Par Emmanuel Poidevin, Fondateur et Directeur Général d’Aprovall, éditeur de logiciels de TPRM (Third-Party Risk Management) et de TPGRC (Third Party Governance Risk and Compliance)
Il y a quelques semaines la MAIF annonçait à ses clients que certaines de leurs données sensibles avaient fuitées. Puis ce fut au tour du Groupe Banque Populaire Caisse d’Épargne et quelques jours plus tard, au tour d’AXA. Ces grandes institutions financières ont en commun le même fournisseur de logiciels de gestion de patrimoine, qui a été victime d’une cyber-attaque.
Le risque fournisseurs est un risque. Ces trois dernières années, les entreprises ayant subi des perturbations importantes, des pertes financières ou des atteintes à la réputation à cause d’un tiers représentent 38% selon une étude KPMG.
En quoi consiste la gestion des risques tiers ?
Chaque organisation, petite, grande, publique ou privée, va à un moment donné travailler avec un fournisseur, un distributeur, un sous-traitant… un tiers. Ces tiers jouent un rôle plus ou moins stratégique dans le développement de l’organisation. Mais ils peuvent aussi représenter un risque plus ou moins grand. Ils peuvent être la cible de cyber attaques, ou dans un tout autre style, avoir recours à du travail dissimulé ou encore être situés dans une zone de guerre.
Pour une organisation il est essentiel d’identifier, d’évaluer et de mitiger les risques. Déjà car c’est une obligation légale. La loi de 2017 sur le devoir de vigilance des société mères et des entreprises donneuses d’ordres a été une véritable prise de conscience : l’évaluation des tiers doit être rigoureuse, et il ne faut pas fermer les yeux sur les tiers des tiers, des tiers…
Aujourd’hui, les sociétés doivent faire face à une flambée réglementaire dans différents domaines : CSRD, RSE, DORA, NIS2… Mais l’aspect légal n’est pas le seul enjeu. Une société doit être en mesure de continuer son activité quelle que soit la situation, elle doit être résiliente. Pour y parvenir, elle doit bien comprendre les risques auxquels elle est exposée et faire en sorte de les atténuer le plus possible. Vous ne pouvez pas vous préparer à quelque chose que vous ne connaissez pas.
Quels types de société font appel à des services de gestion des risques tiers ?
Tous types d’organisations au sens large, privées ou publiques. Tout secteur d’activité, de toute taille, avec des enjeux différents. Evidemment de grands groupes internationaux qui ont des tiers partout dans le monde. Mais aussi des entités publiques qui vont faire appel à ces services dans le cas de la commande publique. Principalement des organisations qui ont déjà une certaine taille et un certain niveau de maturité. Mais les enjeux de sont pas les mêmes.
Parfois on fait appel à ces services quand la crise a éclaté. Ça peut être une crise réputationnelle, une fraude… il faut agir vite et mettre en place une évaluation complète des tiers très rapidement. Il faut s’assurer de la fiabilité des partenaires, fournisseurs et sous-traitants. Les plateformes de TPRM / TPGRC vont permettre d’évaluer leurs niveaux de conformité et leurs capacités à répondre aux exigences, mais aussi leur engagement sur des thèmes critiques comme le domaine financier (solvabilité), la conformité réglementaire, et la cybersécurité.
Quels sont les domaines les plus sollicités par les sociétés ?
C’est assez fluctuant… c’est d’ailleurs très intéressant, c’est un miroir de la société et de ses enjeux. Les domaines de la cyber-sécurité, la conformité, et de la RSE. Il y a principalement deux sujets importants en RSE qui sont la décarbonation et la gestion du cycle de l’eau qui est devenu un vrai sujet. On commence aussi à voir apparaître l’économie circulaire et puis les droits humains dans certains secteurs.
Mais le sujet le plus présent dans toutes les organisations, depuis toujours, ce sont les défaillances d’entreprises. La période économique n’est pas simple, notamment sur des secteurs comme le bâtiment, où il y a beaucoup de petites, moyennes et même des grosses structures qui peuvent être en danger. Donc, paradoxalement, le score financier et la surveillance de la santé financière des partenaires est redevenue le sujet numéro 1.
Quel est rôle les plateformes de TPRM et de TPGRC ?
Aujourd’hui, les sociétés font face à de nombreux challenges : beaucoup de réglementations, de risques 0de différentes natures, mais sont parfois mal équipées pour y faire face, l’évaluation des tiers est un processus fastidieux et coûteux.
Les plateformes de TPRM et TPGRC sont très puissantes. Elles utilisent l’IA générative, sont capables d’agréger et d’analyser énormément de données mais surtout, elles ont un suivi en temps réel. Les plateformes de TPRM vont aider les organisations à opérer une meilleure sélection des partenaires, un suivi continue des tiers, et donc permettre une meilleure résilience face aux risques externes.
On remarque que les besoins des entreprises se dirigent de plus en plus vers des plateformes de TPGRC. Ces plateformes offrent toujours la dimension gestion des risques du TPRM, mais vont plus loin en offrant une dimension plus stratégique, plus organisationnelle. Ces plateformes permettent réduire les silos d’informations entre les différents départements, comme les achats, le sourcing, la finance, l’audit…
Il y a des indicateurs dynamiques qui permettent d’identifier les priorités et les actions à mener. Les sociétés ont besoin de ces informations pour leur permettre de prendre des décisions éclairées. Les plateformes de TPGRC facilitent les prises de décision stratégiques des sociétés. Et ça c’est le cœur de notre métier.
