Pourquoi vous pouvez avoir plusieurs engagements avec un seul tiers

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 3 minutes de lecture

    • Lors de l’intégration d’un tiers particulier, vous pouvez effectuer un engagement distinct pour chaque type de relation distinct que vous avez avec le tiers. L’un des engagements consiste à évaluer le risque lié au développement par le tiers d’un logiciel pour votre organisation et un engagement distinct concerne le service de gestion des installations qu’il fournit.

    Différents engagements d’un même tiers peuvent nécessiter différents niveaux d’évaluation des risques

    Remarque :
    La première étape interne après l’approbation d’une demande d’engagement consiste à lancer le processus IRQ pour définir le périmètre du risque en déterminant le score de risque du tiers. Un engagement commence à l’état inactif . Un engagement passe à l’état actif lorsqu’un contrat est en place ou que vous prenez part à une relation active avec le tiers.

    Différents engagements d’un même tiers peuvent nécessiter différents niveaux d’évaluation des risques en raison des variations dans la nature des services fournis, le niveau d’accès aux données sensibles ou aux systèmes critiques et l’impact potentiel sur l’infrastructure de votre organisation. En effectuant une évaluation des risques distincte pour chaque engagement, vous pouvez adapter vos stratégies et contrôles de gestion des risques pour gérer efficacement les risques associés à chaque engagement.

    Exemple : le tiers fournira deux services distincts

    Dans cet exemple, votre organisation s’engage avec un tiers pour deux services distincts :
    Service : Engagement de développement logiciel
    Le tiers est responsable du développement d’une application logicielle personnalisée pour l’institution financière. Cet engagement implique que le tiers accède aux données client sensibles et les traite, s’intègre aux systèmes critiques et introduit potentiellement des changements dans l’infrastructure de l’organisation.
    Service : Gestion des Moyens Généraux
    Le tiers est également responsable de la gestion de la sécurité physique et de l’entretien des immeubles de bureaux de l’institution financière. Cet engagement implique la mise à disposition du personnel de sécurité, la gestion des systèmes de contrôle d’accès et la confirmation de la sécurité et de la maintenance globales des installations.
    Les services présentent des profils de risque différents et nécessitent des missions d’évaluation des risques distinctes :
    Engagement pour le service de développement logiciel

    Cet engagement implique un niveau de risque plus élevé en raison des facteurs suivants :

    • Accès aux données sensibles : le tiers a accès aux données des clients, ce qui nécessite des contrôles stricts de protection des données et de confidentialité pour aider à prévenir les accès non autorisés ou les violations de données.
    • Intégration du système : le logiciel du tiers doit s’intégrer à des systèmes critiques, ce qui peut avoir un impact sur la stabilité, la disponibilité ou la sécurité de ces systèmes. Des procédures de test et d’assurance qualité appropriées sont cruciales pour minimiser le risque de défaillances ou de vulnérabilités du système.
    • Gestion des changements : l’introduction de nouveaux logiciels ou la modification de systèmes existants peut présenter des risques, tels que des problèmes de compatibilité, des perturbations du système ou des vulnérabilités logicielles. Des pratiques de gestion des changements et des processus de revue de code robustes sont nécessaires pour atténuer ces risques.
    Engagement pour le service de gestion des installations

    Même si cet engagement implique également le même tiers, le profil de risque est plus faible par rapport à l’engagement de développement logiciel :

    • Sécurité physique : L’accent est mis ici sur la gestion des mesures de sécurité physique, telles que les systèmes de contrôle d’accès et de surveillance. Bien qu’ils restent importants, les risques associés à la sécurité physique sont généralement plus simples et plus faciles à gérer que les risques de cybersécurité.
    • Entretien et sécurité : La responsabilité du tiers est principalement liée à l’entretien général et à la promotion d’un environnement de travail sûr. Bien qu’il existe toujours des risques associés à l’entretien des bâtiments (par exemple, les risques pour la sécurité), ils peuvent être plus prévisibles et gérables par rapport aux risques complexes de cybersécurité liés à l’engagement de développement logiciel.