Lorsque les conducteurs de camion pensent à la gestion des risques et à la sécurité, ils ont tendance à se concentrer principalement sur les événements catastrophiques sur la route. Cependant, pour les expéditeurs, la notion de sécurité dépasse les simples accidents et taux de mise hors service. De plus en plus, ils examinent les transporteurs sous l’angle de la cybersécurité et se demandent quel type de risque ils posent à leurs données, leur activité, leur conformité et leur réputation.
Dans le domaine de la gouvernance, des risques et de la conformité (GRC), un transporteur pour compte d’autrui représente ce que l’on appelle un risque tiers. Vous êtes un fournisseur externe, probablement l’un des nombreux avec lesquels un expéditeur travaille et sur lesquels il a peu de contrôle en matière de surveillance et de gestion des informations privées.
Bien entendu, vous entretenez aussi vos propres relations avec des tiers.
Pour comprendre l’ampleur de cette exposition, prenez un moment pour cartographier tous les moyens possibles par lesquels votre opération se connecte aux clients, aux fournisseurs, aux employés et aux régulateurs.
Exposition aux risques et connexions multiples
Devenez granularité. Considérez chaque téléphone portable individuel, ordinateur, dispositif télématique, connexion EDI et produit SaaS ou application que chaque département utilise pour générer et stocker ses propres données. Toute personne ou tout objet capable de se connecter à un réseau où des données vous concernant, ainsi que vos clients, résident devraient figurer sur cette liste.
Étendez ensuite cette carte aux fournisseurs de vos fournisseurs. Chaque point sur la carte est une ouverture potentielle à une violation de données ou à une cyberattaque.
À mesure que de plus en plus d’organisations formalisent et investissent dans la GRC, il est probable que votre posture en matière de risque fera partie des processus de demande de propositions (RFP) et d’intégration. Votre réponse pourrait vous permettre de distinguer votre opération et de gagner des affaires.
Définir la gestion des risques tiers
Où commencer? Définissons la gestion des risques tiers ou TPRM. C’est un processus par lequel les entreprises surveillent et gèrent les interactions avec toutes les parties externes. Cela peut inclure des relations contractuelles, où le risque est reconnu dans un contrat de service, ainsi que des relations informelles non contractuelles. D’un point de vue cybersécurité, le TPRM concerne toutes les parties externes avec lesquelles vous travaillez et partagez des données, mais il peut également inclure des risques pour les opérations, la situation financière et la réputation d’une entreprise.
Suivi et surveillance des risques tiers
Comment surveillez-vous le risque que posent les tiers? Cela commence par comprendre combien de vos données chaque partie externe peut accéder, mais il s’agit également de connaître leur état de santé relatif et leur posture de sécurité. Si elles sont attaquées ou subissent une violation, ou si l’entreprise change simplement de mains, quelles sont les conditions et procédures pour partager ces informations avec vous?
Qu’en est-il de la conformité réglementaire, y compris les nouvelles directives de la SEC pour les entreprises cotées en bourse? Certaines de ces exigences en matière de protection des données et de confidentialité peuvent être en dehors du champ d’application traditionnel du transport routier, mais elles s’appliqueraient si vous ou vos fournisseurs gérez des informations de carte de crédit et de banque, par exemple, ou des dossiers médicaux d’employés.
Favoriser l’adhésion des dirigeants
Comment obtenir l’adhésion de la direction? Toute l’équipe de direction n’est pas enthousiaste à l’idée de consacrer un budget et des effectifs à quelque chose de relativement nouveau, difficile à comprendre, qui ne contribue pas directement aux ventes et peut effectivement compliquer les relations avec les clients. Comment opérationnaliser réellement la gestion des risques tiers? Comment cela s’intègre-t-il avec vos initiatives plus larges en matière de GRC?
La gestion des risques tiers explose en tant que pratique. Le marché regorge de consultants, de technologies et d’autres ressources promettant de vous mettre en route rapidement.
En même temps, il n’y a pas de solution universelle, en particulier dans le domaine du transport et de la logistique. La posture en matière de risques et les relations avec des tiers d’un transporteur transportant des pièces automobiles ou d’un courtier à base d’actifs seront différentes de celles d’un transporteur dédié ou d’un propriétaire-opérateur d’un seul camion.
Rien de tout cela n’a peut-être d’importance pour vos clients, franchement. Les expéditeurs veulent travailler avec des fournisseurs capables de soutenir leurs programmes de gestion des risques dès le début de la relation et bien après, et d’avoir respecté les exigences en matière de dématérialisation des données que vous avez partagées.
Les expéditeurs exigeront toujours que les transporteurs rivalisent sur le prix et le service. Mais un programme de gestion des risques tiers bien exécuté peut faire pencher la balance en votre faveur.