2021 Plan d'action pour la gestion des risques liés aux tiers

Peter Schumacher : Bonjour à tous et merci de vous joindre à notre webinaire aujourd'hui. Voici le plan d'action 2021 pour la gestion des risques liés aux tiers, présenté par Brenda Ferraro et Alistair Parr. Brenda est notre vice-présidente chargée des risques liés aux tiers et Alistair est notre vice-président directeur chargé des produits et de la livraison à l'échelle mondiale. Je m'appelle Peter Schumacher. Je serai l'animateur du webinaire aujourd'hui. Avant de commencer officiellement, j'ai quelques points administratifs à aborder. Tout d'abord, je vous rappelle que toutes les lignes des participants sont mises en sourdine afin de réduire les bruits de fond. Nous voulons éviter les aboiements de chiens, les enfants qui entrent dans la pièce, les voisins qui tondent leur pelouse, etc. Nous souhaitons également que ce webinaire soit interactif. Nous vous invitons donc à soumettre vos questions à l'aide de la console Zoom. Tout au long de la session, veuillez saisir vos questions dans la section Q&A de Zoom. Si le temps le permet, à la fin de l'heure, nous répondrons à ces questions et nous espérons que cela donnera lieu à un dialogue intéressant. Le webinaire d'aujourd'hui est enregistré. Nous vous enverrons cet enregistrement demain matin à l'adresse e-mail que vous avez utilisée pour vous inscrire au webinaire. Je sais que vous n'êtes pas venus pour voir mon visage ou entendre ma voix. Je voudrais donc maintenant passer la parole à Brenda et Alistister. Alistister, Brenda, si vous voulez bien allumer vos caméras. Nous aimerions voir vos visages souriants. Vous voilà, vous pouvez commencer. Merci.

Alistair Parr : Merci beaucoup, Peter. Bonjour à tous. Je vais me présenter brièvement, puis Brenda prendra la parole. Je m'appelle Alison P. Je suis vice-présidente principale des produits et de la livraison chez Prement. J'ai une formation en conseil et je réalise des audits et gère des programmes de gestion des risques liés aux tiers depuis plusieurs années. Je suis ravie de vous rencontrer tous. Brenda Ferraro : Je pense que c'est notre premier webinaire officiel ensemble après avoir travaillé ensemble pendant près d'un an. Je suis donc très enthousiaste. Beaucoup de gens me connaissent pour mon expérience dans le domaine de la santé et des institutions financières. Mon expérience porte vraiment sur la maîtrise des processus. J'aime donc prendre des programmes et identifier exactement où vous en êtes dans votre maturité et comment vous aider à évoluer et utiliser la plateforme courante pour y parvenir. J'ai donc hâte de discuter de ce que nous avons vu cette année, qui a été assez difficile, mais que nous avons réussi à surmonter, et de ce que nous allons vivre l'année prochaine, en 2021, qui approche à grands pas. Je pense que nous allons éteindre nos écrans et nous concentrer sur nos diapositives et notre contenu. C'est parti, Alistister.

Alistair Parr : Fantastique. Merci beaucoup, Brenda. Bon, nous allons commencer par un résumé détaillé de l'année 2020 et mettre en évidence les principales tendances et observations que nous avons constatées au cours de l'année. Une fois cela fait, nous passerons aux projections plus générales pour 2021 et à ce que nous prévoyons de voir sur la base des tendances, des défis et des problèmes que nous avons observés en 2020. Et il y en a certainement eu quelques-uns. La première chose que nous avons généralement remarquée en 2020, c'est que , quelle que soit leur taille, les organisations sont confrontées aux mêmes défis. Cela découle en réalité de la recherche et de la collecte des bons types d'informations avant d'appliquer une cohérence à grande échelle. Ainsi, chaque parc de fournisseurs géré par nos clients que nous avons tendance à voir est important, qu'il s'agisse de centaines, de milliers, de dizaines de milliers ou de centaines de milliers, proportionnellement aux ressources des organisations avec lesquelles nous discutons. Ils ne sont pas équipés pour gérer ces volumes, c'est pourquoi ils se sont tournés vers des technologies automatisées et des flux de travail pour aider à rationaliser et à rendre cela évolutif. Mais fondamentalement, obtenir suffisamment d'informations pour alimenter ces machines respectives a été un défi récurrent que nous avons observé tout au long de l'année. Alors, comment la maturité des programmes tiers a-t-elle évolué de manière générale? Nous avons examiné cette question en nous appuyant sur le modèle de maturité des capacités de Carnegie et en analysant les scores de un à cinq dans les différentes organisations. Pour ce faire, nous nous concentrons généralement sur cinq domaines clés:

• Couverture
• Contenu
• Rôles et responsabilités
• Remédiation
• Gouvernance

Chacun d'entre eux a ses propres succès et défis, comme nous pouvons le constater. Mais pour revenir sur le point que nous avons souligné précédemment, il existe une tendance majeure et un défi de taille pour obtenir suffisamment d'informations pertinentes. Cela s'explique par le manque de cohérence du contenu. Cela s'explique par le manque de couverture adéquate à l'échelle du domaine. Les rôles et les responsabilités sont mal définis ou le personnel se concentre sur les mauvaises activités, ce qui fait que les gens ne prennent pas les mesures correctives nécessaires et ne rendent pas compte de la gouvernance. Nous aborderons donc quelques-uns des problèmes et défis courants que nous avons tendance à observer, mais nous commencerons par un thème commun et, Brenda, j'espérais que vous pourriez nous parler de la résilience opérationnelle. C'est un thème assez important cette année.

Brenda Ferraro : Oui, avec tout ce que nous avons traversé avec la pandémie ou la COVID, quelle que soit la façon dont vous voulez voir les choses, nous avons identifié certaines incohérences et lacunes dans nos programmes de résilience. Et nous constatons maintenant qu'il ne suffit pas de se contenter d'une première évaluation du périmètre par un tiers et d'une vérification préalable des personnes avec lesquelles vous travaillez. Car, comme nous le savons, si nous externalisons ou fournissons des services, ou si nous avons un fournisseur ou un quelconque partage de données avec une autre entreprise, celle-ci peut faire de même. Et dans le passé, les parties n et 4 étaient l'une de ces choses que nous rejetions en bloc, en disant : « S'il vous plaît, ne nous obligez pas à aller dans cette direction. » Mais nous sommes désormais pratiquement obligés d'aller dans cette direction. Et lorsque nous examinons le commerce de détail et d'autres types d'industries, non seulement du point de vue de la cybersécurité, mais aussi de la manière dont nous obtenons nos produits, sommes-nous capables de transférer notre travail d'une entreprise à une autre ? Avons-nous des risques de concentration lorsque nous utilisons une seule entreprise pour un certain service ou produit, ou pour le support des données, ou devons-nous en utiliser d'autres, sachant que nous pouvons avoir 25 entreprises qui font la même chose et que certaines d'entre elles peuvent être très fortes dans leur posture de contrôle, mais d'autres peuvent être faibles, et nous voulons donc commencer à utiliser celles qui sont faibles ou les aider à devenir plus fortes afin de maintenir notre posture de sécurité telle que nous en avons besoin. Tout au long de l'année 2020, j'ai vu de nombreuses entreprises de tous les secteurs commencer à parler de gestion de la chaîne d'approvisionnement et de gestion de la chaîne d'externalisation au Royaume-Uni et aux États-Unis. Nous allons donc commencer à voir de nombreuses entreprises parler de plus de contrôles, de plus de diligence raisonnable, de choses qui importent non seulement du point de vue cybernétique, mais aussi en dehors du domaine cybernétique et des données.

