5 étapes clés pour intégrer la gestion des risques dans l'ADN de votre organisation

Peter Schumacher: Bonjour à tous, merci de votre présence. Je vous prie de m'excuser pour ce léger retard. Je vous souhaite la bienvenue et vous remercie de participer à notre webinaire aujourd'hui. Nous allons vous présenter les cinq étapes clés pour intégrer la gestion des risques dans l'ADN de votre organisation. Nous avons la chance d'accueillir aujourd'hui Brian Johnson, directeur principal de la sécurité de l'information chez PayPal. Je m'appelle Peter Schumacher et je serai votre animateur aujourd'hui. J'ai quelques points administratifs à aborder avant de commencer officiellement. Tout d'abord, je vous rappelle que toutes les lignes des participants sont mises en sourdine afin de réduire au minimum les bruits de fond. Cependant, afin de préserver le caractère interactif de la session, nous vous invitons à poser vos questions via la console Q&A. Vous la trouverez en bas de votre écran. À la fin de l'heure, si le temps le permet, nous organiserons une séance de questions-réponses en direct avec Brian. Le webinaire d'aujourd'hui est enregistré. Nous vous enverrons une copie de cet enregistrement par e-mail dans un jour ou deux. Je sais que vous n'êtes pas venus pour entendre ma voix, alors je vais passer la parole à Brian. Merci beaucoup de vous joindre à nous, Brian, et je vous laisse la parole.

Brian Johnson: Merci de m'accueillir, Peter, et bienvenue à tous. Merci de participer à ce webinaire sur le sujet crucial de la gestion des risques et sur la manière de l'intégrer dans l'ADN de votre organisation. C'est un sujet plus pertinent que jamais, surtout compte tenu des circonstances actuelles et du climat mondial, avec une pandémie mondiale et des changements dans notre environnement de travail. Notre vie sociale, notre vie professionnelle et tout le reste ont été bouleversés du jour au lendemain. Cela met en évidence, plus que jamais auparavant dans notre génération, la nécessité non seulement d'avoir des plans bien pensés, des plans d'urgence et des plans d'affaires prêts à être mis en œuvre pour que notre entreprise soit en mesure de prendre des décisions cruciales en temps opportun, mais aussi de le faire en toute connaissance de cause. C'est la capacité à prendre des décisions en disposant des bonnes informations au bon moment qui différencie les entreprises qui prospèrent et survivent dans des situations comme celle-ci de celles qui sont en difficulté. Ainsi, même lorsque nous avons abordé ce sujet il y a plusieurs mois, avant même la COVID, il était plus pertinent que jamais. Aujourd'hui, alors que nous voyons ce type de conditions se produire dans notre environnement, nous constatons la nécessité de prendre et de fournir des informations au niveau de la direction et de l'administration afin d'aider à prendre ces décisions de la manière la plus pertinente et appropriée possible. Nous constatons la nécessité de fournir des informations au niveau de la direction, du conseil d'administration et des cadres supérieurs afin d'aider à prendre des décisions aussi pertinentes et appropriées que possible. Tout d'abord, j'espère que tout le monde va bien et est en sécurité. C'est un excellent signe que vous puissiez maintenant prendre le temps d'acquérir des crédits de formation continue, de développer certaines compétences ou même simplement de collaborer un peu sur des sujets pertinents, tant que nous en avons le temps. Dans notre environnement chez PayPal, nous sommes très occupés. Le marché et le climat ont considérablement changé notre façon de travailler et nos interactions. Lors de réunions avec mes collègues du monde entier, nous entendons beaucoup d'histoires différentes sur la façon dont les emplois sont affectés et sur les changements du marché qui ont un impact considérable sur notre façon de travailler. Mais dans tout cela, bien sûr, l'unité autour de l'humanité, l'établissement d'une confiance mutuelle et le maintien de cette confiance sont des facteurs clés dans lesquels nous investissons pour nous assurer que les relations continuent d'être entretenues, que les gens se sentent aussi en sécurité que possible et que nous prenons les mesures nécessaires pour répondre à ces besoins. Cela étant dit, je vais vous présenter brièvement le contexte, puis passer au sujet d'aujourd'hui, et nous garderons un peu de temps pour les questions-réponses. J'aimerais beaucoup entendre vos commentaires sur le sujet, ainsi que certaines des réflexions que je vais partager, et j'aimerais connaître vos points de vue et répondre à vos questions. Pour vous donner un peu de contexte et d'informations sur mon rôle dans le domaine de la technologie. Je suis à la tête du département technologique depuis plus de 20 ans et j'ai occupé des fonctions dans les domaines de l'infrastructure et des opérations au sein de grandes sociétés financières, puis de petites start-ups technologiques, et plus récemment dans le secteur des technologies financières chez PayPal. Dans le monde de la technologie et de la sécurité, j'ai donc été confronté à différents degrés de maturité et niveaux de sensibilisation à la sécurité, qu'il s'agisse de résistance aux philosophies de gestion des risques et à la manière dont la sécurité de l'information, la cyberconfiance ou la cybersécurité sont perçues dans une organisation, ou de soutien total et d'investissements importants. Je sais que vous avez également des points de vue différents. Certaines de vos organisations approuveront sans réserve un programme de sécurité et les investissements nécessaires pour maintenir et développer ce programme. Ce sont donc ces types d'investissements que nous avons tendance à considérer comme des modèles de conditions d'exploitation et que nous devons nous efforcer de maintenir. Et puis, dans de nombreux cas, nous élaborons une analyse de rentabilité pour essayer de convaincre la direction d'investir dans un domaine particulier de l'entreprise ou dans une expansion particulière vers un nouveau marché, ou même simplement pour gérer un programme de gestion des risques de base. Hum, je vais faire une pause d'une seconde. Je vois une note qui dit qu'il y a un très mauvais écho. Hum, voyons si nous pouvons régler le problème audio, hum, en appuyant sur le commentaire là. Pouvez-vous me dire si c'est mieux ou si vous entendez mieux ?

Peter Schumacher: D'après ce que je peux voir, Brian, euh, ça semble correct. Euh, il y a un petit écho, mais ton audio est synchronisé avec ta vidéo maintenant, et je pense que, euh, ça fonctionne.

Brian Johnson: Très bien. Excellent. Je vais donc continuer. le fondement et le contexte de ce dont je souhaite vous parler et vous présenter est un sujet sur lequel Gartner a mené des recherches et qui fait partie intégrante de ce sujet. Il s'agit d'une méthodologie et d'un cadre pour développer la gestion des risques. Je voudrais vous faire part de mon point de vue et de celui de mon organisation et de mes partenaires sur la manière de mettre cela en œuvre dans les pratiques de l'organisation, y compris la structure, les fonctions et les priorités pour intégrer cela dans votre organisation. Une partie de cela a en fait abouti à des façons dont nous avons vu différents partenaires industriels façonner leur organisation. Cela a peut-être même conduit à modifier la structure des équipes, puis à désigner certains rôles dans une organisation qui n'existaient peut-être pas auparavant. Je vais donc aborder certains de ces points pendant le temps que nous passerons ensemble. Je vous présenterai ensuite certains concepts qui vous seront peut-être familiers, ou peut-être nouveaux. J'espère que cela vous donnera des idées et des éléments que vous pourrez utiliser dans votre organisation. Je voudrais donc poser la question suivante : quantitatif ou qualitatif en matière de gestion des risques, de technologie et de gestion des risques de sécurité. Levez la main, si vous pouvez utiliser l'option « lever la main » dans la fonctionnalité de Zoom, si vous avez utilisé l'analyse quantitative des risques dans votre entreprise. En d'autres termes, une méthode de mesure par des modèles quantitatifs ou un type d'analyse statistique, de mesure des risques et de gestion des risques dans votre organisation. Nous voyons quelques mains se lever. Euh, 10. Donc, jusqu'à présent, vous avez environ 10 % d'incitation. Euh, merci pour vos commentaires à ce sujet. Au fait, c'est bien de savoir d'où vous venez. Euh, d'accord. Il semble donc qu'un peu moins de 10 % d'entre vous aient utilisé l'analyse quantitative des risques. C'est bon à savoir. Ce dont je vais parler en ce qui concerne l'analyse quantitative des risques est nouveau pour la plupart des organisations, car beaucoup d'entre nous n'ont tout simplement pas eu d'outil, de cadre ou de méthodologie pour mesurer les risques de manière quantitative.

