Le processus de gestion des risques fournisseurs de PUMA ne donne pas l’impression d’avoir été lancé il y a seulement un an, mais c’est bel et bien le cas.

« Nous avons constaté que plusieurs autres entreprises avaient été victimes de violations de données et nous souhaitions améliorer nos politiques. Les réglementations et les exigences sont de plus en plus complexes et nous avions besoin d’un meilleur système de vérification des fournisseurs externes », explique Marco Preissinger, Senior Manager Information Security chez PUMA SE.

Ce qu’il manquait à PUMA, c’était un cadre standardisé de gestion des risques fournisseurs du point de vue de la sécurité de l’information et de la protection des données. 

« Nous voulions connaître les risques IT exacts liés à nos fournisseurs actuels et homogénéiser l’évaluation des nouveaux », se souvient Florian Brandner, Director Global Information & Cyber Security chez PUMA SE. « Grâce à la plateforme OneTrust, nos équipes ont pu créer un cadre de référence clair pour évaluer et pour surveiller les risques fournisseur. »

C’est ainsi qu’est né le processus de vérification des fournisseurs de PUMA. Depuis son lancement en 2023, l’équipe a intégré 250 fournisseurs, a réduit la durée du processus à 17 jours en moyenne et a diminué son délai de traitement de 80 %, et ce n’est que le début.

Repenser la gestion des risques fournisseur

PUMA travaille avec des centaines de prestataires indépendants et des milliers de fournisseurs à travers le monde. L’équipe devait donc être très efficace dès le départ. 

« Nous tirons vraiment parti de la bibliothèque de modèles de OneTrust », affirme Marco Preissinger. « En tant qu’entreprise allemande, les modèles ISO nous ont été particulièrement utiles. Mais nous avons aussi utilisé des éléments d’autres modèles, à la manière d’une recette de cuisine : un peu de NIST, une pincée d’ISO et un soupçon de RGPD. Nous avons retravaillé quelques phrases pour les adapter aux formulations de PUMA, et OneTrust s’est occupé du reste. »

L’équipe a décidé d’adopter une approche créative et proactive pour atténuer les risques liés aux fournisseurs. Alors que la plupart des entreprises se contentent d’informer leurs fournisseurs des risques identifiés, PUMA va plus loin et intègre un scénario de dommages techniques, qui détaille l’impact potentiel et propose un plan d’atténuation avec des suggestions de mesures correctives.

« Nous ne nous contentons pas de signaler les risques. Nous avons remarqué que les fournisseurs ont besoin d’aide pour les comprendre et y remédier, alors nous créons ce que nous appelons des plans d’atténuation. Ils sont très simples : ils comportent cinq ou six étapes pour atténuer chacun des risques », déclare Marco Preissinger.

Le taux d’adoption de ce système est impressionnant et la plupart des fournisseurs sont prêts à gérer les risques concernés. « La plateforme OneTrust joue un rôle déterminant dans le renforcement de nos relations avec les fournisseurs, car elle nous permet de leur donner des conseils ciblés pour la remédiation aux risques sur la base de nos plans d’atténuation standardisés », ajoute Florian Brandner.

Tout le monde y gagne : les fournisseurs améliorent la sécurité et la fiabilité de leurs services et PUMA, en tant que client, réduit efficacement le risque global. 

Alléger la charge de travail d’évaluation

Mais l’équipe n’en est pas restée là. Après avoir constaté que les fournisseurs étaient souvent assaillis d’évaluations, elle a décidé d’alléger la charge de travail en incluant uniquement les questions pertinentes pour PUMA.

« Certains tiers fournissent un grand nombre de services. Par exemple, Microsoft propose beaucoup de solutions, mais que se passe-t-il si nous n’utilisons qu’une fraction de ses services, comme la messagerie Exchange ? » commente Marco Preissinger.

Dans le cadre de la vérification des fournisseurs, l’équipe a créé ce qu’elle appelle le « business pit stop », qui consiste à poser quelques questions rapides à des unités commerciales spécifiques afin d’identifier le contexte dans lequel intervient le fournisseur. Les évaluations dynamiques sont ensuite créées dans OneTrust, en utilisant une logique conditionnelle qui améliore le questionnaire en fonction de chaque réponse apportée par le fournisseur.

Le résultat ? « Nous avons pu réduire et simplifier l’évaluation pour le fournisseur, pour l’entreprise et pour nous-même, en tant qu’examinateurs », reprend Marco Preissinger. « Cette approche uniforme assure une gestion cohérente et complète des risques et vient renforcer notre cadre de gestion des risques. En conséquence, nous réagissons plus rapidement et plus efficacement, ce qui contribue à la résilience globale de PUMA. »

Favoriser une culture de la prise en compte des risques

La rationalisation du processus de gestion des risques tiers a donné à l’équipe le temps de se concentrer sur sa priorité absolue : sensibiliser aux risques et améliorer leur compréhension par l’ensemble de l’entreprise.

