Description
Le vieil adage dit : "On peut mener un cheval à l'eau, mais on ne peut pas le faire boire : On peut mener un cheval à l'abreuvoir, mais on ne peut pas le faire boire. Il en va de même lorsqu'il s'agit de travailler avec les fournisseurs pour remédier aux risques : vous pouvez recommander des mesures correctives, mais vous ne pouvez pas leur dire comment le faire. Comment pouvez-vous être plus proactif avec les fournisseurs et simplifier le processus pour toutes les parties concernées ?
Dans ce webinaire, Jeff Kramer, Third-Party Cyber Risk Management chez Ford Motor Company, partage les meilleures pratiques pour construire et maintenir de bonnes relations avec les fournisseurs.
Rejoignez Jeff alors qu'il :
- Examine des exemples de la manière dont le manque d'automatisation peut paralyser les efforts de remédiation.
- Explique un modèle simplifié vert-jaune-rouge pour l'évaluation des risques
- Élabore un processus permettant de travailler régulièrement avec les fournisseurs afin de remédier aux risques.
- Décrit une procédure d'escalade lorsqu'un fournisseur n'apporte pas la preuve qu'il travaille à la mise en œuvre d'une mesure corrective.
- Examine les technologies permettant d'automatiser les communications avec les fournisseurs
Assistez à ce webinaire et apprenez des stratégies pour devenir plus proactifs dans vos mesures correctives concernant les risques liés aux fournisseurs.
Intervenants
Jeff Kramer
Gestion du risque cybernétique pour les tiers chez Ford Motor Company
Mike Yaffy
Directeur du marketing
Transcription
Melissa : Je m'appelle Melissa. Je travaille ici à Prevalent Business Development. Nous sommes rejoints aujourd'hui par un ou plusieurs invités très spéciaux, Jeff Kramer de um Ford Motor Company. Je suis sûre que vous en avez entendu parler. Il est donc euh le responsable de la gestion des cyber-risques pour les tiers. Bienvenue, Jeff. Nous accueillons également Mike Yaffy, notre directeur du marketing. Bonjour, Mike.
Mike : Oh, hey.
Melissa : J'y réfléchirai bientôt. Enfin, l'une de mes personnes préférées, Scott Lang, est parmi nous aujourd'hui. Il est avec nous aujourd'hui. Scott est notre vice-président du marketing produit, et il va peut-être nous expliquer un peu comment la prévalence pourrait vous aider. Hum, donc je veux dire, un peu de ménage. Ce webinaire est enregistré. Vous recevrez le diaporama par la suite, donc ne vous inquiétez pas. Vous n'avez pas besoin de prendre des notes ou quoi que ce soit d'autre. Et, euh, oui, vous êtes tous en sourdine, donc si vous avez des questions, posez-les dans la section Q&R et nous essaierons d'y répondre comme bon nous semble. Sans plus attendre, je passe la parole à Jeff. Allez-y.
Jeff : Très bien. Merci beaucoup, Melissa. Je vous remercie. Et je suis heureux d'avoir l'occasion de m'adresser à une foule de plus en plus nombreuse. Je travaille chez Ford depuis 34 ans et je m'occupe de la gestion des risques des tiers chez Ford depuis quatre ans environ. J'ai hâte de répondre à vos questions. Je ne sais pas si Melissa pourrait changer la diapositive suivante. J'aime bien faire une introduction. Encore une fois, je m'appelle Jeff Kramer. Je travaille pour la Ford Motor Company. J'ai obtenu deux diplômes en informatique à la Central Michigan University en 1984 et à la Wayne State University, à Detroit, avec une maîtrise en informatique en 1991. Je vis dans la région de Détroit, dans la banlieue de Détroit, et je suis marié depuis 38 ans. J'ai trois enfants adultes. Et je dirai que pendant la plus grande partie de ma vie, j'ai été agacé par les gens qui euh euh fournissent des photos de leurs petits-enfants tout le temps. Et cela s'est arrêté quand je suis devenu grand-père. Donc,
Melissa : Alors, tu es ce type maintenant, n'est-ce pas ? Vous êtes ce type.
