Pourquoi vous pouvez avoir plusieurs engagements avec un seul tiers

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 3 minutes de lecture

    • Lors de l’intégration d’un tiers particulier, vous pouvez effectuer un engagement distinct pour chaque type de relation que vous entretenez avec le tiers. L’un d’eux consiste à évaluer le risque lié au développement par le tiers d’un logiciel pour votre organisation et un engagement distinct concerne le service de gestion des installations qu’il fournit.

    Différents engagements d’un même tiers peuvent nécessiter différents niveaux d’évaluation des risques

    Remarque :
    La première étape interne après l’approbation d’une demande d’engagement consiste à démarrer le processus IRQ pour définir le périmètre du risque en déterminant le score de risque du tiers. Un engagement commence à l’état inactif . Un engagement passe à l’état actif lorsqu’un contrat est en place ou que vous participez à une relation active avec le tiers.

    Différents engagements d’un même tiers peuvent nécessiter différents niveaux d’évaluation des risques en raison de différences dans la nature des services fournis, le niveau d’accès aux données sensibles ou aux systèmes critiques, et l’impact potentiel sur l’infrastructure de votre organisation. En effectuant une évaluation des risques distincte pour chaque engagement, vous pouvez adapter vos stratégies et contrôles de gestion des risques afin de gérer efficacement les risques associés à chaque engagement.

    Exemple : le tiers fournira deux services distincts

    Dans cet exemple, votre organisation fait appel à un tiers pour deux services distincts :
    Service : engagement de développement logiciel
    Le tiers est responsable du développement d’une application logicielle personnalisée pour l’institution financière. Cet engagement implique que le tiers accède aux données sensibles des clients et les traite, les intègre aux systèmes critiques et apporte éventuellement des changements à l’infrastructure de l’organisation.
    Service : Gestion des Moyens Généraux
    Le tiers est également responsable de la gestion de la sécurité physique et de l’entretien des immeubles de bureaux de l’institution financière. Cet engagement implique la mise à disposition de personnel de sécurité, la gestion des systèmes de contrôle d’accès et la confirmation de la sécurité et de la maintenance globales des installations.
    Les services présentent des profils de risque différents et nécessitent des missions d’évaluation des risques distinctes :
    Engagement pour le service de développement logiciel

    Cet engagement comporte un niveau de risque plus élevé en raison des facteurs suivants :

    • Accès aux données sensibles : le tiers a accès aux données des clients, ce qui nécessite des contrôles stricts de protection des données et de confidentialité pour empêcher les accès non autorisés ou les violations de données.
    • Intégration système : le logiciel du tiers doit s’intégrer à des systèmes critiques, ce qui peut avoir un impact sur la stabilité, la disponibilité ou la sécurité de ces systèmes. Des procédures de test et d’assurance qualité appropriées sont essentielles pour minimiser le risque de défaillances ou de vulnérabilités du système.
    • Gestion des changements : l’introduction de nouveaux logiciels ou des modifications apportées à des systèmes existants peuvent présenter des risques, tels que des problèmes de compatibilité, des perturbations du système ou des vulnérabilités logicielles. De solides pratiques de gestion des changements et des processus d’examen du code sont nécessaires pour atténuer ces risques.
    Engagement pour le service de gestion des installations

    Même si cet engagement implique également le même tiers, le profil de risque est plus faible par rapport à l’engagement de développement logiciel :

    • Sécurité physique : L’accent est mis ici sur la gestion des mesures de sécurité physique, telles que le contrôle d’accès et les systèmes de surveillance. Bien qu’ils soient toujours importants, les risques associés à la sécurité physique sont généralement plus simples et plus faciles à gérer que les risques de cybersécurité.
    • Maintenance et sécurité : La responsabilité du tiers est principalement liée à l’entretien général et à la promotion d’un environnement de travail sûr. Bien qu’il existe toujours des risques associés à la maintenance des bâtiments (par exemple, des risques pour la sécurité), ils peuvent être plus prévisibles et gérables que les risques de cybersécurité complexes liés à l’engagement de développement logiciel.