Tous dans le même bateau | KPMG | CA
close
Share with your friends
Image représentant des cercles de points pour la risque

Tous dans le même bateau

Tous dans le même bateau

Faire des affaires à l'ère du numérique signifie de confier la protection de données sensibles à des partenaires externes. Cette éventualité a de quoi empêcher les organisations de dormir; or, alors que la technologie continue de redéfinir les relations d'affaires, elle refaçonne aussi notre approche de la gestion des risques liés aux tiers.​

« La première chose dont il faut vous souvenir est que jamais vous ne pourrez impartir la responsabilité en ce qui a trait à la protection des données », affirme David Bruyea, premier vice-président et responsable de la sécurité des systèmes d'information, Architecture et sécurité de l'information à la CIBC. « Vos fournisseurs tiers ou vos services d'infonuagique sont les gardiens de vos renseignements, et non les propriétaires. En tant qu'organisation, vous avez un rôle actif à jouer pour vous assurer qu'ils ont mis en place les bons contrôles et que leur culture est axée vers la cybersécurité, de façon à ce que vos renseignements soient bien protégés. »

Établir des normes internes

Compte tenu des cyberattaques répétées et des atteintes à la protection des données qui font les manchettes, il est facile de comprendre pourquoi les organisations accordent plus d'attention aux données qu'elles partagent avec des parties externes, aux personnes avec qui elles les partagent et aux mesures qui sont prises pour assurer leur protection.

Toutefois, il est essentiel de bien comprendre l'exposition au risque et les contrôles que l'organisation utilise pour consolider ses mesures de défense. Par exemple, M. Bruyea indique ce qui suit : « À la CIBC, nous avons comme approche d'adapter notre stratégie de gestion des risques et de la faire évoluer en fonction de nos apprentissages au sujet de l'environnement numérique en constante évolution. Pour ce faire, il nous a fallu détecter les véritables risques liés au fait de mettre nos données à la disposition de fournisseurs et de partenaires d'infonuagique, et modifier en conséquence notre évaluation des risques, nos mesures visant à remédier aux risques et nos processus de collecte de renseignements. Au-delà de cela, nous avons aussi été tenus de prendre de l'avance sur le plan de l'adoption d'outils et de capacités de pointe sur le marché afin de mieux gérer les menaces émergentes. »

Il ajoute que la compréhension fondamentale des normes internes de la CIBC est au cœur de cette stratégie. « Afin que vous puissiez gérer les risques externes, dit-il, vous devez avoir une très bonne idée de vos propres normes et responsabilités. Si vous ne les maîtrisez pas, ou si vous êtes incapables de les cerner adéquatement, il est fort probable que vous ne soyez pas à même de savoir exactement ce que vous devriez attendre des autres. »

Sur le terrain

L'établissement de normes internes rigoureuses est une étape vers l'atténuation du risque lié aux tiers. Une autre étape est de s'assurer que les partenaires potentiels souhaitent (et peuvent) respecter ces mêmes attentes. À ce titre, David Bruyea affirme qu'il est bénéfique pour les deux parties de collaborer dès le départ sur le plan de l'atténuation des risques. « Nous avons connu beaucoup de succès en collaborant avec des entreprises dès les premières étapes d'un partenariat, que ce soit avec des tiers ou en infonuagique, pour les aider à identifier les risques inhérents auxquels elles s'exposaient et les stratégies pour y répondre. Parallèlement, nous voulons nous assurer d'harmoniser les incitatifs du contrat et les intérêts de l'autre partie avec ce que nous considérons comme étant les risques clés, pour la poursuite de notre association. »

Assurément, ce ne sont pas tous les fournisseurs tiers qui sont suffisamment mûrs pour faire respecter les normes d'un partenaire, ce qui est particulièrement vrai pour les entreprises en démarrage, les entreprises de technologie financière à croissance rapide et les nouveaux venus sur le marché. Les grandes entreprises bien établies peuvent ainsi saisir cette occasion pour contribuer au développement de ces capacités et, ce faisant, influencer la mise en place de partenariats sûrs et durables.