Brian Johnson: La plupart d'entre nous mesurent généralement les risques de manière qualitative, à l'aide de rapports sous forme de feux tricolores (rouge, orange, vert), voire d'indicateurs sous forme de flèches vers le haut ou vers le bas, ou encore de boules Harvey indiquant le pourcentage d'avancement ou la dynamique des risques. Ce sont ces éléments que nous souhaitons examiner conjointement, car dans le cadre d'un programme de gestion des risques arrivant à maturité, nous, nous constatons que les outils et les plateformes disponibles sur le marché et dans le secteur commencent à évoluer vers une approche combinée. Oui, vous devez mesurer qualitativement les risques au sein de votre organisation et dans l'ensemble de l'entreprise, mais vous devez également les mesurer quantitativement afin que nous puissions établir une base de référence, identifier les tendances et mesurer les progrès. Ainsi, lorsque nous investissons dans nos technologies, nos plateformes de sécurité et nos initiatives commerciales, nous devons être en mesure de mesurer la différence, le delta et l'évolution du risque au fil du temps afin de pouvoir prouver la valeur ajoutée pour l'entreprise. Une grande partie du thème dont nous parlons va donc tourner autour de la valeur ajoutée pour l'entreprise, et la valeur commerciale de la gestion des risques est un élément extrêmement important que nous devons également renforcer dans nos domaines de leadership commercial. Passons donc à certaines des approches et des problèmes industriels qui traitent de cette question. Lorsque nous examinons les défis industriels dans ce domaine, nous constatons bien sûr que l'environnement dans lequel nous vivons évolue rapidement. Dans le sens où, comme vous le savez, il y a une pandémie mondiale, ou même dans le cadre normal des activités, lorsque les choses reviennent à la normale, si vous voulez, nous avons constamment de nouvelles réglementations qui sont proposées. Et en tant qu'entité réglementée, si vous travaillez dans un secteur tel que la santé, l'énergie, la finance ou tout autre segment, vous êtes probablement confronté à une certaine pression réglementaire et à des exigences de la part des régulateurs ou des organismes de conformité auxquels vous devez vous conformer. L'une des tendances que nous observons dans ces segments de la réglementation est que les tests deviennent de plus en plus proactifs et continus.

Brian Johnson: Une partie de l'approche que nous allons adopter avec ce modèle d'intégration des risques dans votre organisation consiste à devenir plus proactif en matière d'évaluation et de gestion des risques. Et le test et la validation continus des contrôles liés aux risques sont l'un des principes que je suggère de mettre en œuvre. Gartner recommande également vivement de concevoir votre programme comme un modèle continu et proactif. Certaines des méthodes dont je parlerai plus tard dans la présentation expliqueront comment nous pouvons vous aider à mettre cela en œuvre. Une autre méthode est intégrée et automatisée. Ainsi, si vous souhaitez intégrer la gestion des risques dans votre organisation, celle-ci est souvent cloisonnée et traite les données que nous obtenons dans le cadre des évaluations des risques comme un complément. Mais ce que je vais vous proposer, c'est d'intégrer la gestion des risques comme une pratique au sein des fonctions commerciales, au moins dans un alignement virtuel. Et ce, de manière à automatiser les processus de collecte de données, les tableaux de bord ou les relations entre les KPI et les KRI, afin que ces données soient collectées de manière à pouvoir être utilisées en temps réel, et pas seulement sur une base trimestrielle ou annuelle, mais que vous puissiez consulter un tableau de bord à tout moment et disposer au moins d'indicateurs de performance clés pour établir un lien avec ces facteurs de risque, puis être en mesure de les intégrer dans les secteurs d'activité afin que vos OKR, si vous utilisez des objectifs et des résultats clés ou si vous utilisez un modèle d'alignement des objectifs commerciaux sur les risques, ceux-ci soient intégrés dans les plans d'affaires et qu'ils orientent réellement les décisions et les priorités de votre groupe commercial. groupes et euh et partenaires de l'organisation. Le troisième élément de cette approche consiste à quantifier et à contextualiser. Le point essentiel ici est que nous recherchons des risques qualitatifs et que nous utiliserons les couleurs rouge, jaune et vert ou les flèches vers le haut et vers le bas. Le langage des affaires ne comprend généralement pas cela sur une période donnée.

Brian Johnson: Il est donc bon d'attirer l'attention et vous présenterez un rapport ou, souvent, si vous gérez les risques du point de vue d'une équipe de conformité ou d'une organisation technologique, vous présenterez les risques d'une manière qui semble effrayante et vous direz : « Hé, c'est un domaine vraiment problématique sur lequel nous devons nous concentrer. » Mais quantifier le risque en termes d'impact commercial va permettre de délivrer un message beaucoup plus solide qui va perdurer, de sorte que vous pouvez prouver la valeur au fil du temps, plutôt que de passer du rouge à l'orange ou à une sorte de nuance ou de variante ambrée. Ensuite, nous entamons des discussions qualitatives et je suis sûr que certains d'entre vous traitent les mêmes sujets, où vous essayez de choisir une analogie modèle pour communiquer le risque. Le faire dans une approche purement qualitative ne transmet pas toujours le bon message. Donc, le contextualiser par activité pourrait ressembler à quelque chose qui s'apparente davantage à ce qui suit : si votre application de services de paiement ou votre application de transaction qui effectue des virements avec une banque ou un prestataire de soins de santé est un réseau partenaire SLA. Supposons que vous ayez un accord de niveau de service et que, contractuellement, vous perdiez 10 000 dollars par heure pour chaque impact, qu'il s'agisse d'un impact sur le service ou d'un temps d'arrêt. Perte de productivité du client ou impact dû à des amendes et sanctions infligées par un organisme de réglementation. Ces éléments sont contextualisés par le service commercial et quantifiés en dollars ou en monnaie locale pour l'entreprise. Ils peuvent être unifiés au point où vous pouvez mesurer le risque en tant que composante de la valeur commerciale et mesurer la valeur commerciale du risque en termes de dollars réels ou d'économies et d'économies finales. La réduction des coûts et un modèle de contextualisation des risques pour être progressif dans la prise de décision doivent donc être contextualisés et quantifiés. La mesure et la responsabilité sont des éléments qui, selon nous, devraient conduire à davantage d'améliorations dans l'ensemble du secteur, mais vous constaterez que, souvent, les structures des comités ne mesurent pas et ne rendent pas compte des résultats, car la plupart du temps, elles n'ont pas d'OKR (objectifs et résultats clés) ou de type de mission.