Alistair Parr : Très intéressant. À ce propos, comme nous le verrons dans les prochaines diapositives, nous avons mené une analyse auprès d'un grand nombre de clients et de particuliers clés au cours de l'année 2020 afin d'identifier les tendances et les défis communs. Comme Brenda l'a très bien illustré, la résilience opérationnelle a été un thème récurrent tout au long de l'année 2020. Mais Brenda, je suis curieux de connaître votre opinion sur la couverture et plus particulièrement sur la manière dont le recours à des tiers a pu constituer un obstacle en 2020. Brenda Ferraro : Oui, comme nous venons de le voir dans la diapositive précédente, nous avons évoqué le fait que la cybersécurité était la principale préoccupation de la plupart des entreprises. Et vous remarquerez ici que nous intégrons désormais les risques financiers, réglementaires et de réputation dans nos efforts pour comprendre comment le risque s'applique aux fournisseurs qui se trouvent dans notre premier périmètre, mais aussi dans notre quatrième, cinquième et sixième périmètre, que nous appelons les n-ièmes parties. Ce que cela vous apporte, c'est une vision et une image de votre paysage de risques jusqu'au n-ième degré ou jusqu'au périmètre extérieur où il s'arrête. Comme nous avions l'habitude de le dire, nous suivions les données de A à Z ou le produit de A à Z, mais nous n'arrivions qu'à l'élément OP et jamais à Z. Nous constatons donc aujourd'hui que nous devons commencer à nous demander qui travaille ensemble, non seulement en externe, mais aussi pourquoi nous faisons affaire avec ces entreprises en interne, et si quelque chose se produit dans le cadre d'une approche en chaîne du soutien que nousattendons de ces fournisseurs, sous-traitants et vendeurs, quelles seraient les conséquences pour nous si quelque chose tournait mal ou si certaines dépendances n'étaient pas respectées, afin de nous assurer que, du point de vue de la résilience, nous pouvons rester opérationnels et à flot. Avez-vous des éléments à ajouter à ce sujet particulier, Alistister ?

Alistair Parr : Oui. Non, je pense que c'est très centré, car la plupart des organisations avec lesquelles j'ai discuté n'ont pas eu les ressources nécessaires pour dépasser le stade des tiers, car cela représentait déjà un défi suffisant pour elles. Mais je suis tout à fait d'accord. Nous avons constaté une certaine tendance vers la fin de l'année, où les gens ont pris conscience au moins de leurs fournisseurs de premier rang et ont commencé à se concentrer sur les risques associés aux fournisseurs de quatrième rang et sur la résilience opérationnelle. Cela s'est produit parce qu'ils n'ont eu d'autre choix que de se plonger, au cours de l'année 2020, dans ce qui se cache sous la surface, pour ainsi dire, et de voir ce qu'il y avait là. Il s'agit donc d'une tendance et d'un changement de tendance très intéressants.

Brenda Ferraro : Oui. Et je pense aussi que tout le monde a du mal à déterminer qui sont mes quatrièmes parties ou mes n-ièmes parties. Comment puis-je le savoir sans demander ou voir un écran qui me montre toutes les connexions ? Nous en parlerons donc en 2021. Merci. Brenda Ferraro : Le contenu est donc quelque chose... Alistair Parr : Oh, pardon. Allez-y, Alistair. Brenda Ferraro : Désolée, après vous, Brenda, je vous en prie. Brenda Ferraro : Non, j'allais juste dire que d'un point de vue du contenu, vous avez mentionné qu'il y a beaucoup d'entreprises qui cherchent à savoir quels sont leurs contrôles clés, comment corréler leurs recommandations en matière de risques pour ces contrôles clés et quel type de diligence raisonnable en matière de profilage leur permettra d'identifier les risques qui comptent le plus pour elles. J'appelle cela le risque significatif. Tout le monde parle d'automatisation, mais nous devons également garder à l'esprit que lorsque nous examinons ces différents types de profilage, les risques résiduels inhérents et ce à quoi cela ressemble du point de vue d'un registre centralisé des risques, nous devons garder à l'esprit que nous devons examiner notre programme de manière à identifier les talents dont vous avez besoin pour soutenir le cycle de vie, les outils dont vous avez besoin pour vous fournir les informations et les techniques dont vous avez besoin. et les efforts à fournir pour démarrer, arrêter et continuer. C'est donc la même chose que pour les personnes, les processus et la technologie. Mais il y a cette phrase courante qui dit qu'on ne peut pas mesurer ou gérer ce qu'on ne mesure pas. Et la mesure est fondamentalement essentielle. Voici donc ce que nous montrons : l'évaluation de la probabilité et de l'impact global, et le fait de s'assurer que nous adoptons une approche cohérente et globale de la centralisation de ces informations va nous aider. Les entreprises qui se contentent d'utiliser un tableur et de s'en servir comme outil de diligence raisonnable passent à côté de l'intelligence des menaces. Elles passent à côté des rapports de validation. Et celles qui utilisent uniquement des systèmes de notation passent à côté de ce que le fournisseur ou le sous-traitant dit avoir mis en place par rapport à ce que nous voyons de l'extérieur. Je suis désolé de vous avoir interrompu, Alistair. Qu'avez-vous à dire à ce sujet ?

Alistair Parr : Non, je pense que cela résume très bien la situation. Ce que je remarque souvent, c'est que lorsque nous parlons de registres de risques centralisés, les organisations se concentrent très souvent sur la cybersécurité ou la sécurité de l'information en particulier, et nous observons une tendance à regrouper les différents types de risques qu'elles souhaitent suivre, qu'il s'agisse de risques opérationnels, financiers, de réputation ou de sécurité de l'information au sens large, etc. Cela ne signifie pas nécessairement le même registre des risques, mais nous avons constaté que les gens cherchent à normaliser les mesures qu'ils utilisent pour calculer et suivre ces risques, ce qui est certainement une tendance intéressante.

Brenda Ferraro : Je suis d'accord. Alistair Parr : Merci. Donc, en ce qui concerne les rôles et les responsabilités, j'ai brièvement mentionné auparavant le fait que je n'ai encore jamais vu d'équipe ITSM disposant de toutes les ressources et de tout le personnel nécessaires pour gérer les tiers et la gouvernance des tiers. Mais comme vous pouvez le constater à partir de certaines des données qui vous sont présentées, il ne s'agit pas seulement de disposer des ressources adéquates. Il s'agit d'affecter les bonnes ressources aux bonnes tâches. Ainsi, une tendance que nous avons observée progressivement au cours de l'année 2020 est qu'ils exploitent des tactiques et des techniques d'automatisation, voire, dans certains cas, l'externalisation, afin de pouvoir concentrer le personnel qualifié et les ressources sur les activités appropriées. Ainsi, si vous disposez d'un spécialiste en sécurité de l'information, d'un spécialiste en confidentialité, etc., ceux-ci ne devraient pas passer leur temps à examiner les subtilités de l'évaluation, mais plutôt se concentrer sur les principaux points faibles et défis auxquels ils devraient se consacrer, à savoir la remédiation et les exercices de validation. Cela correspond-il à ce que vous avez observé, Brenda ?

Brenda Ferraro : Je remarque donc l'engagement du département. Si l'on regarde le département juridique, le département chargé des risques et de la conformité, le département des achats, ils commencent tous à reconnaître que nous avons beaucoup sollicité les fournisseurs dans le domaine de l'approvisionnement et de l'externalisation en leur posant des questions sur ce qu'ils font du point de vue cybernétique et maintenant sur ce qui ne relève pas de la cybernétique. Et c'est très difficile pour eux, car ils ont beaucoup de réponses à fournir et certaines de ces questions sont répétitives. Je constate donc, dans le cadre d'un examen de normalisation, que ces questionnaires, d'un point de vue interne, aident à informer les services juridiques, les services chargés des risques et les services d'approvisionnement sur ce qui se passe au fil du temps. Il ne s'agit pas simplement de dire « bonjour, nous allons voir où vous en êtes actuellement ». Nous allons mettre vos informations de côté, puis nous les ressortirons dans un an. Nous vous examinerons à nouveau, puis nous les partagerons ou non avec d'autres services. Nous en arrivons maintenant à une situation où les services d'approvisionnement et les services d'achat demandent : « Qu'avez-vous découvert qui pourrait m'aider et me compléter pour prendre conscience de ce qui se passe avec un fournisseur particulier, plutôt que de simplement m'assurer que nous pouvons l'intégrer ? » Exactement. Nous sommes tous en train d'écouter les gens parler de ce qu'ils font entre-temps et de nous dire comment ils s'en sortent lorsque nous les transférons.

