Vous externalisez des services? Gardez le contrôle Vous externalisez des services? Gardez le contrôle

Nous examinons certains aspects importants concernant la manière de garder le contrôle en cas d’externalisation auprès de prestataires externes.

Comme en témoigne la présence accrue sur le marché des prestataires de services à travers le monde, l’externalisation est là pour durer. Des prix compétitifs, un meilleur service client, des processus rationalisés, etc. Ces éléments incitent les sociétés à transférer certaines activités à des prestataires de services. Toutefois, face aux attentes croissantes des clients et à l’intensification des pressions réglementaires, les sociétés doivent garder la main sur la gestion des risques de tiers et les activités de contrôle. En 2019, dans un sondage de KPMG, 91% des CIO estimaient pouvoir faire plus pour renforcer la confiance de leurs clients. Cela en dit long sur l’état actuel du marché.

De nombreuses sociétés sont toujours fortement concentrées sur la réduction des coûts, au détriment d’une gestion appropriée des risques. Les récentes attaques cyber dont certaines communes de Suisse romande ont été victimes attestent du degré de vulnérabilité lorsque l’on externalise des services, notamment informatiques. La priorité de toute société doit être de garder le contrôle, peu importe que les activités soient exécutées à l’interne ou à l’externe.

La gestion des risques de tiers doit être la priorité de l’Enterprise Risk Management en cas d’externalisation de services et d’activités critiques comme la paie, la technologie ou le service client. Qu’il s’agisse de l’actualisation et de l’application des clauses contractuelles relatives à l’utilisation des données confidentielles, des SLA, du comportement des employés ou de la réalisation de revues indépendantes de leurs prestataires de services, il existe de multiples options pour garder le contrôle. Il peut toutefois en résulter une charge accrue en matière de compliance. Les normes internationales, telles que l’International Standard on Assurance Engagements (ISAE) 3402, existent depuis un certain temps, mais les marchés européen et suisse ne les ont pas encore totalement adoptées. Récemment, un prestataire suisse de services de paie avec lequel nous travaillons s’est vu demander par l’un de ses clients d’émettre un rapport ISAE 3402 dans un délai d’un an, et un rapport ISAE 3000/SOC 2 dans un délai de deux ans. Ce fut une surprise totale pour ce prestataire, qui n’est absolument pas prêt à (1) apporter la preuve qu’il a conçu et mis en œuvre des contrôles suffisants, et (2) investir dans un exercice aussi coûteux. La principale préoccupation concerne les sociétés qui n’ont pas mis en place de telles mesures : leurs prestataires de services doivent se faire une idée claire de leur vulnérabilité aux sanctions réglementaires, aux cyberattaques ou aux plaintes des clients.

S’agissant de la sécurité de l’information, beaucoup de sociétés ont réussi des certifications telles que l’ISO27001, qui couvre la mise en œuvre d’un système de gestion de la sécurité de l’information. Toutefois, celles-ci ne répondent souvent pas aux attentes des clients car elles ne fournissent pas une assurance suffisante concernant la conception et de la mise en œuvre des contrôles. Nous avons observé plusieurs cas où des prestataires de services qui avaient obtenu une certification ISO27001 n’ont pas obtenu un rapport d’attestation ou d’assurance sur les mêmes systèmes et processus. Ceci s’explique par la portée variable des évaluations réalisées par les auditeurs indépendants et par les différences au niveau des méthodologies, standards et exigences de qualité internes qu’ils observent. De plus, les rapports d’attestation sont pour la plupart hautement confidentiels par rapport aux certifications étant donné qu’ils contiennent des informations détaillées sur les activités, processus et contrôles des prestataires, les détails des différents tests effectués par l’auditeur de service, et les résultats de ces tests. Les sociétés obtiennent ainsi un aperçu transparent et complet de la manière dont les contrôles traitent effectivement les risques.

Les rapports d’attestation indépendants tels que les rapports ISAE ou SOC (Service Organization Controls) sont un bon moyen d’améliorer la transparence concernant la fiabilité des contrôles et des processus chez un prestataire de services. Mais ils ne doivent pas constituer la seule manière d’obtenir une assurance concernant ces contrôles, au risque de devenir un simple exercice de compliance. L’un de nos clients d’audit a récemment reçu un rapport SOC 1 assorti d’une opinion avec réserve de l’un de ses prestataires cloud (c.-à-d. que les contrôles n’ont pas atteint leur objectif et qu’on ne peut donc pas s’y fier). Il est normal que cela se produise de temps à autre, mais cela peut être disruptif quand cela se passe quelques jours avant une date clôture d’états financiers, et que le prestataire de services n’a émis aucun avertissement en ce sens. Par conséquent, les sociétés doivent contrôler leurs prestataires en permanence grâce à des procédures robustes de gestion des risques de tiers.

Il va sans dire que les sociétés doivent se soucier davantage de prendre (ou de garder) le contrôle sur leurs activités lorsque celles-ci sont transférées à des tiers. Plus qu’un exercice de compliance, il s’agit de renforcer la confiance et de protéger leur réputation dans ce monde en perpétuelle évolution.

Publication: Service organization controls (PDF, en anglais)