Brian Johnson: Je suggérerais donc, et c'est encore une fois un modèle de bonnes pratiques, que les dirigeants d'organisation non seulement comprennent et participent au processus de définition des objectifs qu'ils ont fixés pour les risques clés et pour la mesure des risques dans l'organisation, mais qu'ils soient également tenus responsables de ces objectifs par le biais d'un certain type de format de responsabilité du leadership ou de supervision par un comité, et que votre structure de supervision joue un rôle pour s'assurer que les dirigeants de l'organisation et les responsables des domaines départementaux parviennent réellement à atteindre ces objectifs de réduction des risques. Une dernière chose à propos de la mesure et de la responsabilité : si votre organisation ou votre entreprise n'a pas adopté de lignes de défense, c'est un modèle qui gagne en popularité depuis plusieurs années à mesure qu'il évolue. Je vous encourage vivement à envisager le modèle des trois lignes de défense, qui consiste à disposer d'une technologie de première ligne et d'organisations fonctionnelles et axées sur les produits. Prenons l'exemple de l'organisation du directeur informatique qui fournit des services d'entreprise à votre entreprise. L'équipe des services d'entreprise est chargée de s'assurer que votre système de messagerie, qu'il s'agisse de la livraison des e-mails ou de vos applications mobiles, fonctionne correctement. Cette équipe est considérée comme une fonction de première ligne. Dans le cadre de la désignation de son rôle et de ses responsabilités, une fonction de première ligne est chargée de gérer ses propres objectifs en matière de risques, de mesurer ses propres performances, puis d'assurer les fonctions d'ingénierie et d'exploitation qui la soutiennent. En tant qu'organisation de deuxième ligne, une organisation chargée de la gestion des risques assurera souvent la supervision afin de gérer et de maintenir la définition de ces seuils pour définir les risques et les objectifs selon un modèle de type OKR, puis de superviser la traction et les progrès par rapport à ceux qui s'alignent sur les objectifs commerciaux. Ainsi, votre fonction de première ligne, qui consiste à fournir et à exploiter la technologie et à assumer la responsabilité des risques au niveau fonctionnel, rend ensuite compte à l'organisation de deuxième ligne en tant que fonction de supervision afin de garantir qu'il existe une séparation des tâches, des responsabilités et une structure de prestation qui sont maintenues, et que l'activité est ensuite alignée sur les objectifs stratégiques globaux.

Brian Johnson: Et votre troisième ligne de défense serait l'audit interne, les régulateurs externes, peut-être des tiers que vous faites appel pour effectuer des tests et des contrôles, qu'il s'agisse d'une évaluation HIPPA, d'une évaluation PCI ou de tout autre modèle applicable à votre secteur d'activité. La troisième ligne de défense est considérée comme la fonction de surveillance tertiaire qui valide ensuite que la portée des contrôles, la validation des méthodes et des approches que vous avez adoptées sont testées de manière appropriée au niveau de la deuxième ligne et sont mises en œuvre. Elle permet également de respecter les engagements pris en tant qu'organisation de première ligne. Donc, encore une fois, pour la mesure et la responsabilité, si vous n'avez pas mis en place un modèle de troisième ligne de défense, il n'est pas nécessaire que ce soit un modèle trop bureaucratique. Il pourrait s'agir simplement d'un petit groupe de 10 ou 12 personnes dans une entreprise de taille moyenne, mais le fait de leur attribuer ces rôles permet de délimiter leurs objectifs et la séparation des tâches de ces fonctions afin de gérer les objectifs et les fonctions de surveillance. Et puis cinquièmement, mais certainement pas en dernier lieu, je suis un fervent défenseur de l'idée que les entreprises doivent bien sûr rester conformes. Mais la conformité doit être un résultat, pas un objectif. L'une des erreurs les plus importantes que nous avons constatées dans l'ensemble du secteur est de supposer qu'une entreprise conforme est une entreprise sûre et qu'une entreprise conforme est une entreprise bien gérée. Or, ce n'est tout simplement pas vrai. Toutes les violations que nous avons constatées ces dernières années concernaient des entreprises conformes. Vous avez rarement vu Equifax échouer à son évaluation PCI. Bien sûr, cela ne s'est pas produit. Vous ne voyez pas qu'une entreprise a échoué à un audit SA SSA 16 juste avant d'être victime d'une violation. La conformité ne mesure pas le niveau de sécurité. Elle garantit bien sûr le respect d'un niveau de contrôle de base. Mais vous devez considérer la conformité comme une fonction que les équipes, en particulier les organisations de deuxième ligne, mesurent en tant que résultats. Nous menons par exemple un programme de tests d'intrusion, et ce programme produira des résultats qui contribueront au rapport recherché par l'organisation chargée de la conformité.

Brian Johnson: Hum, mais si vous fixez la conformité comme objectif, vous vous concentrez alors sur un seuil fixé par les attentes du secteur, qui n'est pas nécessairement adapté au risque commercial de votre entreprise. La contextualisation du risque commercial est donc quelque chose que vous devez considérer comme un champ de responsabilités, afin de pouvoir affirmer que les résultats de nos tests et de nos fonctions de surveillance seront fournis à l'issue de nos tests. Mais la portée de vos tests peut être plus large que cela. En d'autres termes, ne vous limitez pas à un programme axé sur la conformité si vous pouvez définir ces éléments comme des résultats. Très bien, je vais m'arrêter là un instant. Avant d'aborder à nouveau le sujet des défis du secteur. Pourquoi nous soucions-nous de la gestion des risques ? Que recherchons-nous en matière de conformité réglementaire et pourquoi devons-nous nous pencher sur cette question ? Comme je l'ai mentionné précédemment, les réglementations se multiplient, notamment en matière de confidentialité des données. Nous le constatons dans la manière dont les programmes de gestion des vulnérabilités sont testés par rapport aux niveaux de conformité. Et si votre entreprise est internationale, vous le constatez de manière très diversifiée. Parfois, les types de données sont même identifiés différemment selon les régions. Ainsi, à mesure que les réglementations se multiplient, nous devons adapter nos modèles et nos approches en matière de risques à l'entreprise. Mesurer les risques n'est pas facile. Ce n'est certainement pas un processus facile que de mesurer le risque pour votre entreprise. Mais il est absolument nécessaire de mesurer le risque, et nous le mesurons d'une manière qui permet à nouveau de montrer quantitativement les progrès réalisés. L'intégration est essentielle. Donc, l'intégrer dans l'entreprise et l'ancrer dans chacune des unités ou lignes d'activité que vous soutenez n'est pas un processus facile, mais c'est quelque chose que nous devons trouver le moyen d'ancrer pour que cela soit pertinent. Nous ne voulons pas que la fonction de gestion des risques apparaisse comme une approche élitiste visant à mesurer quelque chose que les organisations fonctionnelles rejetteraient comme non pertinent, ou comme une simple fonction de vérification qui ne conseillerait certainement pas l'entreprise sur ses priorités et ne l'aiderait pas dans sa fonction de supervision.