À la lumière de l'expérience de la CIBC, M. Bruyea explique que si l'un des aspects les plus importants de l'atténuation du risque lié aux tiers réside dans l'approche plutôt que dans la mise en application des normes, les organisations devraient retourner la question et se demander ce qui suit : « Comment pouvons-nous vous aider à identifier les risques auxquels vous faites face dès le départ, et comment pouvons-nous vous aider à gérer facilement le processus de conformité? »

Le processus d'établissement de capacités d'atténuation des risques auprès d'un partenaire potentiel peut inclure la réalisation d'analyses des écarts et de tests des contrôles, l'élaboration de plans de conformité, l'offre de formation en cybersécurité et la contribution à une approche plus proactive.

En fin de compte, David Bruyea affirme que ces évaluations et activités réalisées en début de processus améliorent non seulement la position des partenaires sur le marché et leur capacité à obtenir éventuellement des contrats d'autres banques, mais elles nous permettent aussi de croire qu'ils ont mis en place les bons éléments pour protéger nos informations si nous choisissons de leur confier celles-ci.

Expansion du réseau

Dans le cadre de la gestion des risques liés aux tiers, les organisations doivent également tenir compte des réseaux de fournisseurs de services de leurs partenaires.

« Nous traitons nos fournisseurs tiers comme les gestionnaires des fournisseurs de quatrième et cinquième niveaux, soutient M. Bruyea. De plus, nous nous assurons d'avoir une connaissance approfondie de tous les sous-traitants dont ils retiennent les services, de façon à pouvoir déterminer si notre entreprise court un risque. »

Les mêmes considérations s'appliquent dans le cas des environnements infonuagiques multilocataires. Cela dit, des mesures de protection technologiques, comme l'introspection de machines virtuelles, font leur entrée sur le marché. Elles permettent de gérer les risques associés à l'infonuagique en donnant aux organisations la capacité de gérer chaque seconde du cheminement de leurs données.

« Avant, nous nous inquiétions beaucoup des problèmes potentiels liés à la conduite d'activités dans un environnement infonuagique, car la technologie n'était pas en mesure de nous donner une assurance. Maintenant, de nouvelles technologies sont instaurées pour fournir cette assurance en nous donnant un meilleur aperçu de la façon dont notre information est traitée », affirme M. Bruyea.

« Cela démontre les investissements incroyables que les fournisseurs de services infonuagiques font dans leur infrastructure de sécurité », ajoute M. Bruyea.

Outre les nouveaux outils, il existe des services de surveillance qui fournissent des cotes de risque lié à la cybersécurité à des organisations de partout dans le monde. Au fil des années, ces services se perfectionneront, se normaliseront et deviendront plus largement utilisés.

« Ultimement, dit M. Bruyea, j'aimerais voir ces organisations mettre en place des interfaces de programmation d'applications (API) qui seraient activées par ces sites d'inspections de tiers; j'aimerais aussi que des mesures soient prises pour attester que ces API fournissent les bons renseignements, de façon à aider les organisations à faire des affaires avec une plus grande confiance. »

Garder ses atouts les plus précieux sur place

Le conseil peut sembler tout simple, mais il vaut la peine de le répéter : si le fait de mettre à la disposition de tiers ou de plateformes infonuagiques certains types de données pose de trop grands risques, alors ne le faites pas.

« Des capacités sophistiquées sont nécessaires pour déterminer ce que vous souhaitez ou non rendre accessible, mais si vous êtes trop préoccupé par la charge de travail et par les types de risques que vous courez dans un environnement public, ne rendez pas vos données accessibles », indique David Bruyea.

La gestion des risques en cette ère de perturbations n'a rien de simple. La compréhension des risques inhérents aux partenariats avec des tiers, la prise de mesures préventives pour que toutes les parties atteignent (voire dépassent) les normes de cybersécurité et la collaboration avec des consultants chevronnés pour la mise en place de stratégies d'atténuation des risques sont tous des facteurs qui permettront aux organisations d'établir des relations plus sûres reposant sur des fondations solides.