Alistair Parr : Très intéressant. Merci. Alistair Parr : Donc, d'un point de vue réflexif, Brenda, qu'avez-vous généralement observé au cours de l'année 2020 ? Brenda Ferraro : C'est ma question préférée. C'est vraiment très important. Vous savez qu'il y a 86 % d'incohérences avec les directives de remédiation chez les personnes pour lesquelles nous avons effectué des évaluations de maturité. Et ces répondants affirment vraiment qu'ils font un excellent travail de collecte d'informations. Ils font un excellent travail d'identification des risques, mais dès qu'il s'agit de remédier à ces risques et de suivre les mesures correctives jusqu'à leur conclusion, ils commencent à échouer. Et la raison en est qu'il peut y avoir des situations où vous n'utilisez pas de normes pour la correction des risques. Il se peut que vous n'ayez pas appliqué les risques à différentes approches de hiérarchisation. Et il existe un besoin important et un défi pour les entreprises qui souhaitent tirer pleinement parti de ces mesures correctives. Aujourd'hui, les CIESO, excusez-moi, disent : « Je ne suis plus une ressource chargée uniquement de réduire les risques. Ma priorité principale en tant que CISO est désormais de gérer les risques. Ces risques apparaissent. Nous identifions ce qui doit être corrigé et je dois contrôler ce qui se passe du début à la fin de ces corrections. Donc, si quelqu'un ne réagit pas, que dois-je faire avec ces entreprises qui ont dit avoir un plan mais qui n'ont pas terminé la correction, ou peut-être que la correction a été terminée et que nous devons être en mesure de valider que cette correction était conforme à votre posture et à votre norme. De plus, aucune notation des risques n'est appliquée de manière uniforme pour les réponses qui nous parviennent. Nous constatons donc que 59 % de nos répondants ont déclaré surveiller les informations sur les menaces, ce qui devrait les aider à appliquer ce qu'ils entendent de la part des fournisseurs et des pompiers, mais cela ne s'accorde pas très bien pour afficher une note de risque normalisée ou harmonisée. Ce sont donc les choses dont j'espère vivement que le 20 et 20 2021 s'occuperont.

Alistair Parr : Intéressant. Oui. Je rejoins ce que Brenda vient de dire. Donc, du point de vue de la normalisation en matière de remédiation, nous avons constaté que de nombreuses organisations traitent simplement le risque lié aux tiers comme une case à cocher. Ce phénomène diminue progressivement à mesure que les gens prennent conscience de son importance et, comme Brenda l'a mentionné, les CESOS sont de plus en plus conscients du fait qu'ils identifient ces défis et qu'ils doivent faire quelque chose pour y remédier, au-delà du simple constat qu'ilun certain niveau de risque associé à leur parc de tiers, et nous voyons de plus en plus de personnes trouver des mécanismes et des moyens pour commencer à relever ces défis, en imposant des contrats à leur chaîne d'approvisionnement et en mettant en place un processus de validation et de contrôle efficace. Donc, si nous devions résumer ce qu'a été l'année 2020, on pourrait dire que cela a été un peu comme mordre des chats. En se concentrant uniquement sur les risques liés aux tiers, il s'agit de lutter pour gérer un programme efficace et évolutif. Comme on peut s'y attendre, il y a beaucoup de collaboration dans ce domaine. Il ne s'agit pas uniquement de gérer des ressources internes, et cette collaboration nécessite des connaissances spécialisées, des connaissances sur le sujet dans les domaines respectifs et, comme on peut s'y attendre, une bonne dose de chance. Oui, j'adore cette image, car c'est vraiment comme si on blessait des chats.

Brenda Ferraro : C'est effectivement l'impression que cela donne. Alistair Parr : Voilà qui résume notre point de vue sur ce que nous avons observé jusqu'à présent en 2020. Nous allons aborder certains des principaux défis et thèmes à venir, ainsi que les thèmes clés qui devraient émerger au cours de l'année 2021. Certains d'entre eux concerneront l'évolution des solutions que nous avons observées en 2020, tandis que d'autres porteront sur des défis et des approches entièrement nouveaux en matière de gestion des risques liés aux tiers. Passons à la première diapositive. Il s'agit donc d'élargir les horizons des tiers en interne et en externe. Ce que nous entendons par là, c'est que nous avons commencé à observer cette tendance au cours de l'année 2020, en partie en raison des réactions à la résilience opérationnelle, mais il est également devenu nécessaire de comprendre comment les tiers interagissent spécifiquement avec l'entreprise. Trop de programmes ont historiquement été purement tournés vers l'extérieur de l'organisation. Ils obtiennent une liste brute des tiers avec lesquels ils traitent régulièrement et ceux-ci sont traités sans aucune association avec les domaines d'activité ou le contexte commercial qui leur sont associés. Ce que nous commençons à voir maintenant, c'est une association des tiers au-delà de cette liste de base qui peut être fournie par les services d'approvisionnement, juridiques ou financiers, quels qu'ils soient, et qui commence à s'adresser à l'entreprise. Alors, pourquoi utilisez-vous ce tiers ? Quelle valeur vous apporte-t-il ? Que fait-il pour vous, etc. Tout ce contexte est extrêmement important. Tout comme il est important de descendre jusqu'au niveau M dans la direction opposée, il est extrêmement important de comprendre le niveau réel de risque associé à cette organisation, à ce tiers lui-même. Et la façon dont nous voyons les gens faire cela, c'est en commençant à prendre en compte des éléments tels que les responsables des relations au sein de l'entreprise. Si ce n'est pas déjà le cas, nous nous attendons à ce que de plus en plus de responsables des relations soient désignés au sein des organisations. Ainsi, quelqu'un aura la responsabilité spécifique de gérer et de coordonner les relations avec ce tiers, et nous nous attendons à ce qu'il y ait plusieurs parties intéressées. Ce que nous voulons dire par là, c'est que vous trouverez souvent différentes parties de l'entreprise qui ont un intérêt direct dans cette relation. Ainsi, lorsque nous examinons le risque de concentration de tiers spécifiques, et nous y reviendrons un peu plus tard, ou lorsque nous examinons simplement le fait que nous allons rencontrer des difficultés pour générer des revenus parce qu'un tiers a disparu ou qu'il soutient différentes parties de l'organisation, cela nécessite une attention et une validation accrues par rapport à la hiérarchisation et au profilage préliminaires. Une tendance très courante que nous avons observée est que l'ensemble de données initial, et je pense que Brenda l'a évoqué un peu plus tôt, cet ensemble de données initial permettant de comprendre ce qu'est le tiers, ce qu'il fait, et d'appliquer un profilage initial, n'a historiquement pas été brillant. Les ensembles de données, les ensembles de données hérités, ont été insuffisants et nous commençons à voir et nous nous attendons à voir davantage en 2021 un meilleur processus d'approvisionnement. Il s'agit de partager dès le départ les données nécessaires pour mener à bien ces programmes. Cela conduit bien sûr à la gestion des parties finales et, bien sûr, Brenda et moi-même en parlerons un peu plus en détail dans un instant. Cela nous amène ensuite aux profils complets. Il s'agit donc d'intégrer et de fusionner les différentes parties de l'entreprise qui traitent avec un tiers. Il peut s'agir des services financiers, juridiques, des achats, de l'information, de la résilience informatique, de la confidentialité, etc. Il s'agit ensuite de commencer à établir ces profils à 360 degrés sur ce qui se passe avec ce tiers. Cela nous amène bien sûr à notre dernier point, qui est le cycle de vie plus large d'un tiers. De l'intégration à la sortie, il s'agit d'améliorer la gestion et la définition de la manière dont cela est géré. Nous aborderons quelques-uns de ces thèmes, mais Brenda, y a-t-il quelque chose que vous aimeriez ajouter, ou avez-vous observé quelque chose dans la pratique et avez-vous des attentes pour 2021 ?