Brian Johnson: Et le potentiel commercial et le timing auxquels nos entreprises sont confrontées sont bien sûr énormes, ce qui signifie que nos entreprises sont confrontées à des défis dans tous les secteurs et tous les marchés pour s'assurer que nous sommes conformes aux risques, que nous adhérons aux risques et que nous mesurons les risques. Il s'agit donc d'un tableau optique, mais nous allons nous y attarder un instant. Je vais faire une pause pour laisser le temps de charger. Je vais m'appuyer essentiellement sur le point de vue proposé par Gartner, qu'ils appellent le modèle Carter. Le modèle Carter est une approche qui a été documentée sous forme de point de vue. Ce point de vue consiste à être continu, adaptatif, avec des évaluations des risques et de la confiance. Ce que cela implique réellement, c'est de prendre ce que nous avons construit dans de nombreuses organisations comme un modèle fonctionnel cloisonné. Et les cloisonnements fonctionnels, c'est là où nous avons une équipe, peut-être deux personnes qui s'occupent de l'analyse des vulnérabilités, deux personnes qui s'occupent de la gestion des problèmes et deux personnes qui s'occupent de l'architecture, ou peut-être plusieurs casquettes dans les petites et moyennes entreprises. Vous pouvez avoir un architecte qui joue également le rôle de technologue, qui s'occupe également des e-mails. Quoi qu'il en soit, la définition des rôles de ces personnes dans le cadre d'une organisation de gestion des risques doit être faite selon une approche adaptative et centrée sur les risques. Cela signifie que si nous ne définissons pas les risques commerciaux auxquels le travail des personnes est réellement aligné, il leur sera difficile de comprendre comment leur travail contribue à la cause supérieure ou au bien commun de l'entreprise. En tant que gestionnaires des risques, nous avons donc la responsabilité de veiller à ce que non seulement les risques soient adaptés à l'entreprise, mais aussi que nous ayons à tout moment une vue d'ensemble des risques commerciaux et des principaux moteurs commerciaux de l'organisation. Donc, pour définir cette approche centrée sur les risques, j'ai en quelque sorte adapté le modèle Carter, qui consiste en une approche en quatre volets, et voici comment je la présente.

Brian Johnson: Si nous intégrons la sécurité de l'information et la technologie et que nous les décomposons en leurs éléments constitutifs, nous obtenons une gestion des risques, une gestion de la conformité, une fonction d'application et une fonction stratégique, qui peuvent à nouveau être réparties dans votre organisation entre deux ou trois personnes, ou étendues dans les grandes entreprises à deux ou trois cents personnes. Le fait est que nous continuons à exercer ces fonctions dans le cadre de la gestion des risques. Considérez donc ceci : si vous avez un gestionnaire des risques dans votre organisation qui définit et mesure les risques et qui dit : « Voici nos risques commerciaux et voici la liste des 10 principaux risques que nous mesurons », si sa fonction n'est pas directement liée à la conformité, Dans ce cas, l'équipe chargée de la conformité va souvent créer son propre programme de conformité, puis la fonction d'application, de gouvernance ou de surveillance, ou peut-être la fonction de gouvernance technologique, va créer son propre processus et fournir ses propres résultats. Ensuite, l'équipe stratégique élabore une feuille de route sur trois ans pour une technologie intéressante qu'elle aimerait déployer. Et la stratégie est souvent davantage le résultat de facteurs commerciaux et d'une attention à long terme portée à l'évolution technologique qu'une question de gestion des risques. Ce que je propose, et c'est quelque chose que j'ai adapté d'un modèle Gartner, c'est d'adopter une approche différente de la gestion des risques, une approche intégrée et centrée sur les risques. Cela signifie que je souhaite que l'équipe de gestion des risques mesure et hiérarchise les risques tout en transmettant ses résultats à une équipe d'évaluation de la sécurité. Cela signifie que siva mesurer l'appétit pour le risque d'une organisation et déterminer les seuils de risque, et qu'elle conclut que le risque de violation des données est très élevé, l'équipe d'évaluation de la sécurité doit alors s'appuyer sur les priorités définies par l'équipe chargée des risques. Une équipe d'évaluation de la sécurité peut être une équipe de test d'intrusion. Il peut s'agir d'une équipe tierce que vous faites appel pour effectuer des tests d'intrusion ou une certaine forme d'évaluation technologique. Elle doit s'inspirer d'une évaluation des risques. Cette évaluation des risques est ensuite mesurée et hiérarchisée par rapport à un objectif commercial et alignée sur l'appétit et les prévisions de l'entreprise.

Brian Johnson: Ce programme de test permettra ensuite de quantifier les résultats. Il fournira une assurance de contrôle et indiquera que quatre incidents de priorité 1 ont été mesurés, que deux incidents de priorité 2 ont été détectés et que l'environnement est vulnérable. Ces informations seront ensuite intégrées dans les processus de conformité et de gouvernance. Cette fonction ou ce cadre de mise en place d'un processus de gestion adaptative des risques aide vraiment à informer chacune des équipes tout au long du processus, de sorte que vous maintenez une approche centrée sur les risques à travers l'assurance de la sécurité, les fonctions de gouvernance, votre équipe chargée de l'application ou de la gestion des problèmes, puis tout au long du processus jusqu'à l'intégration dans la stratégie, et la fonction de stratégie doit alors déterminer si nousvont rédiger une politique. Supposons que l'organisation soit petite et que vous ayez une seule politique pour la technologie, qui commence souvent par la gestion des utilisateurs finaux. Si nous disons que la politique d'utilisation acceptable est que les gens utilisent le courrier électronique et Internet à des fins professionnelles, vous définissez certains critères autour de cette orientation stratégique ou du moteur de la politique, qui est rarement informé par le risque mesuré à travers les résultats des tests. Il s'agit généralement d'un objectif ambitieux que nous rédigeons une politique d'utilisation acceptable ou une politique informatique par obligation. Nous avons donc tendance à tracer une ligne si vous regardez directement à un niveau horizontal, nous avons tendance à tracer la ligne de la conformité et de la stratégie comme indicateur clé de ce qui devrait figurer dans la politique. Quelle devrait être notre orientation stratégique ? Eh bien, examinons ce que sont les obligations de conformité. Et mon argument est qu'elle devrait aller au-delà. Elle devrait également s'appuyer sur ce que nous avons intégré dans une fonction de gouvernance, la gestion des problèmes, le retour d'information et les résultats. Elle devrait ensuite être hiérarchisée et vérifiée sur la base d'évaluations des risques. Et pour les évaluations des risques, vous pouvez à nouveau utiliser un tableur ou une approche empirique, du moins pour commencer. Mais tant que vous pouvez affirmer que nous avons mesuré un risque commercial et que nous pouvons quantifier les résultats, cela permettra d'éclairer chacun des plans des responsables des tests, la mise en œuvre de la gestion des problèmes, puis l'équipe stratégique élaborera ses politiques et ses évaluations sur la manière de rédiger une politique ou de définir une feuille de route pour atteindre ces objectifs et tirer parti de la valeur qui ressort des résultats des tests dans les fonctions gouvernementales.

