendor Risk Management Scorecard. Nous allons démontrer comment :
- Définir les critères d’évaluation,
- Calculer le score de sécurité global,
- Recueillir les preuves requises,
- Suivre les scores de sécurité de manière dynamique, et
- Aligner les résultats avec d’autres tableaux de bord fonctionnels.
Tendances de validation des fournisseurs : quantification et processus continu
Définir l’ensemble des critères d’évaluation
Suivez les meilleures pratiques actuelles pour définir l’ensemble des critères d’évaluation pour la fiche d’évaluation des risques fournisseurs.
Cela peut inclure :
Existence d’un programme formel de cybersécurité
Mise en œuvre de l’authentification multifactorielle
Tests réguliers de vulnérabilité
Adoption de la pratique du « moindre privilège »
Conformité SOC 2 du centre de données
Chiffrement des données en transit et au repos
Assurance cybersécurité
Systèmes de prévention et de détection d’intrusion
Formation de sensibilisation à la cybersécurité
Violations de données signalées
Le nombre de violations de données signalées
Selon le type de critères, ils peuvent être configurés comme :
- Binaire – avec des états possibles « oui » ou « non ».
- Quantitatif (par exemple, mesuré en %) ou qualitatif (choix naturel ou échelle de Likert).
- Les critères peuvent être optimisés pour la maximisation (comme le % d’employés ayant suivi la formation de sensibilisation à la cybersécurité) ou la minimisation (comme le nombre de violations de données).
En savoir plus sur les meilleures pratiques pour gérer la fiche d’évaluation.
Dans BSC Designer :
- Passez à l’espace de travail stratégie.
- Accédez à Nouveau > Nouvelle fiche > Plus de modèles…
- Utilisez le modèle de fiche « Gestion des risques fournisseurs ».
Attribuer un poids en fonction des profils de risque
Pondérez les critères d’évaluation selon le profil de risque du fournisseur.
Par exemple :
- Les fournisseurs ayant accès à des informations sensibles auront un poids élevé pour des critères comme « Assurance cybersécurité » ou « Violations de données signalées », tandis que
- Les fournisseurs n’ayant pas accès à des informations sensibles auront un poids élevé pour des critères plus courants comme « Authentification à plusieurs facteurs » et la mise en œuvre de la pratique du « Moindre Privilège ».
Dans BSC Designer :
- Sélectionnez un critère d’évaluation.
- Passez à l’onglet Performance.
- Ajustez le poids pertinent dans la propriété Poids.
Construire la hiérarchie des fournisseurs
Regroupez les fournisseurs en une hiérarchie basée sur le niveau du fournisseur. Propagez les critères d’évaluation pour chaque fournisseur.
Dans BSC Designer :
- Créez des groupes en utilisant le bouton « Ajouter »,
- Copiez et collez un ensemble de critères d’évaluation dans chaque groupe, et
- Renommez l’ensemble pour qu’il corresponde au nom du fournisseur.
Lors de la copie et du collage, envisagez d’utiliser l’option « Coller et synchroniser » pour vous assurer que les répliques des critères d’évaluation restent synchronisées avec le modèle original. Toute modification du modèle sera automatiquement propagée aux critères d’évaluation pour des fournisseurs spécifiques.
Créer et distribuer des questionnaires
Préparez et distribuez des questionnaires de sécurité aux fournisseurs, puis importez les résultats dans le tableau de bord de gestion des risques des fournisseurs.
Pour préparer un questionnaire :
- Ouvrez un tableau de bord.
- Sélectionnez un ensemble de critères.
- Sélectionnez Outils > Exporter les données.
- Cochez les cases : « Exporter uniquement l’élément actuel » et « Inclure les éléments enfants ».
- Utilisez l’option « Exporter comme modèle ».
- Cliquez sur « Suivant » pour finaliser l’exportation.
N’hésitez pas à adapter le modèle résultant à vos besoins. Par exemple, renommer la colonne « Valeur » en « Réponse » et fournir toute recommandation pertinente aux répondants du questionnaire.
Initier l’évaluation des fournisseurs
Évaluez les fournisseurs en fonction des critères d’évaluation pour identifier les vulnérabilités pertinentes.
- Saisissez manuellement les scores d’évaluation dans le tableau de bord ou
- Importez-les à partir d’une feuille de calcul Excel pour le questionnaire d’auto-évaluation par le fournisseur.
Joignez les preuves pertinentes fournies par le fournisseur, telles que les certifications et les politiques en pratique.
Dans BSC Designer :
- Mettez à jour les scores manuellement via l’onglet Données.
- Utilisez Outils > Exporter les données pour exporter les critères d’évaluation vers Excel pour l’auto-évaluation du fournisseur.