Brenda Ferraro : Oui, bien sûr. La situation interne et externe d'un univers à identifier et le point de contact ont toujours été l'un des éléments clés qui ont posé des défis, et je pense qu'à l'approche de 2021,, de nouvelles approches seront adoptées, les gens se rendant directement chez le fournisseur pour lui poser des questions préliminaires sur le tarage et le profilage afin de corriger ces informations ou de les comparer avec celles que vous avez dans vos dossiers. C'est un peu comme lorsque quelqu'un vous demande simplement de dire : « Voici le service que je fournis. Voici ce que je fais pour vous. Voici où j'exerce mon activité. » Il s'agit ensuite de faire correspondre ces informations et de les comparer avec les renseignements dont vous disposez. Ainsi, si vous devez vous mettre au travail très rapidement, je constate également que les renseignements sont utilisés comme technique de hiérarchisation. Si vous avez vraiment besoin de trouver des informations rapidement, cela vous donne une image d'une partie du cycle de vie de votre fournisseur tiers et vous pouvez l'utiliser dès le début. Nous commençons donc à trouver de nouvelles façons non conventionnelles de déterminer qui nous allons contacter chez les fournisseurs si nous ne disposons pas de ces informations. À qui pouvons-nous nous adresser en interne si nous avons besoin de trouver ce dont nous avons besoin pour commencer ? Parce qu'il faut toujours frapper la balle hors du terrain pour pouvoir courir toutes les bases. Et si vous ne pouvez même pas frapper la balle dès le premier point, vous commencez à vous retrouver dans des situations où vous êtes en quelque sorte coincé. Nous cherchons donc des moyens de supprimer ces domaines dans lesquels les entreprises et les programmes sont bloqués.

Alistair Parr : Merci. Il y a donc beaucoup de complexité. Il y a beaucoup d'opportunités qui découlent uniquement de cette diapositive pour 2021 et de l'évolution de ces programmes. Mais, euh, nous sommes brutalement conscients du fait que toute cette complexité peut conduire à une conception trop sophistiquée et donc très difficile à mettre en œuvre et à gérer. C'est un thème récurrent que nous essayons d'aborder avec les RSSI, les DSI, etc. avec lesquels nous travaillons : ne surdimensionnez pas ces programmes tiers. Mais les thèmes clés que nous allons aborder pendant le reste de la session sont vraiment axés sur la rationalisation de l'efficacité et l'optimisation du rapport qualité-prix des programmes tiers tels qu'ils sont actuellement.

Brenda Ferraro : Oui. Et je pense que j'adore cette image. Vous n'avez pas besoin d'y revenir, mais l'évolution et la feuille de route pour élaborer votre programme sont essentielles. N'essayez pas d'en faire trop. Pour en revenir à l'image de l'éléphant et de l'oiseau, il existe un moyen de vous amener là où vous devez être, mais c'est un long chemin. Ce n'est pas quelque chose sur lequel vous voulez trop vous acharner. Alistair Parr : Brenda, je suis très curieux. Qu'avez-vous observé en matière d'approche commerciale et de profilage ? Y a-t-il quelque chose que vous pensez particulièrement efficace pour 2021 ?

Brenda Ferraro : Oui, j'attends vraiment avec impatience 2021, où nous commencerons à nous intéresser au profilage, comme vous l'avez mentionné tout à l'heure, Alistister, où nous examinerons le type d'entreprise que nous allons être et comment cela s'applique à mon entreprise en particulier.type d'entreprise pour laquelle nous allons fournir la diligence raisonnable et, dans ce contexte, comment cela s'applique-t-il à mon entreprise en particulier ? De cette façon, vous effectuez une gestion des risques significative en examinant les informations importantes, mais avant même d'en arriver là, en sachant, lorsque vous travaillez avec ces entreprises particulières, où elles fournissent-elles leurs services ? Hum, y compris les informations sur les menaces qui vous indiquent les zones sanctionnées, la possibilité d'examiner le mécanisme de soutien mis en place pour ces clients, puis de disposer d'un diagramme linéaire, d'un journal de liens ou d'un diagramme en araignée qui montrera les considérations internes dont vous devez tenir compte lorsque vous effectuez votre diligence raisonnable. Certains départements de votre entreprise peuvent dire : « Je sais que je dois travailler avec ce fournisseur particulier et qu'il présente des risques, mais mon appétit pour le risque nous permettra de continuer à travailler avec lui pendant qu'il met en œuvre ses mesures correctives, mais nous le contrôlerons de manière plus stricte et plus étroite. Ils peuvent avoir certaines contraintes en matière de ressources. Nous examinerons donc comment nous pouvons remédier à ces contraintes, qu'elles soient internes ou externes. Je pense donc que l'importance accrue de l'intégration dès le début va aider à effectuer une diligence raisonnable appropriée. Ensuite, il faut toujours garder à l'esprit que les contrats changent, que les engagements changent, et qu'il faut mettre en place un processus qui tienne compte de ces changements afin de pouvoir soit renforcer l'examen, soit s'assurer que cet examen répond exactement à tes besoins pour ce nouvel engagement ou cette nouvelle modification.

Alistair Parr : Et la seule chose que j'ajouterais à cela, d'après ce que j'ai pu observer, c'est que, comme vous pouvez le voir sur le graphique devant vous, il y a quelques thèmes communs qui ressortent de cette réflexion initiale. Historiquement, nous avons vu des gens se baser uniquement sur la valeur du contrat, puis appliquer un certain degré de tarage par la suite. Qu'ils utilisent ou non des outils de surveillance des menaces pour alimenter cela, il y a fondamentalement cette nécessité de regarder à l'intérieur de l'entreprise. Y a-t-il donc une obligation réglementaire associée à cela, basée sur ce qu'ils font au-delà de la valeur du contrat ? Quelles parties de l'entreprise soutiennent-ils ? S'agit-il de plusieurs parties ? Y a-t-il un risque de concentration associé à cela ? Que fournissent-ils réellement ? Où sont-ils basés géographiquement ? Et puis, bien sûr, c'est une situation fantastique. Mais si vous vous retrouvez avec 70 % de votre patrimoine immobilier classé comme critique ou de niveau 1, même si c'est le cas, la réalité est que vous n'avez peut-être pas les capacités internes pour y faire face. Il est donc de plus en plus courant d'ajuster et d'adapter cela en fonction de ce que vous pouvez réellement consommer et gérer afin de disposer d'un programme efficace, et c'est quelque chose que nous prévoyons de voir en 2021, à savoir une planification proportionnelle du portefeuille de fournisseurs par rapport aux profils initiaux et à ce qu'ils peuvent réellement essayer de faire. Je ne dis pas qu'il faut ajuster vos niveaux pour refléter votre capacité, car cela dépendra bien sûr de votre activité et sera décidé par votre entreprise, mais au moins, il faut être conscient et avoir un point de coupure et un point de coupure clairement défini sur ce qui est réellement réalisable lorsque le profilage et la hiérarchisation sont appliqués. D'accord. Ensuite, les parties prenantes au sein de l'entreprise de Brenda. Y a-t-il des tendances particulières que vous anticipez?

