Tout responsable des achats connaît la valeur de ce que renferme un contrat. Les seuils tarifaires. Les stratégies de négociation. Les relations avec les fournisseurs. Les conditions de rupture. C'est, à bien des égards, une carte de votre ADN concurrentiel. Et si vous faites appel à un prestataire de services d'intelligence d'achat pour analyser ces données, il y a une question que vous devriez poser et que la plupart des gens ne posent jamais.
Qui d'autre l'a vu ?
Un secret du secteur qui mérite d'être examiné
De plus en plus de cabinets spécialisés dans l'analyse des achats ont mis en place un modèle de prestation de services reposant sur des prestataires indépendants. Il s'agit de travailleurs autonomes (formulaires 1099) engagés sur la base de missions ponctuelles pour analyser vos contrats, examiner vos données de dépenses et élaborer des études de marché pour votre compte.
Il convient de s'arrêter un instant sur ce que cela signifie concrètement.
La raison pour laquelle certaines entreprises ont adopté ce modèle est simple : c'est moins coûteux. Les prestataires indépendants coûtent nettement moins cher que les employés à temps plein. Il n'y a ni avantages sociaux, ni frais généraux, ni engagements à long terme. Pour une société spécialisée dans l'analyse des marchés publics, le fait de passer par une main-d'œuvre sous contrat 1099 peut considérablement améliorer les marges bénéficiaires. Ce que ce calcul ne prend pas en compte, c'est le risque qu'il fait peser directement sur leurs clients. La décision commerciale qui profite à leurs résultats financiers est la même qui met vos données en danger.
Ces prestataires ne sont pas des employés de l'entreprise que vous avez engagée. Ils opèrent en dehors de l'infrastructure contrôlée par cette entreprise. Ils travaillent à partir d'appareils personnels sur des réseaux privés, sans surveillance de niveau professionnel, sans politiques de gouvernance des données imposées et sans aucune responsabilité de l'organisation quant au sort de vos données une fois la mission terminée.
Et voici ce qui devrait donner à réfléchir à tout responsable des achats ou de la sécurité : bon nombre de ces mêmes sous-traitants travaillent simultanément pour plusieurs entreprises. Vos données et celles d’un concurrent peuvent transiter par la même personne, sur le même ordinateur portable, au même moment. Non pas parce que quelqu’un l’a voulu ainsi, mais simplement parce que le modèle le permet.
Ce que cela signifie du point de vue de la gestion des risques liés aux transactions (TPRM)
La gestion des risques liés aux tiers s'impose, car la solidité de votre dispositif de sécurité dépend du maillon le plus faible de votre chaîne de fournisseurs. La plupart des organisations disposent de cadres bien établis pour évaluer les fournisseurs avec lesquels elles passent directement des contrats. Elles sont toutefois beaucoup moins nombreuses à réfléchir suffisamment à ce qu'il advient de leurs données une fois qu'elles ont quitté les mains de ces fournisseurs.
Lorsqu'une société spécialisée dans l'analyse des marchés publics fait passer votre contrat par un prestataire indépendant (formulaire 1099), vos données sont en réalité transmises à une quatrième partie. Il s'agit d'une personne que votre équipe de sécurité n'a jamais contrôlée, jamais évaluée et sur laquelle elle n'a aucune visibilité. Ce prestataire n'apparaît pas dans votre registre des risques fournisseurs. Il n'a pas rempli votre questionnaire de sécurité. Il n'a fait l'objet d'aucun audit selon un référentiel que vous reconnaissez.
Du point de vue de la gestion des risques liés aux tiers (TPRM), il s'agit là d'une lacune importante. L'entreprise que vous avez engagée dispose peut-être d'une certification SOC 2 au niveau de sa plateforme, mais cette certification ne s'étend pas aux locaux du prestataire. Elle couvre uniquement l'organisation et ses systèmes contrôlés. Dès que vos données quittent cet environnement, la couverture prend fin.
Si votre programme de gestion des risques fournisseurs signalait un sous-traitant ne respectant pas vos normes de sécurité, ce modèle devrait justement donner lieu à cette discussion.
Le problème de l'assurance cyber dont personne ne parle
C'est là que l'évaluation des risques devient encore plus délicate.
