Pourquoi vous pourriez avoir plusieurs engagements avec un seul tiers ?

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Lors de l’intégration d’un tiers particulier, vous pouvez mener un engagement distinct pour chaque type distinct de relation que vous avez avec le tiers. L’un des engagements consiste à évaluer le risque associé au développement par le tiers de logiciels pour votre organisation et un engagement distinct concerne le service de gestion des installations qu’il fournit.

    Différents engagements d’un même tiers peuvent nécessiter différents niveaux d’évaluation des risques

    Remarque :
    La première étape interne après l’approbation d’une demande d’engagement consiste à démarrer le processus IRQ pour définir le risque en déterminant le score de risque du tiers. Un engagement commence à l’état inactif . Un engagement passe à l’état actif lorsqu’un contrat est en place ou que vous prenez part à une relation active avec le tiers.

    Différents engagements d’un même tiers peuvent nécessiter différents niveaux d’évaluation des risques en raison des variations dans la nature des services fournis, le niveau d’accès aux données sensibles ou aux systèmes critiques, et l’impact potentiel sur l’infrastructure de votre organisation. En effectuant une évaluation des risques distincte pour chaque mission, vous pouvez adapter vos stratégies et contrôles de gestion des risques afin de gérer efficacement les risques associés à chaque mission.

    Exemple : le tiers fournira deux services distincts

    Dans cet exemple, votre organisation fait appel à un tiers pour deux services distincts :
    Service : engagement de développement de logiciels
    Le tiers est responsable du développement d’une application logicielle personnalisée pour l’institution financière. Cet engagement implique que le tiers accède aux données sensibles des clients et les traite, qu’il s’intègre aux systèmes critiques et qu’il peut apporter des modifications à l’infrastructure de l’organisation.
    Service : Gestion des Moyens Généraux
    Le tiers est également responsable de la gestion de la sécurité physique et de l’entretien des immeubles de bureaux de l’institution financière. Cet engagement comprend la mise à disposition de personnel de sécurité, la gestion des systèmes de contrôle d’accès et la confirmation de la sécurité et de l’entretien globaux des installations.
    Les services présentent différents profils de risque et nécessitent des missions d’évaluation des risques distinctes :
    Engagement pour le service de développement logiciel

    Cet engagement implique un niveau de risque plus élevé en raison des facteurs suivants :

    • Accès aux données sensibles : le tiers a accès aux données des clients, ce qui nécessite des contrôles stricts de protection des données et de confidentialité pour aider à prévenir les accès non autorisés ou les violations de données.
    • Intégration système : le logiciel du tiers doit s’intégrer aux systèmes critiques, ce qui peut avoir un impact sur la stabilité, la disponibilité ou la sécurité de ces systèmes. Des procédures de test et d’assurance qualité appropriées sont essentielles pour minimiser le risque de défaillances ou de vulnérabilités du système.
    • Gestion des changements : l’introduction d’un nouveau logiciel ou la modification de systèmes existants peut introduire des risques, tels que des problèmes de compatibilité, des perturbations du système ou des vulnérabilités logicielles. Des pratiques rigoureuses de gestion du changement et des processus de révision du code sont nécessaires pour atténuer ces risques.
    Engagement pour le service de gestion des installations

    Même si cet engagement implique également le même tiers, le profil de risque est inférieur par rapport à l’engagement de développement logiciel :

    • Sécurité physique : L’accent est mis ici sur la gestion des mesures de sécurité physique, telles que les systèmes de contrôle d’accès et de surveillance. Bien qu’ils restent importants, les risques associés à la sécurité physique sont généralement plus simples et plus faciles à gérer que les risques de cybersécurité.
    • Entretien et sécurité : La responsabilité du tiers est principalement liée à l’entretien général et à la promotion d’un environnement de travail sûr. Bien qu’il existe toujours des risques associés à la maintenance des bâtiments (par exemple, les risques pour la sécurité), ils peuvent être plus prévisibles et gérables par rapport aux risques complexes de cybersécurité liés à l’engagement de développement logiciel.