Brenda Ferraro : Approvisionnement, approvisionnement, approvisionnement. Nous allons assister à de nombreux changements dans le domaine de l'approvisionnement, car lorsque nous mettons en place les choses correctement grâce à l'approvisionnement, cela vient compléter les éléments identifiés en aval. Nous allons utiliser des situations qui permettent de trouver des données et de collecter des informations en interne et en externe, de l'intérieur vers l'extérieur et de l'extérieur vers l'intérieur, à partir de questionnaires et d'informations provenant de fils de discussion, qui seront applicables pour voir certains registres de risques appliqués à différentes organisations. Nous en avons parlé plus tôt, lorsque plusieurs départements ont dit au département de gestion des risques tiers : « Faites-moi savoir ce que vous collectez, car je peux l'utiliser pour répondre aux exigences réglementaires ou prendre des décisions sur les risques pour l'entreprise. Le service juridique voudra donc pouvoir voir dans un outil complet et cohérent ce qui a été recueilli et, de son point de vue, exactement ce qu'il a besoin de voir. Ensuite, les risques liés à la sécurité de l'information et les risques techniques nécessitent une évaluation de la gestion continue. Ils voudront donc pouvoir configurer des alertes pour identifier les éléments qui ne sont pas tout à fait satisfaisants et s'assurer que nous les surveillons de près. En ce qui concerne les opérations, nous parlons bien sûr de la résilience dans son ensemble et nous voulons nous assurer que ces gains d'efficacité en 2021 reflètent fidèlement la réalité de la chaîne d'approvisionnement. Et puis, bien sûr, l'audit. Si vous examinez les trois lignes de défense, vous voudrez être en mesure, en cas d'incident, de prendre ces informations et de rechercher très rapidement, à l'aide de votre outil complet, où s'est produite la déconnexion, où se trouve la cause profonde du problème et quels sont les effets en amont et en aval. Et l'audit voudra pouvoir voir tout ce que vous faites sans avoir à apprendre l'ensemble de votre programme. Assurez-vous donc qu'en 2021, vous utilisez un produit complet qui vous permette de dire : « D'accord, auditeurs, venez voir comment nous gérons et produisons la gestion des risques tout au long du cycle de vie de l'engagement du fournisseur. » Et vous, Alistister ? Que voyez-vous ?

Alistair Parr : Je suis tout à fait d'accord avec votre préambule, qui met l'accent sur les achats, les achats et encore les achats. Et c'est en quelque sorte voulu que les achats occupent une place centrale. Je suis tout à fait d'accord avec cela et je m'attends à voir cela de manière très marquée en 2021, car les achats génèrent une multitude de données et ilssont essentiellement le premier point de contact lorsqu'il s'agit de s'engager avec un tiers. Ils ont un poids et un pouvoir considérables dans le processus de négociation et peuvent amener ce tiers à investir du temps dans un programme plus large afin de collecter les données nécessaires avant que cela ne devienne un contrat BAU et que le fournisseur ou le tiers ne dispose des fonds nécessaires, après quoi les choses peuvent devenir légèrement plus laxistes. Je ne dis pas que c'est toujours le cas, mais cela peut parfois arriver. Nous nous attendons donc à voir davantage l'utilisation de cet outil d'approvisionnement en 2021. Maintenant, tous les autres aspects de l'organisation qui s'intéressent aux données de tiers que nous collectons, qu'il s'agisse des opérations de gestion des risques juridiques ou de l'audit, ont bien sûr des points de vue et des perceptions différents sur ce qu'ils veulent voir. Cela nous amène à ce que nous pensons devenir la norme, à savoir un profil complet ou à 360 degrés. Et la raison pour laquelle cela devient plus important et, je dirais, plus répandu que jamais, c'est que les technologies sont désormais disponibles et correctement orchestrées pour permettre leur utilisation dans un seul et même écran ou dans une vue plus consolidée, quelle que soit la manière dont cela est fait. Ainsi, plutôt que d'avoir chacun de ces domaines d'activité avec une approche fragmentée, susceptible d'agréger les mêmes données de manière légèrement différente, en silos. Nous assistons à la création d'un profil centralisé, alimenté par différents flux et outils. Pour passer en revue certaines des choses qui, selon nous, devraient devenir la norme en 2021, il y a fondamentalement les évaluations, et au sein de celles-ci, nous avons différents types d'évaluations:

• Évaluations fondées sur la confidentialité
• Sécurité de l'information
• Résilience opérationnelle
• Évaluations axées sur la conformité
• Évaluations de profil d'entreprise
• Lutte contre la corruption
• Évaluations de l'esclavage moderne

Il existe toute une série de contenus différents qui, d'un point de vue cybernétique, deviennent courants, contrairement à un simple addendum sur la sécurité. Comme Brendan l'a mentionné précédemment, il s'agit de saisir cette perception initiale, cette perspective cybernétique initiale. Même s'il ne s'agit que d'un point de vue extérieur de tiers, cela vous permet néanmoins de comprendre leur posture en matière de risques et la manière dont ils gèrent leur environnement. Les données commerciales sont essentiellement des événements commerciaux, des événements commerciaux historiques associés à l'organisation qui peuvent être significatifs. Il s'agit donc des changements dans les opérations, des changements dans les territoires, des lancements de produits, des nouvelles gammes de services proposées, etc. Toutes ces informations pertinentes vous permettent de comprendre l'esprit de l'entreprise et ce qu'elle fait réellement. Les données financières devraient prendre de plus en plus d'importance. Bien sûr, certaines entreprises les utilisent déjà aujourd'hui, mais les données financières devraient être intégrées au profil du fournisseur. Il s'agit donc de leur stabilité financière, des risques de faillite au cours des 12 prochains mois, de leur insolvabilité. Les événements désignent tout événement proactif au-delà de ce point. Ainsi, les violations de données, les interruptions de service, les informations sur les fusions et acquisitions, tout ce qui est pertinent est communiqué de manière proactive dans ce profil. Le suivi des certifications, le cas échéant, partout où nous pouvons obtenir des certifications et les démontrer, plutôt que de répéter les mêmes évaluations de manière légèrement différente. Et puis, bien sûr, comme Brenda l'a mentionné, la partie finale. Qui est donc ce fournisseur ? Quels sont les quatrième, cinquième, sixième et septième intervenants associés qui ont une importance pour les services qu'ils fournissent ? Pour résumer, ce que j'attends pour 2021, c'est cette vue amalgamée, ce profil unique intégrant différents éléments, et chaque partie intéressée mentionnée dans la diapositive précédente consacrera du temps à des éléments ou des composants de ce profil de fournisseur. Mais plutôt que d'avoir ces silos isolés, nous assisterons à un effort plus concerté entre les entreprises pour saisir cela dès le départ, ce qui rendra le processus plus rationalisé pour le fournisseur, plus accessible et permettra une meilleure analyse de cet ensemble de données. Brenda, je suis curieux de savoir si c'est quelque chose que vous vous attendez également à voir au cours de l'année 2021.

Brenda Ferraro : Je suis impatiente de voir cela en 2021. Il existe tellement d'entreprises qui utilisent différents outils qui ne communiquent pas entre eux. Et ce que vous reflétez ici, c'est ce profilage complet et cette capacité à tout voir d'un seul coup d'œil. Ainsi, lorsque vous examinez la situation, vous pouvez vraiment faire une analyse de ce qui va suivre. Sans cela, vous n'avez que des fragments et des morceaux, et vous ne faites que reconstituer une partie du puzzle. Mais le fait d'avoir le puzzle complet et de vous offrir une visibilité totale sur un seul écran sera très utile pour ceux qui doivent effectuer ce type de travail. Car si vous repensez à la diapositive où vous montriez le bâtiment richement décoré, il est effectivement richement décoré. L'ensemble du programme devient assez brillant et spectaculaire, mais vous devez disposer de toutes ces pièces pour qu'il ait cet aspect brillant.