Brian Johnson: Je vais réfléchir à cela un instant, puis j'aborderai également ce point. Donc, lorsque nous envisageons d'intégrer une fonction de sécurité de l'information et des programmes de gestion des risques dans l'organisation, encore une fois, si vous vous demandez par où commencer, cela peut sembler difficile à appréhender, mais si vous vous demandez par où commencer, je commencerais par définir les objectifs et les résultats clés. Je dirais : quels sont les objectifs que nous souhaitons atteindre au sein de l'organisation ? S'il s'agit de conquérir un nouveau marché ou même de se retirer d'un marché, nous voulons mesurer les résultats clés sous forme de risques et d'indicateurs de risque clés. Dans le contexte actuel, de nombreuses entreprises se demandent si elles doivent réduire leurs effectifs ou certaines fonctions au sein de l'organisation qui fournit un produit qui doit également faire l'objet d'une évaluation des risques. Ainsi, alors que nous considérons généralement la gestion des risques comme la gestion des opérations courantes et des expansions, je soutiens que la gestion des risques fait partie du cycle de vie de toute entreprise, qu'il s'agisse d'une expansion ou d'un ralentissement, et lorsque nous réfléchissons à des options en cas de ralentissement, il est tout aussi important, sinon plus, de prendre en compte les décisions de gestion des risques dans ces considérations exécutives que lorsque nous mettons fin ou maintenons des opérations existantes. Ces indicateurs de risque clés pourraient donc être quelque chose comme : lorsque nous réduisons nos activités, nous devons nous assurer d'avoir validé le transfert des données, la destruction des données, la suppression de l'accès à toutes les fonctions clés que vous intégreriez dans ce qui pourrait avoir un impact potentiel sur la marque ou entraîner un vol de données et un impact sur l'entreprise en raison d'une perte de quantification des enregistrements que vous pourriez établir. Cette approche nous donnera à nouveau une vision plus globale des risques commerciaux auxquels nous voulons nous assurer que les dirigeants prennent en compte dans leurs décisions, en incluant les risques commerciaux et les mesures que nous avons fournis. L'autre aspect que je voudrais mentionner concerne l'évaluation de la conformité. Si nous renforçons la politique, nous constatons souvent qu'une politique est élaborée, rédigée et mise en place pendant environ un an.

Brian Johnson: Une partie du modèle adaptatif consiste à utiliser des politiques, qui n'ont pas besoin d'être si détaillées que vous deviez en rédiger 20, mais même deux ou trois politiques rédigées de manière appropriée devraient faire l'objet d'un cycle de mise à jour trimestriel, voire être mises à jour et communiquées sur la base des contributions de toutes les équipes. Ainsi, si vous rédigez une politique pour la première fois, le processus de révision de la politique inclura bien sûr un acteur clé de chacune des fonctions. Y a-t-il un responsable de l'équipe chargée des risques ou un analyste représentatif ? Y a-t-il quelqu'un de l'équipe chargée des tests qui puisse mettre en évidence les lacunes qu'il constate dans les défaillances des contrôles ? Quelqu'un de l'équipe chargée de la conformité représente les éléments réglementaires et obligatoires de votre politique. Et puis, comment la fonction de gestion des problèmes et la stratégie s'intègrent-elles dans la rédaction de la politique, en tant que vision globale, et voici comment nous allons nous assurer que vous appliquez la politique. Elle est donc rédigée de manière à pouvoir être mesurée et l'équipe stratégique tire un avantage futur d'une orientation qui vous donnera un objectif prévisionnel et la politique est rédigée de manière à faire progresser votre état de contrôle, et non pas seulement à vous faire adhérer à ce que nous considérons comme un niveau de base, euh, attendu pour les politiques. Voilà donc quelques éléments que je voudrais souligner alors que vous envisagez de mettre en place un programme de gestion des risques. Permettez-moi également d'aborder ces sujets. Je pense avoir vu une question à ce sujet et je voudrais y répondre en temps réel. Bob Shaw a posé une question sur la couverture des éléments qui sont pour la plupart ambitieux pour de nombreuses entreprises et sur leur quantification. La quantification des risques est à nouveau quelque chose qui est intégré non seulement dans l'ADN d'une organisation, comme nous le disons, mais c'est aussi quelque chose qui peut être mesuré par un processus reproductible qui consiste à construire un modèle de quantification. Et ce modèle peut indiquer que nous allons mesurer le risque lié aux vulnérabilités et que ces vulnérabilités peuvent en fait avoir un score associé.

Brian Johnson: Et si nous voulons établir un score de gestion des vulnérabilités et un pondération, prenons l'exemple de la violation d'Equifax. La gestion des vulnérabilités pourrait avoir un score pondéré de 40 % du risque pour l'intégrité de l'environnement ou de l'impact sur la disponibilité du système. Hum, mesurer cela d'une manière qui permette de quantifier le risque, c'est dire que nous pouvons prendre ce risque et l'articuler dans un système de notation. Donc, si vous commencez avec une note de 1 à 10 pour ce risque, vous réduisez le risque en additionnant ou en accumulant la somme totale de ces notes, qu'il s'agisse de vulnérabilité ou d'accès, en utilisant par exemple le cadre NIST CSF ou un modèle ISO. Il existe d'excellents outils qui permettent de modéliser et de pondérer la manière de mesurer les domaines de sécurité, et je les associerais à un risque objectif. Ce score ou format de risque objectif est dérivé ou ajouté à partir du contrôle que vous mesurez. Donc, si vous prenez un score de vulnérabilité et que vous construisez un modèle qui dit : « Je vais prendre toutes les vulnérabilités en suspens, les mesurer par rapport à un SLA et dire combien de temps il nous faut pour les corriger, puis quantifier un score et dire, euh, vous savez, sur une échelle de 1 à 10 ou de 1 à 100, quelle que soit la granularité souhaitée pour fournir ce score. Ensuite, je vais mesurer ce score de gestion des vulnérabilités et l'associer au risque. Dans votre entreprise, il peut s'agir du risque de perte de disponibilité. Il peut s'agir du risque de résilience du service si vous avez une obligation contractuelle de fournir un temps de service, ou il peut s'agir d'un risque de violation des données et d'impact commercial pour la marque. Vous associez ces contrôles, tels que les contrôles de vulnérabilité pour l'analyse, la correction, la remédiation et la configuration. Vous associez ces contrôles au risque et les regroupez en une somme totale. Les outils que vous trouverez sur le marché et qui sont liés à ces contrôles commenceront à évoluer à mesure que nous assisterons à de plus en plus d'avancées, telles que la prévalence.

Brian Johnson: Vous verrez que l'hypothèse de ces contrôles et la quantification des risques commenceront à se traduire en un modèle que vous pourrez adapter à votre entreprise et construire de manière à vous aider à gérer les contrôles, à cartographier les risques, puis à définir un seuil de risque pour l'entreprise. Et la vision de la mesure des progrès est beaucoup plus simple à transmettre lorsque vous disposez d'un ensemble d'objectifs que vous avez définis et d'un moyen de mesurer et de surveiller les risques par rapport à ceux-ci. Je vais m'arrêter là. Je pense que c'est probablement un bon point, même si j'ai couvert beaucoup de matière. Voyons si nous avons des questions. Peter, êtes-vous toujours en ligne ?

Peter Schumacher: Oui, je suis toujours là. Nous avons reçu quelques questions. Je vous encourage tous à taper vos questions dans la section Q&R en bas de page. Mais en attendant, je vais vous lire quelques-unes de celles que nous avons reçues. Oh, je vais lancer un sondage pendant ce temps. Je vais l'afficher sur votre écran. Très bien. Si vous voulez bien répondre à cette question pendant que nous passons en revue quelques questions, je vous en serais reconnaissant. La première question est la suivante : comment la gestion des risques liés aux tiers continue-t-elle à apporter une valeur ajoutée à l'entreprise ? La deuxième partie de cette question est : comment pouvez-vous utiliser cela pour obtenir un financement de votre conseil d'administration ?