Les polices d'assurance cyber sont souscrites sur la base d'hypothèses concernant la manière dont les données sont traitées, stockées et protégées. La plupart des polices comportent des dispositions relatives au traitement des données par des tiers, à la supervision des sous-traitants et aux mesures de sécurité mises en place tout au long du cycle de vie des données.
Un modèle dans lequel les données des clients sont systématiquement traitées par des prestataires indépendants non contrôlés, sur des appareils personnels non surveillés, en dehors de tout environnement soumis à la norme SOC 2, constitue précisément le type de risque qui incite les assureurs à la prudence. En cas d'incident lié aux données, la question que posera l'assureur ne sera pas simplement de savoir si votre prestataire disposait d'une police d'assurance. Il voudra savoir si le traitement effectif de vos données respectait les normes prévues par cette police.
Si votre fournisseur de solutions d'intelligence d'achat n'est pas en mesure de prouver que toutes les personnes ayant eu accès à vos données opéraient dans un environnement contrôlé, audité et de niveau entreprise, vous risquez de constater que votre couverture est moins complète que vous ne le pensiez au moment où vous en aurez le plus besoin.
Pourquoi j'ai choisi le chou vert
J'ai occupé pendant des années le poste de directeur des achats au sein d'entreprises classées au Fortune 20. La sécurité des données n'était pas un critère secondaire dans notre évaluation des fournisseurs, mais bien un critère primordial. J'ai participé à suffisamment de discussions avec les équipes chargées de la sécurité de l'information et les services juridiques pour savoir que le risque se trouve rarement là où on s'y attend. Il ne provient presque jamais d'une violation spectaculaire, mais d'une faille structurelle que personne n'a songé à combler.
Lorsque j'ai évalué les fournisseurs de solutions d'intelligence en matière d'approvisionnement, le modèle des prestataires 1099 s'est avéré inenvisageable. Non pas pour des raisons d'image, mais en raison de ses implications opérationnelles en matière de gouvernance des données, d'exposition aux risques liés à la gestion des relations avec les fournisseurs tiers (TPRM) et de risques d'assurance.
Chez Green Cabbage, tous les analystes qui traitent les données des clients sont des employés à temps plein travaillant au sein de notre environnement sécurisé et surveillé. Pas de sous-traitants. Pas de tiers. Pas d'appareils personnels. Notre plateforme OneWorkspace fonctionne sur une infrastructure certifiée SOC 2, dotée de contrôles d'accès, d'authentification et de surveillance de niveau entreprise tout au long du cycle de vie de la mission — non seulement au niveau de la plateforme, mais à chaque étape de l'analyse.
Ce n'est pas un argument marketing. C'est un choix architectural qui témoigne du sérieux avec lequel nous traitons les données que nos clients nous confient.
Les questions que vous devriez poser à votre fournisseur
Si vous travaillez actuellement avec un prestataire de services d'intelligence d'achat ou si vous êtes en train d'en évaluer un, voici quelques questions qu'il vaut la peine de lui poser directement :
- Vos analystes sont-ils des salariés à temps plein ou des prestataires indépendants ?
- S'il s'agit de sous-traitants, travaillent-ils simultanément avec d'autres entreprises ?
- Où les données des clients sont-elles physiquement stockées pendant l'analyse ?
- Votre certification SOC 2 s'applique-t-elle à l'ensemble du processus de traitement des données, y compris aux postes de travail des analystes ?
- Quels outils d'IA vos analystes utilisent-ils, le cas échéant, et ces outils sont-ils régis par des accords sur les données d'entreprise ?
Si un fournisseur n'est pas en mesure de répondre à ces questions de manière claire et assurée, vous avez votre réponse.
Vos données d'approvisionnement comptent parmi les informations stratégiques les plus sensibles dont dispose votre organisation. Elles méritent d'être traitées comme telles, depuis le moment où elles quittent vos mains jusqu'à la clôture du contrat.
Chad Johnson est un ancien directeur des achats d'une entreprise classée au Fortune 20 ; il occupe actuellement le poste de vice-président régional des ventes chez Green Cabbage, leader mondial de l'intelligence en matière d'achats. Green Cabbage compte plus de 2 500 clients dans les secteurs de la technologie, de la main-d'œuvre externe, du marketing, ainsi que des voyages et des frais professionnels. Toutes les missions pour le compte des clients sont gérées par des employés à temps plein via la plateforme OneWorkspace, conforme à la norme SOC 2.