Le risque digital des tiers constitue un défi majeur pour les entreprises

Une entreprise sur deux a été confrontée à un incident lié à la défaillance d’un tiers (fournisseur, client, partenaire,…) pendant la pandémie, contre un tiers les années précédentes, constate la sixième édition de l’enquête mondiale de Deloitte sur la gestion des risques de tiers, dévoilée mercredi matin. Une étude réalisée auprès de 1.170 entreprises dans plus de 30 pays, « où la France se comporte en ligne avec les résultats mondiaux », confie Sonia Cabanis, associée risk advisory chez Deloitte France et auteure du rapport.

« Historiquement, une entreprise limitait la gestion des risques à son propre périmètre, elle l’élargit désormais aux bornes de son écosystème, explique Sonia Cabanis. Cette prise de conscience du risque opérationnel et de réputation, si le tiers est défaillant, et la pression règlementaire (RGPD, Sapin 2, devoir de vigilance...) ont ouvert les yeux des sociétés ».

Comment alors mieux gérer ces risques, accrus pendant la crise sanitaire, notamment ceux liés à la santé-sécurité (56%), au cyber (53%) et à la continuité d’activité (53%) d’un tiers ?

S’appuyer sur une gestion dynamique des risques

La moitié des entreprises veulent investir significativement dans leurs programmes de gestion des risques, pour une approche plus dynamique et réactive. « Auparavant, elles se contentaient d’un reporting partiel et d’un audit ponctuel – pas toujours bien perçu ! – mais sans avoir de vision complète sur leurs tiers, poursuit Sonia Cabanis. Désormais, les entreprises privilégient la prévention en installant des indicateurs sur les zones de risques des tiers et en construisant éventuellement avec eux des plans d’actions. D’autant qu’elles demandent maintenant un regard sur toute la chaine de valeur, en embarquant, par exemple la chaîne de fournisseurs, et en s’aidant des outils d’intelligence artificielle ».

Notamment, les sociétés mettent en place des alertes en temps réel, des nouveaux indicateurs de risques et un reporting plus fréquent. Les entreprises prennent aussi conscience de la nécessité de repenser leur processus business pour optimiser l’intégration et l’efficacité des nouvelles technologiques acquises. Une sur deux met à jour les processus de due diligence et de monitoring de ses tiers. Si certains groupes internalisent la gestion des risques et gèrent des centres partagés, les deux tiers s’appuient sur des solutions technologiques externes (abonnement à des bases de données et assistance pour des inspections sur site ou à distance des tiers). « Avec de très gros volumes de tiers, il faut se digitaliser et s’appuyer sur des outils et des données existantes, explique Deloitte. Même si cette gestion des risques est sous-traitée, la responsabilité finale appartient à l’entreprise ».

Les problématiques environnementales, sociales et de gouvernance (ESG) constituent la priorité des priorités, citées par 99% des entreprises. « Au-delà de l’aspect règlementaire, les entreprises veulent mettre en avant leur engagement en matière ESG, constate Sonia Cabanis. Toutefois, la traçabilité sur toute la chaîne de valeur reste difficile ». Parmi les autres préoccupations figure en tête le risque digital (71%), accentué par l’automatisation des processus. En effet, les entreprises peinent à mesurer de manière numérique les menaces et opportunités émanant de leurs tiers (pour 52%), les risques liés à l’infrastructure existante chez leurs tiers (47%) ou encore l’incapacité de leurs tiers à adopter de nouvelles méthodes de travail digitalisées (44%). « Les entreprises peuvent demander à leurs tiers des garanties (par exemple un plan de reprise informatique,…) et fixer préventivement des pénalités si les tiers sont défaillants », ajoute Sonia Cabanis. Viennent seulement après les risques liés à la résilience financière des tiers (41%) et au respect des engagements en matière de diversité et d’inclusion (40%).

Organiser la gouvernance des risques de tiers

Gérer les risques de tiers nécessite d’y mettre les moyens humains et financiers. « Si le dispositif est nécessairement coûteux, il représente un réel gain sur le long terme, les situations à risque étant gérées en amont et non a posteriori, poursuit Sonia Cabanis. La mise en place d’une gouvernance dédiée, avec un chef d’orchestre qui coordonne toutes les fonctions concernées par les risques de tiers (achats, risques, conformité, DSI, qualité, RSE, finance…), et un budget alloué, conférera de la légitimité à cette fonction ».

En réaction à la crise, beaucoup d’entreprises ont souhaité réinternaliser des activités, mais ne l’ont pas fait pour des raisons budgétaires. Une entreprise sur deux estime devoir faire face à de fortes pressions pour externaliser certaines activités afin de réduire les coûts, tout en mettant en place des mesures de contrôle et de gestion des risques supplémentaires. De plus, la plupart des sociétés reconnaissent ne pas vraiment avoir la capacité de réinternaliser des activités. Moins d’une sur cinq pensent pouvoir le faire.