« Si une unité commerciale est oubliée, cela ne fonctionne plus. Nous devions établir un processus qui permette des améliorations continues et qui implique tout le monde », explique Marco Preissinger. « Tout le monde n’a pas besoin d'être expert en confidentialité ou en sécurité, mais une culture d’entreprise avec une réelle prise en compte des risques nous aide à accélérer le processus. »

Les réunions régulières sont également un lieu d’apprentissage, car les intervenants de tous les départements de PUMA partagent leurs préoccupations et apportent leurs points de vue sur le processus.  

Timo Stauber, Legal Counsel Data Protection chez PUMA SE, témoigne des avantages apportés par la prise en compte des risques. « Les vérifications de fournisseurs servent aux conseillers juridiques dans le secteur de la protection des données », atteste-t-il.

« Les évaluations permettent d’obtenir un premier aperçu des fournisseurs et des outils ou des projets prévus. Nous procédons à une première évaluation de la protection des données et, si nécessaire, à un examen juridique plus approfondi. Si le déploiement du fournisseur est autorisé du point de vue de la protection juridique des données, nous négocions le contrat de protection des données en fonction de l’évaluation et des risques existants. »

Cette approche collaborative a entraîné un changement culturel chez PUMA. Les parties prenantes se sentent désormais plus concernées par les risques et savent que tous les fournisseurs qu’elles souhaitent utiliser devront passer par le processus de vérification.

« L’amélioration la plus importante, c’est le rapprochement humain que cela a engendré », poursuit Marco Preissinger. « OneTrust nous y aide beaucoup, car la solution nous permet de centraliser les processus pour prendre des décisions éclairées plus rapidement et de sensibiliser davantage aux risques dans l’ensemble de PUMA. »

De gauche à droite : Timo Stauber, Daniela Dillmann, Florian Brandner, Wei Lo, Marco Preissinger

Étendre le processus à l'échelle mondiale

Le processus de vérification des fournisseurs a connu un succès rapide en matière de sensibilisation et de réduction des risques et est actuellement introduit dans les différentes filiales dans le monde via un système dit « d’intégration régionale ». 

Le processus a démarré par l’Amérique du Nord. L’équipe a passé une semaine dans les bureaux du Massachusetts de PUMA pour présenter les politiques et les bonnes pratiques mises en place.

Au cours de la semaine, elle a travaillé en étroite collaboration avec la direction afin de préciser les processus de gestion des risques existants de la filiale, de les intégrer à OneTrust et de planifier des campagnes marketing pour d’autres unités commerciales. À la fin de l’intégration régionale, tous les détails ont été soigneusement compilés et remis à l’équipe locale.

« Sans OneTrust, nous n’aurions pas eu l’agilité ni la flexibilité nécessaires pour nous adapter aux réglementations et aux lois locales. C’est encore une tâche complexe, mais l’outil élimine l’incertitude de ce que nous avons à demander », assure Marco Preissinger

À l’avenir, l’intégration est prévue dans plusieurs autres régions : Chili, Amérique latine, Europe, EMEA, Autriche, Hong Kong, Dubaï et les pays nordiques.

« Nous aimerions visiter l’ensemble des entités de PUMA et montrer à nos collègues le logiciel OneTrust dans son ensemble, notamment la vérification des fournisseurs », déclare Daniela Dillmann, Legal Counsel Data Protection chez PUMA SE.   

Renforcer la sécurité à grande échelle

PUMA travaille avec OneTrust depuis 2018, avec l'adoption du module de consentement aux cookies sur toutes ses boutiques en ligne. Aujourd'hui, plus de cinq ans plus tard, l’entreprise a adopté le module de gestion des risques tiers de la plateforme et les tableaux de bord Power BI pour bénéficier d’analyses plus solides et plus pertinentes et de plus de transparence en interne.

« L’année dernière, nous avons démarré la vérification des fournisseurs et révisé notre modèle dans le module Cartographies et registres. Grâce à ses différentes fonctionnalités, OneTrust a le potentiel de simplifier de nombreux processus chez PUMA », déclare Timo Stauber.

« À l’avenir, nos procédures pourraient être davantage intégrées, automatisées et adoptées à grande échelle, sur l’ensemble du cycle de vie des fournisseurs et pour toutes les parties prenantes concernées, pour une gestion holistique des risques », conclut Florian Brandner. « Cette approche garantira une gestion transparente et efficace des relations avec les fournisseurs de bout en bout. »