Jeff: I am exactly that guy now. And so, uh so I have two uh two granddaughters, uh two adorable granddaughters. Uh you see their picture there. The one-year-old, that’s about as close as we can get to getting her to sit still for a picture. And her uh 5-year-old sister is a little bit annoyed by that. Thought that was a pretty nice picture from our Fourth of July gathering. Um the little more about myself. I’m a sports enthusiast, which um living in the Detroit area for the last 10 years or so has been challenging. Um but uh we do have um some uh opportunity here that we’ve never had before. Our our NFL team has never been to the Super Bowl ever. It’s been around for 60 years and we’ve never been there. Um not even really close. Uh but they’re getting better and this is going to be the year. So, Um, you’ve heard it here first if that happens. Um, and then then hell might freeze over at that point, too. But we’ll see. Um, as far as professional experience, uh, out of coming out of college, I I spent four years at the National Security Agency in Fort Me, Maryland. Um, got a lot of really good experience there. Um, but we wanted to come back to southeastern Michigan and and start a family. So, ended up getting a job as an agency employee uh, at Ford Motor Company doing a little bit of programming um, for the transmission division. Uh and about a year later uh they hired me in. So uh started at Ford in 1989. U been doing several different roles over the years from um setting up uh token ring networks to um setting up our first IBM PS2 model8s, working with uh Windows 3.1, all those really old types of things. Um um all the way through and did a lot of PC support, did a lot of uh Unix support. Um And then um sometime in the late 90s I I started working with Oracle databases and and um and and I uh led a team of Oracle database administrators and and part of that was making sure that you know everything was secure with our databases. So I got a lot of um a lot of exposure to what’s needed to um make sure that what your infrastructure is doing is uh is secure. Um when I about five year no more that eight years ago now. Uh I uh decided that I was um getting getting tired of doing uh 24 by7 uh uh support uh being on call. I wasn’t always on call, but being the supervisor, you’re the first person, the on call person call. So I was uh I was getting a little bit tired of that. And I I ended up moving into cyber security, so out of an operations role. And uh did some work with some of our plans for for uh for for, you know, their cyber security needs. But then, um, about four years ago, we had an issue with a, um, with one of our suppliers at our, uh plant uh plants where we built um the F-150s. Now, uh, if you, uh, know anything about Ford, uh, you’ll know that the F-150 is our money maker. When that shuts down, when that line shuts down, it uh, it gets the attention of a lot of people. And, um, and we had, uh. We had a line shut down for uh for a couple of shifts uh because of a um uh of a a ransomware attack of one of our suppliers um directly. So uh one of the things that they wanted to uh to do they came to our CESO and said uh we need to incorporate uh uh cyber risk into our supplier risk management processes. Um they you know um purchasing um our purchasing organization, our supply chain organization uh does a really good job of um addressing supplier risk and has always done that u for things like uh you know financial uh sustainability are they u mining materials correctly um you know just all these all these types of things uh but cyber risk was never part of it. Um so um our management tked me to uh start leading the team to to uh to provide some of that risk information to our suppliers. Um so um so that’s uh so that’s why we are where we are today. I have a team of um seven people and uh we we go out and we do assessments. A lot of them are on the line today giving me great support and uh and uh so we’re I’ll just wanted to talk a little bit about uh what it is we do um how we prioritize our suppliers, what kind of level of assessments we send out. Uh how we deal with uh suppliers that we see as problematic and uh just uh some questions that we had about um you know some of our challenges and and uh some of these other things that uh that we wanted to uh share with you today. So if Melissa you can go to the next slide. So so what we uh what we uh decided that we wanted to do is that we wanted to send uh some assessments out to our suppliers. Um, but one of the things about uh Ford is that um we have and and this number fluctuates on a daily basis. We have roughly 14,000 suppliers. Very daunting task to go out and uh assess all of them. And in fact, we’ve never done that. What we’ve done is um now we are um we’ve prioritized and we continue to prioritize which suppliers we send assessments to. Uh and that’s based upon some of the risks. And some of the things that we look at were are um you know we have um we have uh uh purchasing uh applications that provide some uh some indication of the types of services that uh each of the purchase orders that go out provide. And uh we’re able to take a look at that and and we make some determinations based upon this code uh of we call a commodity code um as to what services are provided and we we identify some of the ones that we’re most interested in. And I mean some of the ones that we’re most interested like uh engineering suppliers um the suppliers that do transportation for us um some of our marketing suppliers spend a lot of money on marketing uh and um and like companies that do consulting. So those are some of the suppliers that we do put up on kind of a higher u level um suppliers that um manage Ford’s data and IT services for us. One such example of that would be prevalent. Um they um it’s a SAS or u a SAS offering and uh they manage uh this data that is for its data. They do that for us. Um so we have uh many um suppliers that do that. Um Prevalent is not a uh they don’t hold a lot of our any of our secret information. information, but we do have suppliers that do um you know, health care, uh employee benefits, um some that have a lot that have some customer data, some perh personalized information. So, um those are also suppliers that we do, um, uh we do uh prioritize and uh and then also um I mentioned that there were suppliers that do uh that have the ability to if they shut down their operations, um it would have a negative impact upon uh Ford’s operations. and uh and so our our production um you know if if we don’t have um transmissions or or wiring our seats to put inside of vehicles that’s a problem and a lot of our suppliers have very I’m sorry a lot of our plants have um uh very distinct plans and u and for sequencing as the cars go by uh they’re building for an order so it has to have this kind of seat um that’s going into the to the vehicle this kind of engine or um or anything and if it’s not there it shuts down the plant. So um we with the help of our um supply chain organization um we’ve identified those uh those particular suppliers. Um the assessment that we chose um is the u is the the an industry standard uh called the SIG light. And I’m just going to check to make sure that I’m still being heard.
