Le partage des activités d’une entreprise avec des tiers fait partie des modèles de production modernes. Ils permettent de répondre rapidement aux différents besoins et apporter une grande flexibilité/ diversité sur les produits / services fournis. Les entreprises du monde Banque & assurance n’échappent pas à la règle et ont un grand nombre de partenaires/ sous-traitants dans le cadre de leur activité.
Ces entreprises tierces peuvent « couvrir » certains risques des activités sous traitées mais aussi « apporter » des risques complémentaires. L’appréciation Cyber des tiers devient incontournable dans la prise en compte globale des risques de l’entreprise, le risque Cyber demandant une attention toute particulière.
Depuis plusieurs années, les banques & assurances ont mis en place des démarches et des méthodes permettant d’évaluer le niveau Cyber de leurs tiers. Cependant, plusieurs difficultés subsistent notamment l’application en masse de ces méthodes ou plus simplement le niveau de confiance que l’on peut accorder aux résultats obtenus.
Le groupe de travail à explorer différents items et à essayer d’apporter des réponses concrètes aux différents axes suivants :
• Quelle gouvernance pour maitriser le niveau Cyber d’un tier ?
• Quels sont les principaux référentiels de contrôle d’un tiers ?
• Comment industrialiser les méthodes de contrôles : cyber-rating, plateforme, scan techniques, ..?
• Comment optimiser l’usage des résultats des contrôles : mutualisation des contrôles, partage des résultats ?
• Quel niveau de confiance peut-on accorder aux différents types de contrôle ?