Au cours des trois dernières années, 38 % des entreprises ont subi des perturbations importantes, des pertes financières ou des atteintes à la réputation à cause d’un tiers (1). Ce chiffre résulte de l’enquête Third-Party Risk Management Outlook 2022 réalisée par le cabinet KPMG. Un an auparavant, le cabinet Deloitte révélait que plus de la moitié des organisations (51%) avaient fait face à un incident avec un tiers depuis le Covid-19 (2). Ces chiffres sont significatifs. Les risques tiers constituent une menace réelle pour les organisations publiques et privées.
La gestion des risques tiers est indissociable d’une politique de maîtrise des risques efficace. Mais qu’est-ce exactement que la gestion des risques tiers ou third-party risk management (TPRM) ? Décryptage.
Gestion des risques tiers : définition
Comme son nom l’indique, la gestion des risques tiers consiste à appliquer aux tiers les principes de la gestion des risques. L’objectif : anticiper les risques pour ne plus les subir, dans une démarche proactive.
1. En quoi consiste la gestion des risques tiers ?
Avec l’externalisation et la mondialisation, la dépendance des entreprises et des acteurs publics vis-à-vis des tiers ne cesse de croître. Cette interconnexion fragilise l’organisation. Toute défaillance d’un tiers, même lointain, peut avoir un impact sur l’organisation. C’est l’effet papillon.
Le processus de gestion des risques tiers vise à anticiper, réduire et maîtriser ces menaces en provenance des tiers.
2. Qui sont les tiers ?
Autour de l’organisation se tisse une véritable toile d’araignée. De nombreux partenaires y gravitent, à différents niveaux.
Les tiers de rang 1 sont les parties prenantes qui entretiennent des liens directs avec l’entreprise ou la collectivité. Leur relation est régie par un contrat ou un marché public. Les tiers de rang 1 sont de natures variées : fournisseurs, sous-traitants, prestataires de service, gros clients, usagers, intérimaires, consultants, partenaires commerciaux, délégataires, titulaires de marchés publics, maîtres d’œuvre, bureaux d’étude, franchisés, revendeurs, négociants, investisseurs, co-entreprises, bénéficiaires de subventions ou de mécénat, syndicats, lobbyistes, etc.
À ces tiers de rang 1 s’ajoutent des tiers de rang 2, de rang 3, de rang 4, etc. Ce sont les tiers des tiers.
Le nombre de tiers d’une organisation peut être très élevé en fonction de la taille et de l’activité de l’organisation. L’enjeu ? Repérer les tiers présentant les menaces les plus critiques pour prioriser le programme de gestion des risques tiers.
Quels sont les risques auxquels les tiers exposent l’organisation ?
Dans un monde instable et imbriqué, les menaces sont nombreuses. Trois principaux risques ressortent de l’étude sur la gestion des risques tiers 2023 réalisée par le cabinet Deloitte.
– Le risque cyber
La recrudescence des cyberattaques inquiète les organisations. 65 % des entreprises françaises placent la cybersécurité sur la première place du podium des risques tiers.
La principale problématique ? L’interconnexion des systèmes d’information. Elle ouvre une brèche dans l’organisation et augmente, par rebond, sa vulnérabilité aux incidents informatiques en provenance des tiers.
La protection des données personnelles et des données de l’entreprise soulève également des inquiétudes. Comment garantir le respect du règlement RGPD sur la protection des données personnelles des clients quand le niveau de sécurité informatique d’un tiers transporteur est insuffisant ? Comment garantir la sécurité de la data de la collectivité quand elle est stockée et gérée par des prestataires informatiques externes ? Ces questions cachent autant de risques à identifier et maîtriser.
– Le risque corruption
49 % des entreprises françaises craignent les risques liés à la corruption. Or, les liens avec les tiers augmentent la menace, notamment dans les États où la législation anticorruption est plus souple.
Les cadeaux et invitations professionnels en sont un exemple. En France, ils constituent un acte de corruption s’il existe une contrepartie ou s’ils sont offerts pendant une négociation. Mais, dans certains pays, les cadeaux et invitations appartiennent à la coutume locale. Ils sont offerts en marques de courtoisie, même pendant une négociation. En autorisant ces marques de courtoisie, un tiers peut exposer son donneur d’ordre à la corruption.