Alistair Parr : Merci. Très intéressant. Si je peux me permettre, comment voyez-vous le cycle de vie complet? Donc, de l'approvisionnement à la sortie de l'entreprise, en passant par l'évolution vers 2021. Brenda Ferraro : Si vous regardez cette diapositive, vous pouvez voir qu'il y a deux couleurs différentes. Les deux premiers chevrons sont d'un bleu plus clair, puis les trois derniers sont d'un bleu plus foncé avec du gris en dessous. Si vous vous concentrez sur les trois derniers, l'inventaire et l'admission des fournisseurs, leur hiérarchisation, puis votre évaluation et votre suivi de la diligence raisonnable, c'est ce sur quoi de nombreuses entreprises se sont concentrées et c'est ce que nous avons observé comme tendance jusqu'en 2020. Ce que nous allons voir en 2021, c'est l'ajout de la capacité à effectuer l'approvisionnement, les appels d'offres et les parties contractuelles du cycle de vie. Nous affinons donc le processus en apportant des informations complémentaires et en nous préparant à réussir davantage en amont du cycle de vie, ce qui permettra de répondre aux besoins des entreprises et de garantir que les exigences tiennent compte de la complexité des tiers à grande échelle. Tout ne va donc pas changer du tout au tout. Nous veillons simplement à mettre l'accent sur certains domaines qui n'utilisaient pas nécessairement les capacités avancées de gestion des risques liés aux tiers en amont du cycle de vie des achats. De plus, grâce à la surveillance, vous remarquerez bien sûr que cela se répercute sur chacune des phases du cycle de vie. Premièrement, vous pourriez utiliser vos informations sur les menaces pour sélectionner vos fournisseurs pour vos appels d'offres ou vos appels à candidatures. Et vous utiliserez ces éléments de surveillance et vos informations harmonisées et normalisées sur les risques pour ajuster les contrats. Il se peut que quelqu'un ne soit pas aussi performant qu'il le devrait ou, bien sûr, comme nous l'avons déjà mentionné, qu'il ait commencé à faire des affaires différentes avec l'entreprise et que nous devions nous assurer que nous faisons preuve de la diligence requise. Maintenant, votre inventaire de fournisseurs et vous assurer que vous obtenez les informations lorsque vous en avez besoin. Nous avons constaté des difficultés en 2020, où quelqu'un pouvait être ajouté, mais nous ne le savions pas et nous n'avons pas fait preuve de diligence raisonnable, car nous n'avions aucune information. Cette base de données tierce ou n-ième va être essentielle pour que vous puissiez comprendre non seulement qui figure dans votre inventaire, mais aussi ce qu'ils font, ce qu'ils font pour vous et comment ils interagissent avec vos unités commerciales internes jusqu'à vos parties finales externes. Et puis, en matière de hiérarchisation, je suis sûr que certains d'entre vous ont ressenti la même chose que moi lorsque j'ai mis en place un programme de gestion des risques liés aux tiers et que les services d'approvisionnement ont eu la gentillesse de me fournir différentes listes à différents moments, indiquantqui sont nos tiers et nos quatrièmes parties, et comme j'en recevais des milliers à la fois, je devais m'assurer d'adopter une approche évolutive pour identifier ce qui était le plus important, le deuxième et le troisième, donc il est également essentiel de classer ces fournisseurs et de planifier leur évaluation. Le fait de voir tous ces éléments fonctionner ensemble, se compléter et dépendre en quelque sorte des entrées et des sorties permet d'adopter une approche plus fermée, et j'aime l'idée que cela devienne notre vision pour 2021 et l'avenir. Qu'en pensez-vous, Alistister ?

Alistair Parr : Très intéressant. Je constate une grande similitude et ce que je trouve intéressant dans cette diapositive, c'est également le fait que les activités d'approvisionnement initiales soient représentées par le chevron bleu. Il s'agit donc de surveiller les indicateurs clés de performance (KPI) afin d'identifier les meilleures sources et de contrôler les performances en continu. Jusqu'à récemment, c'était quelque chose qui m'était assez étranger en matière de programme de gestion des tiers. Ce n'est pas géré par les mêmes équipes qui effectuent les évaluations et qui entretiennent les relations avec les tiers. Mais cela devient de plus en plus courant. Ce que j'ai trouvé intéressant et qui, selon moi, devrait se poursuivre en 2021, ce sont ces indicateurs de performance, ces exigences en matière d'indicateurs clés de performance, qui s'inscrivent dans un cycle de vie plus large. Ils ne se limitent pas à un moment donné ou au renouvellement des contrats, etc. On commence à voir des organisations suivre les clauses, les clauses contractuelles et les attentes dans le cadre de leurs processus d'évaluation et détecter les divergences. Un exemple typique serait celui où un addendum de sécurité est fourni dès le départ dans le cadre de la phase de contrat RFP, puis validé en aval, non seulement au moment de l'évaluation initiale, mais aussi 3 mois, 6 mois, etc. plus tard, et utilisé pour a) traiter les risques et b) bien sûr renégocier les contrats à la fin du terme. Obtenir un retour sur investissement sous forme d'économies grâce à des négociations contractuelles portant sur des lacunes en matière de sécurité ou de prestation de services est donc très intéressant, car cela permet de démontrer un retour sur investissement certain pour ces activités, ce qui, à mon avis, faisait défaut depuis plusieurs années dans le secteur. Même si les gens s'orientent vers des modèles équitables pour essayer d'associer le risque financier et le coût associé aux risques qu'ils identifient, cela ne résout toujours pas le problème du retour sur investissement réel de ce programme de gestion des tiers élargi. Nous devrions au moins obtenir des économies financières, et nous commençons à voir des organisations le faire. Cela ne résout toujours pas le problème du retour sur investissement que nous obtenons réellement pour ce programme plus large de gestion par des tiers. Vous savez, nous devrions au moins réaliser des économies d'argent et nous commençons à voir des organisations le faire.

Brenda Ferraro : Je suis d'accord. Alistair Parr : Brenda, je suis curieux de connaître votre opinion sur la cartographie des parties finales. C'est certainement un sujet brûlant à l'approche de 2021, mais selon vous, qu'est-ce qui sera plus proportionnel à l'approche de 2021 ? Brenda Ferraro : Oui, tout le monde commence à creuser en profondeur. Ils ne se contentent pas d'aller jusqu'au premier périmètre. Ils vont au-delà pour identifier les risques. Comment vais-je pouvoir réagir rapidement à la gestion des incidents ? Et en ce qui concerne la gestion de la résilience, comment vais-je savoir exactement ce que je dois modifier ou changer lorsque les choses ne se passent pas comme prévu ? Ou si tout se passe très bien, comment les inclure dans l'utilisation d'autres services ? Si vous examinez ce que ce flux de travail « identifier, évaluer, contextualiser, associer et maintenir » permet réellement de faire, c'est de vous assurer que vous savez, dans leur contexte, avec quels tiers, quatrièmes parties et parties finales vous travaillez. Cartographiez-les en interne et en externe pour créer une base de données, une base de données de gestion pour vos fournisseurs ou vos sous-traitants et vendeurs. Assurez-vous ensuite, en la maintenant à jour, que vous examinez tout ce qui pourrait arriver, que ce soit positif ou négatif. Si vous allez aussi loin, cela peut sembler effrayant au premier abord. C'est un peu comme vouloir vider l'océan, mais il existe en 2021 des techniques et des moyens qui peuvent vous aider. Par exemple, vous pouvez obtenir un rapport sur les menaces qui vous indiquera quelles sont les entreprises avec lesquelles ils travaillent. Et puis, si un incident se produit, vous pouvez rapidement dire : « D'accord, voici le tiers avec lequel l'incident se produit. Où cela va-t-il avoir un impact en externe et en interne afin que je puisse ajuster mon flux de travail, mes processus commerciaux ou commencer à invoquer des plans de continuité des activités et des plans de reprise après sinistre si nécessaire. Je peux vous raconter une anecdote très rapidement. Dans le passé, j'ai été confronté à une situation où nous avons eu un incident causé par un tiers, et ce tiers avait également impliqué un quatrième tiers. Sans vraiment comprendre quelle diligence raisonnable le tiers avait exercée pour le quatrième tiers, cela nous exposait essentiellement à un risque inconnu. Et nous voulons connaître nos risques. Nous ne voulons pas avoir d'inconnues, sauf s'il s'agit de l'environnement ou de quelque chose qui se produit de manière inattendue. Il est donc important de gérer ces risques. Je vous dirais donc sans hésiter que si ce n'est pas une chose que vous envisagez pour 2021 à l'heure actuelle, c'est certainement quelque chose que vous devez commencer à envisager à l'approche de 2021, car vous voudrez avoir une vue d'ensemble à portée de main lorsque votre RSSI et/ou vos dirigeants commenceront à vous demander quel sera l'impact de cette situation sur votre entreprise.

