Article

Gestion des risques de tiers

Nicolas Guillaume
By:
Gestion des risques de tiers
RSE, cyber, Métavers… même combat ?

Face aux obligations réglementaires (loi Sapin 2, devoir de vigilance) ainsi qu’aux soubresauts économiques et internationaux (sanctions, gels des avoirs, états fiscalement non coopératifs…), le tableau de bord du dispositif d’évaluation des tiers peut vite être « en surchauffe ». Conscientes de ces enjeux, nos équipes Business Risk Services ont eu à cœur d’explorer, à travers une série de webinars*, les 3 thématiques majeures ou émergentes en termes d’identification et de gestion des risques de tiers : les risques RSE, risques cyber, et ceux présents au sein du web 3.0.

Commençons par les spécificités en matière de gestion des risques RSE. Notre expertise plurielle sur le sujet nous permet d’intervenir sur l’ensemble de vos thématiques : conformité, achats responsables, due diligences, reporting réglementaire… L’intégration récente du cabinet Primum Non Nocere® nous renforce dans cette activité, devenue le 6ème métier du cabinet.

Afin d’assurer la mise en place d’une approche sur-mesure de ce risque, la réalisation d’une cartographie devient un prérequis quant à la définition d’un plan d’action efficace, notamment dans le cadre du dispositif d’évaluation des tiers. Pratique démocratisée avec les obligations liées à Sapin 2, la collecte d’information et l’analyse des risques de tiers a priori de la contractualisation se réalise aussi sur des thématiques liées aux droits humains ou environnementaux.

Différents indexes et notations permettent de structurer une analyse quantitative du risque fournisseurs (indice pays, activité…) tandis que les bases de données fournissent des informations qualitatives permettant d’aborder des notions de réputation et de condamnations sur ces mêmes enjeux. Il apparaît cependant que ces outils, connus et efficaces pour agir sur un certain nombre d’autres obligations réglementaires, sont restreints pour la thématique RSE. Assurer le déploiement d’un dispositif d’évaluation des tiers RSE nécessite des actions et une méthodologie complémentaire.

Dans le cadre de la mise en place d’une politique d’achats responsables, différentes thématiques de risque peuvent être à analyser dont :

  • La composition des produits,
  • L’énergie consommée pour la production, et le transport du produit,
  • L’impact polluant,
  • La présence d’emballages directs et indirects…

Si notre conviction réside dans le fait que l’évaluation des tiers doit avant tout rester un dispositif gradué et proportionnel, force est de constater que face à la pluralité des risques à évaluer, un choix doit être opéré, afin de déployer de façon progressive la méthodologie d’analyse sur les natures de risques prioritaires pour l’entreprise.

Ces thématiques RSE nécessitent la captation d’informations spécifiques, la plupart du temps non disponibles au sein des outils et systèmes d’évaluation dédiés aux enjeux de conformité. Il devient alors nécessaire de mobiliser d’autres approches : questionnaires, interview, voire audit.

Ce changement de positionnement impacte également la manière de déployer la méthodologie retenue. Initialement perçu comme intrusif, l’emploi de questionnaire, ou l’accès direct à un tiers, se révèlent désormais comme pouvant être une approche collaborative, bénéficiant in fine à chacune des parties prenantes, et permettant la captation d’informations nécessaires à l’estimation du niveau de risque.

Ces impacts et évolutions méthodologiques, nous les avons également constatés sur deux autres thématiques : le risque cyber et le web 3.0.

Le risque cyber fait plus que jamais partie du « Top 5 » des risques auxquels toutes les organisations sont exposées. Nos clients nous demandent de plus en plus d’intégrer les risques cyber dans le périmètre des évaluations, que ce soit pour se conformer aux exigences du RGPD, ou plus largement dans le cadre de leur politique de sécurité informatique.

L’établissement d’un profil de risque a priori sur une partie prenante externe se réalise grâce à des techniques d’évaluation connues, dont l’OSINT (open-sources searches), permettant de capter de façon non intrusive des informations relatives :

  • Aux logiciels malveillants pouvant représenter une menace,
  • A l’identification des fuites d’informations (sur le clear / deep / dark web),
  • A l’analyse des noms de domaines et market place associée.

Par contre, au regard de la nature très évolutive du risque cyber, les aspects de monitoring deviennent un enjeu certain dans la gestion de ces risques. Ici aussi, la méthodologie de gestion à risque à déployer évolue au regard de la menace et de l’environnement dans lequel cette dernière peut apparaître et déstabiliser l’organisation. La correcte identification et maîtrise de ses risques participe également à la construction d’une nouvelle relation contractuelle avec ses tiers.

Au sein du Métavers enfin, où des cyber-squatters s’approprient une image officielle pour conduire leurs opérations, la protection de noms de domaine, et la sécurisation de son image deviennent un enjeu d’identification et de relation de confiance. Une complexité d’autant plus forte alors que l’anonymat est une composante intrinsèque à cet univers, et face à une régulation qui tarde à se structurer, certains acteurs privés cependant conscients des enjeux, commencent à déployer des solutions d’identification similaires aux évaluations KYC réalisées au sein des professions bancaires réglementées.

Ces trois webinars ont permis aux participants de prendre conscience du caractère très divers des méthodologies à mettre en œuvre, ainsi que de l’étendue des compétences à mobiliser pour implémenter une gestion efficace des risques de tiers. Que ce soit pour les risques prioritaires RSE ou cyber ou pour ceux émergents du web 3.0, nos équipes se tiennent prêtes à relever ces nouveaux défis, et à vous accompagner dans la sécurisation de vos relations d’affaires.

*Nos webinars :