Points clés
- Les indicateurs de risque tiers doivent couvrir simultanément l'état du programme TPRM (maturité du processus) et le risque résiduel associé aux prestataires identifiés (exposition réelle).
- Ces indicateurs doivent être présentés régulièrement à la direction pour permettre des décisions éclairées sur les priorités d'action et les arbitrages de risque.
- Les trois indicateurs les plus déterminants sont : le taux de prestataires critiques avec une évaluation à jour, le score moyen de Cyber Risk Rating du portefeuille de prestataires, et le délai moyen de résolution des lacunes identifiées.
- DORA impose un reporting trimestriel au moins sur les risques ICT tiers vers l'organe de direction des entités financières.
- Le Gartner Market Guide for Third-Party Risk Management 2023 identifie la capacité de reporting automatisé comme le critère de sélection principal des solutions TPRM.
Piloter le risque prestataire sans indicateurs mesurables revient à naviguer sans carte. Les organisations qui ont mis en place un programme TPRM sans définir les indicateurs permettant d'évaluer son efficacité ne peuvent pas savoir si le programme fonctionne, ni où concentrer les efforts d'amélioration.
Les indicateurs de risque tiers doivent répondre à deux questions distinctes. La première est : notre programme TPRM est-il correctement mis en œuvre ? (indicateurs de processus). La seconde est : quel est notre niveau d'exposition réel au risque tiers ? (indicateurs d'exposition). Ces deux dimensions sont complémentaires et toutes deux nécessaires pour un pilotage efficace.
Les indicateurs de maturité du programme TPRM
Les indicateurs de maturité du programme TPRM mesurent la qualité du processus mis en place. Le taux de prestataires critiques disposant d'une évaluation de sécurité à jour (moins de 12 mois) mesure la couverture du programme. Le taux de contrats prestataires incluant les clauses de sécurité obligatoires mesure la conformité contractuelle. Le délai moyen entre l'identification d'une lacune chez un prestataire et sa résolution mesure l'efficacité du processus de remédiation. Le taux de prestataires critiques pour lesquels un plan de sortie est documenté mesure la maturité de la planification de la continuité.
Les indicateurs d'exposition au risque tiers
Les indicateurs d'exposition mesurent le risque résiduel réel du portefeuille de prestataires. Le score moyen de Cyber Risk Rating des prestataires critiques fournit une vision agrégée de la posture de sécurité externe du portefeuille. Le nombre de prestataires critiques avec un score en dessous du seuil d'alerte identifie les prestataires nécessitant une attention immédiate. Le nombre d'incidents survenus chez des prestataires critiques dans la période mesure la fréquence réelle des incidents tiers. Le pourcentage du chiffre d'affaires couvert par des prestataires ayant une certification ISO 27001 ou SOC 2 en cours mesure l'exposition aux prestataires non certifiés.
La présentation à la direction
Les indicateurs de risque tiers doivent être traduits en termes compréhensibles pour la direction. Un tableau de bord résumant l'état du portefeuille de prestataires critiques — nombre d'évaluations en retard, incidents récents, prestataires en zone rouge — accompagné d'une recommandation d'action claire, est plus utile pour la décision qu'un rapport technique détaillé. DORA impose un reporting trimestriel minimum sur les risques ICT tiers vers l'organe de direction.
Citibank a développé un tableau de bord de risque tiers présenté mensuellement au comité de risque du conseil d'administration. Ce tableau de bord inclut : le score de risque agrégé du portefeuille de 7 000 prestataires (classifiés en critiques, élevés, moyens et faibles), les incidents prestataires survenus dans le mois, les prestataires en zone rouge nécessitant une action directionnelle, et les délais de résolution des lacunes identifiées. Ce tableau de bord est cité par l'OCC comme modèle de reporting du risque tiers au niveau de la direction.
ABN AMRO a présenté lors de l'EBAday 2022 son cadre de reporting du risque tiers, développé en anticipation des exigences DORA. Ce cadre inclut un tableau de bord trimestriel pour le conseil de surveillance incluant : le taux de couverture des évaluations prestataires, les incidents tiers survenus et leurs impacts, et les prestataires pour lesquels une décision de direction est requise (résiliation, plan de remédiation intensifié). Le cadre a été salué par la BCE comme exemple d'anticipation réglementaire dans la gouvernance du risque tiers.
GIC, le fonds souverain de Singapour, a développé un cadre de métriques du risque tiers adapté à ses spécificités — gestion d'actifs à l'échelle mondiale avec des centaines de gestionnaires de fonds et prestataires de services financiers. Ce cadre inclut des indicateurs de risque géographique (concentration par pays), de risque de liquidité lié aux prestataires (délai de remplacement en cas de rupture), et de risque de sécurité (score de Cyber Risk Rating moyen par catégorie de prestataire). Il est mis à jour mensuellement et présenté trimestriellement à l'Investment Committee.