- Joignez des preuves aux critères d’évaluation ou aux plans d’atténuation articulés via la boîte de dialogue Initiatives.
Évaluation du risque fournisseur
Nous pouvons utiliser les données d’évaluation du fournisseur pour estimer le risque de violations de cybersécurité pour le fournisseur.
Dans ce cas :
- Le score total de l’évaluation du fournisseur contribuera à la probabilité du risque.
- L’impact du risque peut être estimé en fonction du rôle du fournisseur dans la chaîne d’approvisionnement.
Pour configurer cela dans BSC Designer :
- Cliquez sur Ajouter – Ajouter un risque.
- Cliquez sur le bouton Source de données pour l’indicateur de probabilité.
- Modifiez la formule en : 100-%[Fournisseur 1] (plus le progrès du fournisseur selon le tableau de bord est élevé, plus la probabilité du risque est faible).
Ajoutez le diagramme de risque au tableau de bord pour visualiser l’ensemble du paysage des risques :
Surveillance continue des risques
Suivez les changements dans les scores d’évaluation des fournisseurs au fil du temps, tels que les modifications des certifications pertinentes ou le nombre de violations de données.
- Définir la période de révision pour chaque critère d’évaluation
- Surveiller les problèmes pertinents pour les critères d’évaluation.
- Planifier l’amélioration des scores d’évaluation des fournisseurs.
- Planifier le déréférencement des fournisseurs.
Tableau de bord d'évaluation. Dans BSC Designer :
- Configurer l’intervalle de mise à jour pour un indicateur via l’éditeur de valeurs
- Utiliser l’éditeur de valeurs pour attribuer des scores à des dates spécifiques.
- Utiliser les colonnes dynamiques pour voir comment le score évolue au fil du temps.
- Utiliser les initiatives pour suivre les violations de données et les actions d’atténuation — mettre à jour le statut et la durée.
- Utiliser les commentaires pour le score afin de suivre les problèmes et les initiatives pour cartographier les plans d’amélioration.
Alignement avec la stratégie
Alignez la fiche d’évaluation des risques des fournisseurs avec d’autres fiches de stratégie et de fonction, telles que celles de gouvernance ou de conformité.
- Utilisez le score global de risque du portefeuille de fournisseurs.
- Utilisez les scores de risque de fournisseurs spécifiques.
- Faites des liens croisés entre les initiatives de diverses fiches d’évaluation.
Un bon exemple de la nécessité d’un alignement stratégique est l’IA. Même si votre organisation ne prévoit pas de mettre en œuvre des technologies d’IA, elle sera très probablement affectée par leur utilisation par des fournisseurs tiers et la chaîne d’approvisionnement. Une fiche d’évaluation des fournisseurs doit être alignée avec la fiche fonctionnelle de gouvernance de l’IA.
Dans BSC Designer :
- Copiez l’élément de score fournisseur et collez-le dans la fiche d’évaluation pertinente.
- Sélectionnez l’option « Lier par données » ou « Lier par contexte ».
Session : 'Managing Evaluation Scorecards with BSC Designer' est disponible dans le cadre du programme d'apprentissage continu de BSC Designer, proposé à la fois en atelier en ligne et sur site. En savoir plus....
Conclusions
Dans cet article, nous avons discuté des étapes pour créer une fiche d’évaluation de la gestion des risques fournisseurs :
- Définition des critères d’évaluation
- Attribution de poids en fonction du profil de risque du fournisseur
- Surveillance continue des risques
- Alignement du score de risque fournisseur avec d’autres fiches d’évaluation
En savoir plus sur des mécaniques plus spécifiques des fiches d’évaluation.
Utiliser le modèle Vendor Risk Management Scorecard
BSC Designer aide les organisations à mettre en œuvre leurs stratégies complexes :
- Inscrivez-vous pour un plan gratuit sur la plateforme.
- Utilisez le modèle
Vendor Risk Management Scorecard comme point de départ. Vous le trouverez dans Nouveau > Nouveau tableau de bord > Plus de modèles. - Suivez notre Système de mise en œuvre stratégique pour aligner les parties prenantes et les ambitions stratégiques dans une stratégie globale.
Commencez dès aujourd'hui et voyez comment BSC Designer peut simplifier la mise en œuvre de votre stratégie !
Alexis Savkin est un consultant senior en stratégie et le PDG de BSC Designer, une plateforme de tableau de bord équilibré. Il possède plus de 20 ans d’expérience dans le domaine, avec une formation en mathématiques appliquées et en technologies de l’information. Alexis est l’auteur du « Système de mise en œuvre de la stratégie ». Il a publié plus de 100 articles sur la stratégie et la mesure de la performance, intervient régulièrement lors d’événements sectoriels, et son travail est fréquemment cité dans la recherche académique.