Brian Johnson: Excellente question. Vous savez, la gestion des risques liés aux tiers, en tant que fonction de nos programmes de gestion des risques, n'est pas seulement devenue importante à mesure que nous migrons vers davantage de fournisseurs SAS ou de fournisseurs de services cloud. Mais c'est cet espace intéressant où, parfois, l'ignorance est un bonheur. Nous avons tendance à considérer les tiers et leurs contrôles comme acquis, alors que nous avons constaté à maintes reprises que les risques liés aux fournisseurs tiers ne sont pas suffisamment évalués. Et comme l'aspect gestion des fournisseurs du cycle de vie et les fournisseurs qui mesurent le risque de ceux-ci pour notre entreprise sont davantage associés aux fonctions commerciales, nous verrons que, qu'il s'agisse d'un fournisseur de cloud ou d'un fournisseur de paie ou de toute autre personne qui mesure le risque au nom des intégrations de tiers à votre entreprise, cela doit être contextualisé dans le cadre de l'impact sur votre entreprise. N'est-ce pas ? En d'autres termes, un prestataire de services de paie peut présenter un risque faible pour une entreprise et un risque plus important pour une autre. Il faut donc quantifier cela de manière à pouvoir revenir à la notation et attendre. Nous vous donnerons alors une vue que vous pourrez utiliser comme tableau de bord, carte thermique ou graphique, et vous proposerons, lorsque vous envisagerez une présentation au niveau des mots, une vue indiquant que le risque lié aux tiers doit faire partie d'un plan d'investissement. Et qu'il s'agisse de personnel, de contrôles ou d'outils, le coût de l'investissement dans des tiers doit tenir compte des risques que nous évaluons et de la validation de ce que ces tiers imposent comme risque à notre entreprise. Coût. Et réduire le risque, c'est soit accepter le risque résiduel que ce tiers impose un risque élevé à l'entreprise, soit investir dans des contrôles et réduire ce risque, et l'exprimer de manière à dire que réduire le risque d'un niveau élevé à un niveau moyen peut se faire en mettant en place des contrôles supplémentaires ou en effectuant des évaluations supplémentaires des tiers. Bien sûr, ne pas mesurer n'est pas une option, car non seulement nous imposons un risque qui n'est alors pas compris ou mesuré, mais le conseil d'administration est alors responsable envers qui, avec quelle visibilité, et nous laissons beaucoup de lacunes dans la supervision de notre direction. Mais nous avons souvent constaté dans le secteur que le fait de prendre en compte les évaluations des tiers et les risques liés à la gestion des fournisseurs et de les intégrer dans un rapport plus équilibré avec des scores quantifiables va attirer beaucoup d'attention et inciter davantage le directeur financier ou le directeur des opérations à se demander comment réduire le risque. Si vous avez articulé le risque dans ce domaine, la deuxième question à laquelle nous devons répondre est : comment le réduire ? Quelle est l'alternative et la solution à cela ? Une réduction pourrait consister à rechercher d'autres fournisseurs. Nous pourrions en effet rechercher d'autres fournisseurs tiers présentant un risque inhérent moindre et envisager cette option dans le cadre de notre programme, ou nous pourrions simplement accepter ce risque, mais au moins le comprendre et le mesurer, ou encore mettre en place des contrôles supplémentaires. Une discussion avec le fournisseur pourrait avoir lieu. Lors du prochain processus de renouvellement, nous vous demanderons d'améliorer votre accès à l'audit et votre plan d'évaluation pour nous. Vous allez nous fournir un contrôle ou un outil supplémentaire, ou nous suggérer quelque chose qui nous donnera des garanties supplémentaires en matière de protection des données, de restrictions d'accès, quel que soit le modèle que nous essayons de fournir pour garantir les tiers. Mais je présenterais cela au conseil d'administration de manière aussi quantitative que possible, avec des solutions et des propositions d'alternatives.

Peter Schumacher: Intéressant. Oui, je trouve que la réduction des risques est un sujet fascinant et je sais que vous pourriez consacrer tout un webinaire à ce thème. Hum, nous avons reçu quelques autres questions depuis. Passons donc à un sujet similaire. Quels types d'événements à risque spécifiques suggérez-vous d'inclure dans votre analyse quantitative afin de mesurer les risques et de prouver la valeur du programme de gestion des risques pour l'entreprise ? Je pense que vous pouvez probablement voir cette question là-bas.

Brian Johnson: Oui, excellente question, Rob. Je pense que pour mesurer ces domaines spécifiques de risques, vous recherchez des éléments tels que les pertes financières, c'est-à-dire les pertes financières. Il existe une liste de ces éléments si vous regardez bien, et cela dépend de votre secteur d'activité, mais chaque secteur a sa propre liste. Le secteur de la santé en a une, le secteur de l'énergie en a une, les technologies, etc. La plupart de ces cadres pour les événements à risque seront articulés spécifiquement pour votre secteur, mais d'une manière générale, les événements à risque sont généralement, vous savez, l'impact financier, l'impact sur la marque, l'impact réglementaire et les amendes, vous savez, si vous recherchez un impact spécifique à votre secteur, vous pouvez quantifier en fonction de ce que vous savez, ces sanctions ou le coût par type d'impact, et ensuite ce que je prendrais en considération, et je nepas trop m'attarder là-dessus, car je voulais garder du temps pour les questions-réponses, mais la gestion des menaces et l'évaluation des menaces dans le cadre des risques sont des aspects intéressants que vous pouvez également commencer à examiner, et cela pourrait vous être utile si vous recherchez... Si vous consultez le NIST, si vous recherchez simplement... Vous savez, le cadre de cybersécurité NIST CSF défini par le NIST vous donnera en fait une liste de points de vue et mettra en relation les contrôles avec les risques, et vous pourrez alors définir une vision des risques. Gartner a publié un excellent article sur la manière de définir la gestion des risques et les tableaux de bord des risques pour votre entreprise. Forester en a publié un également. Je suis très encouragé par le fait que les discussions sur les risques commerciaux et la terminologie relative aux risques commencent à mûrir considérablement. En fait, pour ceux qui sont liés à la défense et à la sécurité, à l'énergie ou, excusez-moi, aux contrats gouvernementaux, vous verrez le CMMC. Vous pouvez rechercher CMMC sur Google et vous le trouverez sur le portail du gouvernement. Il y a une vue pour Fed Ramp et pour les exigences relatives au niveau minimum d'évaluation de la maturité, et ils articulent en fait un cadre dérivé du NIST, de l'ISO et d'autres normes qui donne une très bonne vue d'ensemble de la cybersécurité et des niveaux de maturité de la gestion des risques, et ilsdésigneront certaines choses. Si vous travaillez dans une entité gouvernementale ou dans le secteur de la défense, vous verrez que les attentes des entrepreneurs de la défense augmentent les exigences en matière d'évaluation de la maturité, et ces évaluations de la maturité sont réalisées par le biais d'une évaluation des risques. Je recommande donc vivement ces ressources et ces outils.