Alistair Parr : Je suis tout à fait d'accord avec cette marque. Merci. Et quelque chose qui est lié à cela et que je constate clairement au Royaume-Uni, c'est qu'il existe des directives, des cadres et des réglementations qui commencent à soutenir l'examen de la quatrième partie ou de la Mème partie. Donc, euh, ou produit par des organisations et comme le P euh le soutient dans le sens où il comprend en aval quels sont les impacts et comment cela va vous affecter. Nous voyons donc que non seulement les régulateurs commencent à visualiser et à se concentrer sur la partie finale, mais comme vous l'avez mentionné, au-delà des simples préoccupations de sécurité, il y a des avantages et des bénéfices en aval pour la partie N que nous commençons à voir se concrétiser. Vous avez donné un bon exemple à ce sujet, à savoir lorsqu'il y a une violation de données, une interruption de service, etc. Il s'agit de comprendre l'impact associé à cela sur l'ensemble de votre chaîne de tiers. Et je pense que cette image l'illustre très bien. Si nous isolons l'un de ces points dans ce réseau, cela donne une image très différente de celle que l'on obtient en considérant également les associations qui l'entourent. C'est pourquoi nous pensons que de plus en plus de personnes commenceront à définir où elles disposent de ressources en bande passante en 2021. Cela signifie fondamentalement que ce qui se cache sous le navire des fournisseurs n'est pas si tolérable en 2021. Ce que nous voulons dire par là, c'est que la multitude de fournisseurs et d'entités qui soutiennent tous vos tiers est devenue importante en 2020, en partie en raison de la résilience opérationnelle et d'une tolérance réduite au risque, et nous pensons que cette tendance se poursuivra en 2021. Jusqu'à présent, nous nous sommes fortement concentrés sur l'évolution des programmes. Où en est un programme basé sur un programme déjà défini ? Mais il y a autre chose que nous voulions aborder, à savoir un programme essentiellement nouveau ou populaire qui a démarré vers la fin de 2021, et nous examinons un certain nombre d'éléments dans le cadre de la mise en place de ce programme, qui ont évolué au-delà de la mentalité de 2020. Quelques-uns sont mis en avant actuellement, mais ceux que je voudrais souligner et qui, selon moi, vont prendre de l'importance en 2021, concernent la définition des indicateurs clés. Il s'agit donc de déterminer dès le départ ce qu'est réellement le succès, car l'échec que nous avons constaté à maintes reprises au cours des dernières décennies est dû au fait que l'on a essayé d'en faire trop, ce qui a finalement conduit à l'échec. Nous voyons donc les programmes tiers, à la fin de l'année et au début de l'année prochaine, devenir plus intelligents quant aux indicateurs de réussite et, par conséquent, quant à ce que doit être le programme et où il doit se situer pour atteindre ces objectifs sur une période de six à douze mois. Mais plutôt que d'allouer des ressources en fonction de l'ampleur du problème, ils peuvent prendre une décision dès le départ et simplement dire que, sur la base du budget, des capacités et de la portée globale de notre organisation, nous attendons ce résultat pour nos partenaires de premier niveau. Nous attendons ce niveau de validation et de correction pour nos partenaires de deuxième niveau, etc. et nous comprenons les indicateurs dont nous avons besoin pour rendre compte du succès par rapport à cela. Un autre sujet clé que nous voyons dans le cadre d'un nouveau programme est le facteur humain. Cela évolue depuis un certain temps, mais le facteur humain signifie ici principalement comment nous allons établir ces profils complets des tiers et des entités après l'achat, alors qu'il n'y a pas d'obligation légale ou contractuelle, ou seulement une obligation très vague, qui les oblige à faire certaines choses et qu'ils ne vont investir que le minimum de temps nécessaire pour vous fournir des informations. Et cela s'applique autant en interne à l'entreprise qu'aux tiers. Nous avons donc vu le marketing commencer à s'impliquer et à soutenir certaines de ces activités afin de mettre à profit son expertise et ses conseils pour obtenir l'engagement et la participation du personnel afin d'obtenir des réponses et de collecter des informations. Cela peut se traduire par le recours à des voix faisant autorité dans le cadre des communications internes à l'entreprise. Cela peut même aller jusqu'à l'utilisation de délais très précis pour la publication des évaluations. Il s'agit donc de publier à des dates précises en attendant des réponses dans des délais déterminés, etc. Il existe un comportement humain qui se prête au processus d'obtention d'informations auprès de tiers et de fournisseurs, et nous constatons que cela devient de plus en plus efficace comme outil pour établir ces profils. Brenda, y a-t-il autre chose que vous souhaiteriez commenter à propos d'un nouveau programme qui, selon vous, sera bénéfique en 2021 ? Brenda Ferraro : Je pense que vous l'avez très bien exprimé. Je n'ai vraiment rien d'important à ajouter à cela. J'aime tout ce que vous avez mentionné et ce que cela montre.

Alistair Parr : Merci. Dans ce cas, que pensez-vous de la gestion continue? Une fois que ces éléments sont en place, comment voyez-vous leur évolution vers une sorte de routine et d'amélioration continue ? Brenda Ferraro : Oui, pour ma part, j'ai définitivement changé d'avis et lorsque je conseille des entreprises, je leur dis qu'elles doivent s'éloigner des évaluations ponctuelles en 21 et se concentrer réellement sur l'évaluation continue. Je parle d'évaluation continue, car nous avons toujours entendu parler de surveillance et de questionnaires à remplir, et certaines entreprises les ont mis en place sur un cycle d'un an, deux ans ou trois ans en fonction de leur niveau, mais il existe désormais des durées plus longues pour les niveaux bas et moyens, et je peux le comprendre. Donc, si vous ne trouvez pas de risque avec un fournisseur particulier, qu'il ne remédie à rien et que vous vous contentez de faire des contrôles ponctuels, alors ça va. D'accord. Mais pour les entreprises dont vous suivez les risques jusqu'à leur résolution et qui ont mis en place des plans de remédiation, vous devrez vérifier et valider ces risques à mesure qu'ils sont résolus, car cela montre non seulement leur posture en matière de risques, mais aussi la vôtre dans une position favorable s'ils ont mis en œuvre une remédiation applicable. C'est donc ce sur quoi je commencerais vraiment à me concentrer : m'assurer que vous faites ce que vous faites aujourd'hui, mais en adoptant une approche qui consiste à évaluer en permanence vos tiers à haut risque et/ou, si un changement survient dans vos informations sur les menaces ou si un incident se produit, à les réévaluer bien sûr. Mais essayez de vous éloigner de cela et utilisez des plateformes qui vous facilitent la tâche à grande échelle. Vous n'aurez même pas à dire « OK, je vais seulement examiner les risques élevés ou critiques et laisser de côté les risques moyens et faibles ». Parfois, l 'automatisation vous permettra d'examiner tous les niveaux et vous pourrez le faire facilement grâce à l'automatisation de la configuration que vous avez mise en place dans votre plateforme. Voyez-vous la même chose, Alistair ?

