Par Aprovall
Il y a quelques semaines la MAIF annonçait à ses clients que certaines de leurs données sensibles avaient fuitées. Puis ce fut au tour du Groupe Banque Populaire Caisse d’Épargne et quelques jours plus tard, au tour d’AXA. Ces grandes institutions financières ont en commun le même fournisseur de logiciels de gestion de patrimoine, qui a été victime d’une cyber-attaque.
Le risque fournisseurs est un risque. Ces 3
dernières années, les entreprises ayant subi des perturbations importantes, des
pertes financières ou des atteintes à la réputation à cause d’un tiers
représentent 38% selon une étude KPMG.
Afin de mieux
comprendre les enjeux du risque tiers, nous nous sommes entretenus avec
Emmanuel Poitevin Fondateur de la société Aprovall, société française
spécialisée dans la gestion des risques tiers
En quoi consiste la
gestion des risques tiers ?
Chaque organisation,
petite, grande, publique ou privée, va à un moment donné travailler avec un
fournisseur, un distributeur, un sous-traitant… un tiers. Ces tiers jouent un
rôle plus ou moins stratégique dans le développement de l’organisation. Mais ils
peuvent aussi représenter un risque plus ou moins grand. Ils peuvent être la
cible de cyber attaques, ou dans un tout autre style, avoir recours à du
travail dissimulé ou encore être situés dans une zone de guerre.
Pour une organisation
il est essentiel d’identifier, d’évaluer et de mitiger les risques. Déjà car
c’est une obligation légale. La loi de 2017 sur le devoir de vigilance des
société mères et des entreprises donneuses d’ordres a été une véritable prise
de conscience : l’évaluation des tiers doit être rigoureuse, et il ne faut pas
fermer les yeux sur les tiers des tiers, des tiers… Aujourd’hui les sociétés
doivent faire face à une flambée réglementaire dans différents domaines : CSRD,
RSE, DORA, NIS2… Mais l’aspect légal n’est pas le seul enjeu. Une société doit
être en mesure de continuer son activité quelle que soit la situation, elle
doit être résiliente. Pour y parvenir, elle doit bien comprendre les risques
auxquels elle est exposée et faire en sorte de les atténuer le plus possible.
Vous ne pouvez pas vous préparer à quelque chose que vous ne connaissez pas.
Quels types de société
font appel à vos services ?
On travaille avec tous
types d’organisations au sens large, privées ou publiques. Tout secteur
d'activité, de toute taille, avec des enjeux différents. Forcément on travaille
avec de grands groupes internationaux qui ont des tiers partout dans le monde. Mais
aussi avec des entités publiques qui vont faire appel à nos services dans le
cas de la commande publique. Principalement des organisations qui ont déjà une
certaine taille et un certain niveau de maturité. Mais les enjeux de sont pas
les mêmes. Parfois on fait appel à nous quand la crise a éclaté. Ça peut être
une crise réputationnelle, une fraude… il faut agir vite et mettre en place une
évaluation complète de leurs tiers très rapidement. Il nous faut généralement
seulement 2 mois, c’est extrêmement rapide. Il faut s’assurer de la fiabilité
des partenaires, fournisseurs et sous-traitants. Les plateformes de TPRM /
TPGRC vont permettre d’évaluer leurs niveaux de conformité et leurs capacités à
répondre aux exigences, mais aussi leur engagement sur des thèmes critiques
comme le domaine financier (solvabilité), la conformité réglementaire, et la
cybersécurité.
Quels sont les domaines
où vous êtes le plus sollicités par les sociétés ?
C’est assez fluctuant…
c’est d’ailleurs très intéressant, c’est un miroir de la société et de ses
enjeux. Je dirais les domaines de la cyber-sécurité, la conformité, et de la
RSE. Il y a principalement deux sujets importants en RSE qui sont la décarbonation
et la gestion du cycle de l'eau qui est devenu un vrai sujet. On commence aussi
à voir apparaître l'économie circulaire et puis les droits humains dans
certains secteurs.
Mais le sujet le plus
présent dans toutes les organisations, depuis toujours ce sont les défaillances
d'entreprises. La période économique n’est pas simple, notamment sur des
secteurs comme le bâtiment, où il y a beaucoup de petites, moyennes et même des
grosses structures qui peuvent être en danger. Donc, paradoxalement, le score
financier et la surveillance de la santé financière des partenaires est
redevenue le sujet numéro 1.
Quel est rôle les
plateformes de TPRM et de TPGRC ?
Aujourd’hui, les
sociétés font face à de nombreux challenges : beaucoup de règlementations, de
risques de différentes natures, mais sont parfois mal équipées pour y faire
face, l’évaluation des tiers est un processus fastidieux et coûteux.
Les plateformes de TPRM
et TPGRC sont très puissantes. Elles utilisent l’IA générative, sont capables
d’agréger et d’analyser énormément de données mais surtout, elles ont un suivi
en temps réel. Les plateformes de TPRM vont aider les organisations à opérer
une meilleure sélection des partenaires, un suivi continue des tiers et donc
permettre une meilleure résilience face aux risques externes. On remarque que
les besoins des entreprises se dirige de plus en plus vers des plateformes de
TPGRC. Ces plateformes offrent toujours la dimension gestion des risques du
TPRM, mais vont plus loin en offrant une dimension plus stratégique, plus
organisationnelle. Ces plateformes permettent réduire les silos d’informations
entre les différents départements, comme les achats, le sourcing, la finance,
l’audit… Il y a des indicateurs dynamiques qui permettent d’identifier les
priorités et les actions à mener.
Les sociétés ont besoin
de ces informations pour leur permettre de prendre des décisions éclairées. Les
plateformes de TPGRC facilitent les prises de décision stratégiques des
sociétés. Et ça c’est le cœur de notre métier.