Peter Schumacher: Merci Brian. Voyons voir la question suivante. Celle-ci est intéressante. Je ne sais pas si vous aurez une bonne réponse. Comment gérez-vous les risques prévisionnels liés à la pandémie de COVID-19 alors que la plupart des évaluations basées sur les risques s'appuient sur des données historiques ? Sortez votre boule de cristal et donnez-nous votre avis. Brian,

Brian Johnson: Je veux dire, je vais éviter toute projection économique ou politique, mais je dirais que les mesures des risques commerciaux ne devraient jamais, et je sais que c'est un monde utopique, mais elles ne devraient jamais être une surprise pour votre entreprise. En d'autres termes, avec une planification d'urgence appropriée, avec des évaluations appropriées des risques commerciaux, votre plan devrait être conçu pour s'adapter à la flexibilité ascendante et descendante de l'entreprise, à la planification de la continuité, aux environnements de travail alternatifs. Bien sûr, c'est ce que font les grandes entreprises. Vous savez, les grandes entreprises ont absolument la capacité et l'envergure nécessaires pour gérer ces plans de continuité pour leurs employés. Mais j'ai également travaillé avec des propriétaires de petites entreprises, des partenaires commerciaux de taille moyenne, des collègues et des amis qui dirigent de petites entreprises et qui ont fait de même. Donc, si vous mettez en place une évaluation trimestrielle pour vous assurer que vos employés peuvent se connecter à distance si le bâtiment explose, n'est-ce pas ? Ou si les sites ne sont pas disponibles. L'intégration de ces plans de continuité simples dans votre plan d'affaires vous permettra alors d'évaluer les risques à venir. Les risques à venir après la pandémie semblent donc très intéressants, car dans certains cas, les entreprises... J'ai essayé de faire des achats sur Walmart l'autre jour, et je ne critique pas Walmart. Je suis un grand fan, mais j'essayais simplement de faire des achats sur walmart.com et ma femme m'a dit hier que leur site web était indisponible. Je trouve cela intéressant, car vous pouvez essayer d'aller dans le magasin, mais vous êtes alors limité par le nombre de personnes. Mais la planification du site web est quelque chose qui, lorsque vous pensez à l'allocation des capacités, les entreprises qui se tournent désormais vers le commerce en ligne, alors qu'elles étaient auparavant plutôt secondaires, n'ont pas prévu ce type de croissance. Certaines de ces adaptations prospectives prennent désormais le modèle de ce qui se passe et des scénarios hypothétiques : que se passerait-il si, selon notre évaluation sur trois ans, nous passions à 25 % d'achats en ligne, et si cela se produisait demain ? En posant ces questions intéressantes, nous obtiendrons au moins une planification de scénarios. Je dirais donc que les exercices sur table, Patrick, pour répondre à votre question aussi précisément que possible, ressembleraient à des projections, et de l'inverser. Que se passerait-il si nous connaissions une croissance de 50 % en trois ans ? Et si nous reculions de 50 % en trois ans ? Et ensuite, modéliser cela par intervalles de six mois. Donc, si nous regardons en arrière et que nous nous demandons : « Qu'est-ce que l'industrie avait prévu de faire au cours des trois prochaines années ? » Dans certains cas, dans la plupart des cas, les entreprises ont vu l'inverse de ce à quoi ressemblaient leurs plans. Et donc, à quelle fréquence planifions-nous les ralentissements et évaluons-nous les risques dans le cadre de la planification d'urgence ? Bon, si nous ne le faisons pas dans le cadre de nos activités courantes, je dirais que la vision prospective sur la manière dont nous anticipons les risques va consister à examiner ces modèles, à déterminer comment nous allons planifier les réductions de personnel, ce que nous allons rechercher en matière d'expansion, s'il existe des opportunités d'acquisition sur ce marché où certaines entreprises sont évaluées à un niveau très bas et que notre entreprise pourrait envisager, et quel type de risque cela représenterait pour nous. Ou envisageons-nous de réduire notre présence et de mesurer les risques en fonction des décisions que prendra l'entreprise ? Tous ces scénarios doivent au moins être documentés sous forme de simulation. Faites une simulation, établissez un plan d'action sur trois ans, imaginez ce qui se passerait si cela se produisait dans trois mois, puis inversez le processus. Que se passerait-il si nous revenions à la situation d'il y a un an et que cela se produisait dans les trois prochains mois ? Pour moi, c'est plus facile de travailler avec des périodes de trois ans. Trois ans à l'avance avec une option d'accélération de trois mois, trois ans en arrière avec une option d'accélération de trois mois. Cela peut vous donner quelques contraintes pour la planification de scénarios.

Peter Schumacher: Bon conseil. Euh, encore quelques questions. Voyons voir quelle heure il est. Oui, il nous reste un peu de temps. Alors, hum, passons à celle-ci. Hum, c'est dans le même ordre d'idées, mais selon vous, sur quoi les régulateurs vont-ils se concentrer, euh, d'ici la fin de l'année et l'année prochaine en matière de gestion des risques liés aux tiers ? Pensez-vous que les réglementations vont changer ou non ? Quelle est votre opinion à ce sujet ?

Brian Johnson: Oui, nous avons déjà constaté, lors de certaines discussions que j'ai eues avec des membres des communautés de régulateurs et autres, un changement radical dans l'attention portée par les régulateurs aux tiers. Nous commençons déjà à poser des questions sur vos plans d'urgence, et cela fait partie de toutes les discussions que nous avons au niveau de la direction et du conseil d'administration. Vos plans concernant la dépendance vis-à-vis des tiers, la résilience de votre entreprise et votre dépendance vis-à-vis des tiers constituent des éléments importants de votre plan d'affaires. Nous constatons donc que les régulateurs prennent bien sûr en compte le fait que notre dépendance en tant qu'entreprises repose fortement sur des tiers. Les modèles de capacité, la dépendance vis-à-vis de la disponibilité de leurs ressources et de leur personnel pour assurer la livraison et la chaîne d'approvisionnement ont été des domaines d'intérêt importants. Je pense donc que mesurer le risque lié aux tiers n'est pas seulement une simple vente. Cela revêt une importance capitale dans le processus de planification commerciale, car nous constatons des effets d'entraînement sur les fournisseurs en aval, les partenaires de livraison en amont, les réseaux de distribution et de logistique. C'est un contraste frappant avec les problèmes auxquels nous étions confrontés auparavant. À moins d'être Amazon ou Netflix, vous envisagez l'entreprise sous un angle complètement différent et d'une manière différente quant à la façon dont nous fournissons des services avec nos fournisseurs et si nos fournisseurs peuvent répondre à la demande à travers le prisme des tiers qui disent : « Hé, tiers, dites-moi ce qui se passerait si l'activité augmentait de 50 %. Quels sont vos seuils de capacité si votre réduction des effectifs nous affecte ? Et quels sont les accords de niveau de service (SLA) que je dois m'assurer d'inclure dans le contrat et les obligations contractuelles autour de ces SLA vous donneront alors, espérons-le, un aperçu du type de décisions basées sur le risque que vous prenez. Vous avez un contrat conditionnel avec un autre fournisseur. Vous disposez peut-être d'une option de secours qui vous permet de fournir des services ou des capacités et vous construisez un site test. Une chose que nous avons parfois faite dans différentes entreprises où j'ai travaillé est d'avoir au moins une partie qui est en quelque sorte votre partenaire et un tiers avec lequel vous avez au moins une relation, que vous gardez en réserve ou sur lequel vous hébergez une fonction afin de pouvoir être prêt à y déployer des services. Mais oui, c'est certainement un changement important, tant au niveau du paysage réglementaire que de ce que nous observons en matière de conformité et de rags, qui va s'accentuer l'année prochaine.

Peter Schumacher: Intéressant. Hum, je pense qu'il est temps de poser deux autres questions. Euh, et encore une fois, n'hésitez pas à passer votre tour, mais hum, que fait PayPal actuellement pour gérer les risques liés aux tiers ? Et je comprends si vous ne pouvez pas en parler ou si vous préférez ne pas le faire.