Alistair Parr : Tout à fait. Oui. Cet aspect de surveillance et d'amélioration continues a été lent à s'intégrer dans la gestion des risques liés aux tiers, ne serait-ce que pour des raisons de capacité, mais aussi par souci de maintenir la continuité et la cohérence d'une année sur l'autre. Mais je suis tout à fait d'accord pour dire que les gens trouvent des moyens plus intuitifs de maintenir les normes, les cadres et les exigences hérités, tout en faisant évoluer leur programme et, bien sûr, en s'assurant qu'ils disposent d'informations continues sur ces tiers. Brenda, je suis très curieux de connaître votre opinion sur les réseaux, car il en existe un certain nombre et ils apportent manifestement une valeur ajoutée considérable lorsqu'ils sont utilisés correctement. Comment voyez-vous leur évolution pour l'année prochaine ?

Brenda Ferraro : Je commence donc à remarquer que nous ne nous concentrons pas uniquement sur une seule entreprise qui pilote un réseau particulier en matière de normalisation. Par exemple, s'il existe un réseau de fournisseurs de soins de santé ou un réseau de fournisseurs de services juridiques. Nous nous concentrons vraiment sur toutes les tailles. Et ce profil complet permettra aux petites entreprises de voir ce qu'elles ont besoin de voir, de se soulager et de tirer profit de ce que font les autres entreprises au sein de ce réseau. Elles commenceront ainsi à remédier aux risques. Elles ont la possibilité de le faire en tant que communauté ou d'accéder à des informations adaptées à leur taille. Certaines entreprises n'évaluent que 25 fournisseurs par an, tandis que d'autres en évaluent 10 000. Le partage de ces informations sera donc très répandu et familier à tous en 2021. Le risque fournisseur va maintenant commencer si quelqu'un a remédié à un risque ou à un problème, nous allons commencer à voir cela transmis aux entreprises afin qu'elles n'aient pas à aller dire à chaque entreprise que j'ai remédié à ce problème particulier. Allez vérifier. Ce sera : « Je l'ai fait ». Je l'ai mis sur mon portail fournisseur et les clients vont alors le voir comme par magie dans leur système et pourront passer aux étapes suivantes et prendre les mesures nécessaires pour le vérifier ou l'accepter. L'autre élément très utile que nous observons dans les réseaux est le flux de réponses instantanées. Ainsi, si des efforts doivent être déployés dans un secteur d'activité, dans un secteur spécifique ou même dans plusieurs secteurs, vous commencerez à voir des personnes capables d'utiliser ces diagrammes web et les informations provenant d'un niveau supérieur, où elles pourront partager et comparer, ce qui nous permettra de renforcer notre Vous commencerez à voir des gens capables d'utiliser ces diagrammes web et les informations provenant d'un niveau supérieur, où ils pourront partager et comparer, ce qui nous permettra de renforcer notre position à l'échelle mondiale plutôt que simplement au niveau individuel pour chaque entreprise et/ou fournisseur. Et vous, Alistair ?

Alistair Parr : Oui, je suis tout à fait d'accord avec tout ce que vous avez dit, et je m'attends à ce que le réseau devienne plus centré sur les fournisseurs en 2021. Il s'agit donc de déplacer cette optique vers les fournisseurs et de leur fournir des moyens simples et évolutifs de partager efficacement les informations avec l'ensemble de leurs clients. D'après ce que j'ai entendu de la part des clients et, bien sûr, des fournisseurs, l'approche « un vers plusieurs » est devenue de plus en plus importante. À cela s'ajoute le fait que les données réseau disponibles sont très spécifiques à une gamme de services, qui est interprétée comme représentant l'ensemble des fournisseurs. Cela s'applique aux différents réseaux de surveillance qui existent, etc. Cela ne donne pas vraiment une image fidèle de la réalité et, d'après ce que nous avons pu constater, la seule façon d'y parvenir est de procéder à une évaluation. Il sera donc particulièrement important d'aider les fournisseurs à fournir des informations sur les lignes de service et à évaluer les collisions. Pour résumer très brièvement ce que nous observons, nous nous attendons à ce qu'en 2021, davantage d'organisations structurent leur chaos, ce qui est bien sûr une bonne nouvelle pour tout le monde. Malheureusement, ce n'est pas une image que Brenda et moi avons pu recréer récemment en raison du confinement, mais c'est certainement ce que nous ressentons parfois lorsque nous voyons les programmes tiers dont nous parlons commencer à porter leurs fruits et être en mesure de fournir des résultats à grande échelle.

Brenda Ferraro : ce sont sans aucun doute mes cheveux Brenda Ferraro : c'est mon sourire Alistair Parr : il nous reste quelques minutes pour une session de questions-réponses. Nous avons essayé d'intégrer les réponses aux questions au fur et à mesure de la session. Mais si vous avez des questions, n'hésitez pas à les poser dans la fenêtre de chat. Pendant ce temps, nous aimerions vous présenter quelques sondages. N'hésitez pas à voter et à nous donner votre avis sur la situation. Pendant ce temps, nous répondrons à quelques-unes de ces questions. Je vais donc choisir la première question parmi celles que nous avons reçues. Brenda, si je peux me permettre, si la direction n'a pas défini de plan d'évaluation des risques, comment l'audit interne peut-il donner des conseils sans être directement impliqué dans l'élaboration du plan?

Brenda Ferraro : Oui, c'est ma question préférée de la journée. J'adopterais en fait une approche consultative pour évaluer la maturité de votre processus de diligence raisonnable et déterminer quelle diligence raisonnable vous appliquez à votre programme. Certaines entreprises remplissent des questionnaires d'attestation dans le cadre du cycle d'approvisionnement. Je vous conseillerais donc de commencer par contacter Prevalent si vous le souhaitez. Nous pourrions évaluer le degré de maturité de votre service des achats ou vous aider à identifier les incohérences et les lacunes, puis vous pourriez utiliser ces informations comme test décisif pour un audit interne réalisé par une partie externe, ce qui vous permettrait de mesurer le retour sur investissement et d'autres aspects liés à la mise en place d'un programme.

Alistair Parr : Merci Brandon. Une autre question que nous avons ici concerne les parties N. Euh, et la question porte sur, pour paraphraser, euh, quel soutien et quelle attention voyez-vous être accordés aux parties par les régulateurs ou les entreprises en général, le cas échéant? Brenda Ferraro : Eh bien, comme Alistister l'a mentionné, certaines exigences réglementaires sont en train de se concrétiser maintenant que nous avons traversé une année assez mouvementée. Tous les régulateurs commencent à examiner dans quelle mesure, à quel niveau et dans quelle ampleur il faut se pencher sur cette question. Je dirais simplement que si vous cherchez des exemples, certaines composantes du NIST et de l'ISO traitent des quatrièmes parties en général et des parties finales en général, mais je pense qu'au cours de l'année 2021, ces exigences réglementaires deviendront plus claires.

Alistair Parr : Merci. Je m'excuse auprès de tous ceux qui ont posé des questions auxquelles nous n'avons pas pu répondre, mais j'espère que la plupart d'entre elles ont été abordées au cours de la conversation. Nous sommes maintenant à l'heure pile. Tout d'abord, je tiens à remercier Brenda de s'être jointe à moi aujourd'hui. Cette conversation a été très enrichissante et j'ai beaucoup apprécié vos commentaires et vos idées. Brenda Ferraro : Merci. Ce fut également un plaisir pour moi. Quand vous voulez, Alistair. Je suis disponible tous les jours si vous le souhaitez.

Alistair Parr : Je pense que nous finirons probablement par le faire. Mais merci beaucoup à tous les participants d'avoir été présents aujourd'hui. Si vous avez des questions, n'hésitez pas à nous contacter à tout moment. Nous serons ravis de vous conseiller et, comme Brenda l'a mentionné, de vous aider en vous fournissant des conseils pour évaluer votre maturité, etc. Mais nous allons nous arrêter là pour aujourd'hui. Encore une fois, merci beaucoup à tous. Je vous souhaite une excellente journée.