Points clés
- La maîtrise du risque fournisseurs est une responsabilité de direction qui ne peut pas être entièrement déléguée aux équipes achats ou IT.
- La direction fixe l'appétit pour le risque, approuve les catégories de prestataires critiques, et supervise les programmes de gestion du risque tiers.
- Les dirigeants sont personnellement engagés dans la gestion du risque prestataire par DORA (entités financières) et NIS2 (entités essentielles).
- Les conseils d'administration des institutions financières doivent approuver la politique de gestion des risques ICT incluant le risque tiers selon les exigences BCE.
- Une étude Deloitte 2023 indique que les organisations dont la direction s'implique activement dans le risque tiers ont un taux d'incidents prestataires 40 % inférieur à celles où ce sujet est entièrement délégué.
La gestion du risque fournisseurs a longtemps été traitée comme un sujet opérationnel, géré par les équipes achats, IT ou sécurité. L'évolution réglementaire — DORA, NIS2, SEC cyber rules — a formalisé ce qui devenait évident : le risque prestataire est un risque stratégique qui doit être gouverné au niveau de la direction.
Cette évolution ne signifie pas que la direction doit s'impliquer dans la gestion quotidienne des prestataires. Elle signifie que la direction doit définir le cadre — l'appétit pour le risque, les politiques, les ressources, les indicateurs — et superviser sa mise en œuvre, en étant tenue informée des risques significatifs identifiés.
Les décisions réservées à la direction
Plusieurs décisions dans la gestion du risque prestataire relèvent spécifiquement de la direction. L'appétit pour le risque tiers — le niveau de risque acceptable associé aux prestataires critiques — doit être défini au niveau exécutif. La validation des prestataires les plus critiques — ceux dont la défaillance aurait un impact systémique sur l'organisation — doit impliquer la direction. L'allocation des ressources au programme de gestion du risque tiers — budget, effectifs, outils — est une décision de direction. La réponse à un incident prestataire majeur — notamment les décisions de suspension de relation, de notification réglementaire et de communication publique — requiert le niveau décisionnel approprié.
Le rôle du conseil d'administration
Pour les entreprises cotées et les entités régulées, le conseil d'administration a des responsabilités spécifiques dans la supervision du risque tiers. La SEC américaine impose depuis 2023 que les entreprises cotées déclarent leurs processus de gestion des risques cybersécurité, incluant le risque prestataire. DORA impose que l'organe de direction approuve et supervise la stratégie de gestion des risques ICT, incluant le risque tiers. La BCE attend des conseils d'administration des institutions financières qu'ils reçoivent régulièrement des rapports sur les prestataires ICT critiques et les risques associés.
Ces obligations créent un régime de reporting du risque tiers vers les organes de gouvernance qui doit être formalisé dans les processus internes.
Le CISO et le RSSI dans la gouvernance du risque tiers
Le CISO (Chief Information Security Officer) ou RSSI est le pivot entre la direction et les équipes opérationnelles dans la gestion du risque prestataire. Il est responsable de définir et de faire appliquer le programme TPRM, de reporter à la direction les risques identifiés, et d'escalader les situations critiques nécessitant une décision de niveau exécutif. Son rapport régulier à la direction doit inclure l'état des risques prestataires identifiés, les incidents survenus chez des tiers et leurs impacts, et les recommandations d'action.
Suite à la violation de données Starwood (acquis par Marriott en 2016), qui a exposé 500 millions de fiches clients sur quatre ans, la FTC et les régulateurs ont examiné le rôle du conseil d'administration de Marriott dans la supervision de la due diligence de cybersécurité lors de l'acquisition. L'absence de vérification de sécurité approfondie des systèmes Starwood avant l'intégration a été identifiée comme une défaillance de gouvernance. Cet incident a redéfini les attentes sur le rôle des conseils d'administration dans les risques de sécurité liés aux tiers, notamment lors des acquisitions.
La Banque Centrale Européenne a publié ses attentes (SSM Cyber Resilience Report) sur la gouvernance du risque tiers ICT dans les institutions financières significatives. Ces attentes précisent que le conseil de surveillance ou le conseil d'administration doit recevoir a minima annuellement un rapport sur les prestataires ICT critiques, les risques identifiés et les plans de remédiation. Les institutions dont la gouvernance du risque tiers est insuffisante font l'objet d'observations formelles dans le cadre du processus SREP.
Après les interruptions répétées de DBS Bank en 2023, la MAS Singapore a imposé des obligations de reporting direct du CEO et du CRO sur les risques technologiques et les risques prestataires. Cette exigence, inédite dans sa formulation, place explicitement la responsabilité de la gestion des risques ICT critiques — incluant les prestataires — au niveau du CEO et du CRO, non uniquement au niveau du CIO ou du CISO. Elle illustre l'évolution des attentes réglementaires sur l'implication personnelle des dirigeants.