Brian Johnson: Oui. Je m'excuse, Tony. Je ne suis pas libre d'aborder ce sujet dans ce forum. Je serais ravi de le faire dans un forum entre pairs où j'ai, euh, mis ce sujet en attente, mais je dirais simplement que, au niveau de l'entreprise, vous pouvez supposer que les éléments que j'ai mentionnés aujourd'hui incluent une vision holistique avec de nombreux niveaux de gestion des risques et des définitions de l'appétit pour le risque intégrées aux programmes.

Peter Schumacher: Très bien. Euh, alors question suivante. Comment éviter les risques lorsque nous partageons des données en ligne de nos jours ? Euh, la plupart du temps, le plus souvent, par n'importe quel moyen, en particulier lorsqu'il n'y a pas d'autre option. Comment éviter les risques lorsque nous partageons des données en ligne de nos jours, c'est la question la plus importante.

Brian Johnson: Je voudrais juste répondre à une chose, et Ponita, je vais commencer par dire clairement que nous ne pouvons pas éviter les risques, il n'y a tout simplement pas moyen d'éviter les risques. La seule façon d'éviter réellement les risques, c'est comme si l'ordinateur le plus sûr était celui qui est éteint, et même dans ce cas, il y a des risques, donc je dirais qu'éviter les risques lorsque vous partagez des données en ligne consiste davantage à atténuer et à gérer les risques, et celaconsiste à évaluer différentes méthodes d'accords de partage de données, que ce soit par le biais du cryptage ou de tunnels de partage, euh, par le biais de canaux sécurisés. J'ai toutefois constaté, en particulier au cours des six derniers mois, que de nombreux fournisseurs, que ce soit Office 365, Gmail ou même, bien sûr, les fournisseurs de données avec lesquels nous avons conclu un contrat, offrentun nombre accru d'options et de capacités flexibles dans les offres de partage de données qui permettent une connexion sécurisée ou, vous savez, une méthode de cryptage des e-mails, ou si vous effectuez un flux de données et partagez des données avec des tiers via cette méthode, il existe désormais sur le marché un nombre important de nouvelles fonctionnalités et capacités permettant de crypter et de gérer les données grâce à des options de cryptage et de gestion basées sur des clés. Donc, au niveau technologique, les options se sont considérablement développées. Au niveau organisationnel, j'ai vu que même Salesforce, Workday et beaucoup d'autres améliorent leurs performances en matière de partage et de cryptage des données, ainsi que leurs capacités de gestion des données. Donc, en ce qui concerne les tiers, si vous dites, par exemple, que vous allez envoyer des données à ADP, que vous allez envoyer des données à votre fournisseur et que vous voulez vous assurer qu'elles sont sécurisées, eh bien, les options sont nombreuses. Les options de transmission sécurisée des données arrivent sur le marché à un rythme beaucoup plus rapide, avec une puissance industrielle et une facilité de mise en œuvre. Je dirais donc que vos accords de partage de données, vos accords avec des tiers, doivent inclure des classifications de données, utiliser une matrice de classification des données et définir si vous avez une classe 1, une classe 2, une classe 3 ou une classe 4. Utilisez un classificateur de données et décrivez les types de données pour chacun de ces types en fonction de votre activité. Il se peut que les informations de santé publique constituent une classe dans vos mesures de classification. Cette matrice détermine ensuite les exigences et les contrôles que vous appliquerez au tiers. Vous les établissez dans votre contrat et vous vous assurez que les échanges de données sont conformes, puis vous les supervisez et les testez, bien sûr, pour vous assurer qu'ils respectent votre politique, mais vous les définissez dans la politique avec vos tiers. Évaluez-les dans le cadre de vos questionnaires. Obtenez des données et des commentaires via le produit afin de gérer les évaluations des tiers et de vous assurer que les normes de sécurité des données sont respectées dans le cadre de votre classification et de votre définition de l'échange de données. Effectuez ensuite des audits réguliers. Effectuez des contrôles rapides par échantillonnage, demandez-leur même de le certifier si vous pouvez l'intégrer dans votre contrat, puis demandez à votre équipe ou à vous-même de demander des échantillons pour le valider et mesurez les changements nécessaires aux outils et solutions que vous mettez en œuvre entre eux. Mais je serais vraiment surpris si un tiers n'offrait pas l'option avec, euh, confidentiel avec, euh, vous savez, des données exclusives ou certainement avec des informations sensibles, euh, une option d'échange de données sécurisée, euh, et s'ils ne le font pas, je chercherais bien sûr un autre fournisseur.

Peter Schumacher: bon conseil, merci, non pas chercher un autre fournisseur, mais la réponse globale, il y a beaucoup de bons conseils, donc je pense que la dernière question ici est une bonne question, je pense. Si vous faites partie d'une entreprise qui dépend fortement de tiers, considérez-vous le risque de concentration sur les tiers comme l'un de vos principaux risques stratégiques ? Si ce n'est pas le cas, comment aborderiez-vous ce risque ? Le regrouperiez-vous dans une autre catégorie de risques ou en feriez-vous une catégorie à part entière ?

Brian Johnson: Oui. Excellente question. Je dirais que la catégorie des risques liés aux tiers est une catégorie de premier plan dans la plupart des entreprises. Les risques liés aux tiers sont bien sûr liés à de nombreux autres domaines dans l'entreprise, mais en tant que fonction de gestion des risques liés aux tiers, ils sont très souvent considérés comme un élément de risque de premier plan, voire comme un élément de risque signalé au conseil d'administration, et la gestion des risques liés aux tiers ne diminue donc pas. Je ne pense pas qu'aujourd'hui, les entreprises dépendent moins des tiers qu'il y a dix ou cinq ans. Ainsi, à mesure que la dépendance vis-à-vis des tiers augmente, les exigences en matière de diligence et de contrôle, ainsi que la validation de ces risques, doivent également augmenter. C'est pourquoi, lorsque le cloud a commencé à devenir un sujet populaire, certains disaient : « Le cloud, ce n'est que le centre de données de quelqu'un d'autre, et tout fonctionne de la même manière. » Non, ce n'est pas le cas. Aucun tiers, aucun fournisseur de services ne fonctionne comme vous le feriez en interne. Les contrôles doivent donc s'adapter à cela, tout comme les risques et la quantification des risques pour votre entreprise doivent s'adapter à ces risques. Vous n'avez pas nécessairement le même impact qu'une panne chez un tiers, ou l'indisponibilité des ressources d'un tiers, ou une grève, ou un problème d'emploi, ou un litige contre ce tiers qui ne se répercutera pas sur votre propre activité principale. Vous devez donc gérer ces risques d'une manière unique afin de représenter le risque lié au tiers, alors qu'il devient une partie plus importante de votre activité, et qui est mesuré et quantifié différemment et de manière unique par l'équipe d'évaluation des risques liés aux tiers.

Brian Johnson: Merci pour cette question.

Peter Schumacher: Bonne remarque. Bonne question pour conclure. Je vais mettre fin au sondage et vous remercier tous d'avoir participé à cette session. Merci Brian pour toutes ces informations. Je vous rappelle que nous enregistrons cette session et que nous vous l'enverrons d'ici la fin de la journée demain. Merci à tous d'avoir participé. Passez une bonne journée et à bientôt pour le prochain webinaire.

Brian Johnson: Merci Peter. Merci beaucoup.