– Le risque de non-conformité réglementaire
Le non-conformité préoccupe 38 % des entreprises françaises. Or, les données des tiers sont prises en compte pour évaluer la performance extra-financière et réglementaire de l’organisation. Chaque manquement d’un tiers aux normes sociales et environnementales peut ternir le bilan de l’organisation et son image RSE. Les conséquences peuvent être lourdes : atteinte à la réputation, pertes financières, éloignement des investisseurs et clients…
Cette préoccupation ne cesse de croître avec la pression réglementaire. Obligation de vigilance, normes internationales du travail, critères ESG (Environnement, Social, Gouvernance), directive européenne CSRD (Corporate Sustainability Reporting Directive), BEGES (bilan des émissions de gaz à effet de serre), norme PCI-DSS sur la sécurité des données liées aux cartes bancaires, etc. : plus les organisations sont soumises à des obligations réglementaires et légales, plus le risque de voir un tiers y déroger est grand.
– Les autres risques tiers
La crise du Covid-19 ou la guerre en Ukraine l’ont démontré. L’interdépendance augmente les risques tiers. Rupture de la chaîne d’approvisionnement en raison de l’arrêt de l’activité d’un fournisseur, interruption des services suite à la faillite d’un partenaire, atteinte à la réputation dans le cadre d’un scandale humain impliquant un sous-traitant : les risques tiers sont nombreux et variés. Ils sont stratégiques, opérationnels, humains, juridiques, financiers, géopolitiques ou encore commerciaux.
Pourquoi et comment gérer les risques tiers ?
Mal anticipés et non maîtrisés, les risques tiers peuvent avoir de lourdes conséquences financières, juridiques et opérationnelles pour l’organisation. Elles peuvent être doublées d’une atteinte à la réputation et à l’image. C’est pourquoi tout acteur privé ou public qui souhaite se protéger ne peut faire l’impasse sur la politique de gestion des risques tiers.
– Quelles sont les étapes d’une gestion efficace des risques tiers ?
Le processus de gestion des risques tiers suit les mêmes étapes que la stratégie globale de gestion des risques de l’organisation :
- Identifier les tiers qui exposent l’organisation à un risque.
- Analyser et évaluer la criticité des menaces associées à chaque tiers via une cartographie des risques.
- Définir le programme de gestion des risques tiers : ce plan détaille les exigences de l’organisation, les principaux indicateurs-clés, la procédure de sélection des tiers et les actions de remédiation et de mitigation à mettre en place pour supprimer, atténuer, partager ou transférer les risques.
- Suivre et surveiller l’évolution des tiers et des risques : ce contrôle régulier permet d’adapter en continu le programme de gestion des risques tiers.
Contrôler l’efficacité des mesures de gestion des risques et optimiser le processus si nécessaire.
– Réussir la mise en œuvre du programme de gestion des risques tiers
La réussite du programme de gestion des risques tiers exige plusieurs prérequis :
- Une impulsion de la direction et du management pour embarquer les collaborateurs et les tiers dans le programme.
- Une mobilisation transversales de tous les services de l’organisation : chaque collaborateur peut en effet être amené à gérer des relations avec des tiers, quels que soient sa fonction et son niveau hiérarchique.
- Un engagement des tiers et parties prenantes : cette implication facilite la remontée d’informations. Elle garantit le respect par les tiers du code de conduite, des valeurs éthiques et des normes réglementaires de l’organisation.
- Une solution informatique ergonomique, évolutive et accessible à tous : elle simplifie et automatise la collecte des données, les vérifications préalables des tiers et les contrôles.
- Une communication claire et transparente : à destination des collaborateurs de l’organisation et des tiers, elle insuffle les valeurs de l’organisation et sensibilise à la gestion des risques.
Avec les externalisations, les interconnexions, les crises et les réglementations, les risques associés aux tiers s’amplifient et se complexifient. La gestion des risques tiers devient incontournable pour sécuriser les opérations face aux menaces extérieures. L’approche proactive s’impose aujourd’hui pour protéger la pérennité et l’intégrité de l’organisation. Elle repose sur une identification et une évaluation rigoureuses des risques, ainsi que sur une stratégie de gestion des risques adaptée. Le défi ? Rester agile et proactif dans un environnement en perpétuelle évolution, où l’interconnexion et les interdépendances exigent une vigilance renforcée.
Sources des enquêtes :
(1) KPMG – Enquête Third-Party Risk Management Outlook 2022 : https://kpmg.com/fr/fr/services/gestion-risques/technology/tprm.html
(2) Deloitte – 6ème enquête annuelle sur la gestion des risques tiers 2021 : https://www2.deloitte.com/fr/fr/pages/risque-compliance-et-controle-interne/articles/6eme-enquete-annuelle-sur-la-gestion-des-risques-lies-aux-tiers-2021.html
Deloitte – 8ème enquête annuelle sur la gestion des risques tiers 2023 : https://www2.deloitte.com/fr/fr/pages/risque-compliance-et-controle-interne/articles/etude-sur-la-gestion-des-risques-de-tiers-2023.html