Melissa : Oui, nous vous entendons bien en direct, Jeff. Nous avons juste eu un petit problème avec la diapositive. Nous sommes en train de la remettre en ligne.
Jeff : D'accord. Oui, pas de problème. Je ne savais pas s'ils avaient des problèmes avec mon propre fournisseur d'accès à Internet. Je suis donc chez moi aujourd'hui. Je vais donc continuer et je pense que Melissa va me rattraper. Euh, donc, euh, et je pense que c'est de nouveau un couple ou un. Oui. L'évaluation que nous avons choisie est l'évaluation SIG light, que nous considérons comme une évaluation standard de l'industrie. Hum et même au cours des années, lorsque nous avons commencé, je pense qu'il y avait vous savez le SIG light complet avait environ vous savez plus de 250 à 300 questions en fonction de vous savez ce que vous répondez. Au fil des ans, nous sommes en 2023 et ils ont vraiment condensé le questionnaire pour le rendre un peu moins lourd, tout en fournissant les informations dont nous avons besoin pour fournir des informations sur les risques à nos partenaires d'achat. Ce que nous avons constaté, c'est que certaines questions ne concernaient même pas certains de nos fournisseurs. Par exemple, il y avait beaucoup de questions dans le sigalite qui disait : " Comment gérez-vous les données de portée ? " Les données de portée sont les données que Ford vous fournit pour que vous les gériez et beaucoup de nos fournisseurs de production qui nous fournissent ces sièges, ces harnais de câblage, ne gèrent pas nos données de portée et ne savent même pas ce que sont les données de portée. Ils ont donc répondu à des questions que nous avons jugées inappropriées de leur poser. Cela ne fournit aucune euh euh plus d'informations. C'est juste que cela provoque un engorgement et hum et une confusion dans tout le système. Ce que nous avons décidé de faire, c'est d'établir quatre niveaux de SIG light : le SIG light complet si l'un de ces fournisseurs de services informatiques obtient le SIG light complet pour les fournisseurs de produits qui ont le potentiel d'interrompre les activités de Ford. Euh, ils obtiennent également le SIG light complet, mais toutes les questions relatives à la portée des données euh sont supprimées parce qu'elles ne les concernent pas vraiment. Hum et puis nous avons quelques autres niveaux. L'autre, le quatrième niveau, le troisième niveau, est essentiellement un peu moins détaillé et ne va pas aussi loin que la lumière SIG et c'est un peu comme un fourre-tout au troisième niveau. Nous avons également un niveau minimum qui consiste à savoir si ce fournisseur fournit les choses rudimentaires que nous attendons de n'importe quelle entreprise. Nous ne l'utilisons pas vraiment parce que nous donnons la priorité à nos fournisseurs les plus risqués. Nous ne l'utilisons plus que dans le cadre de certains de nos processus de présourcing où, si un acheteur souhaite voir certaines de ces informations, nous lui envoyons le minimum de 20 questions et il obtient ces informations.
Mike : Jeff, puis-je intervenir au sujet du profil et de la hiérarchisation ? J'ai l'impression que beaucoup de gens à qui nous avons parlé ont déjà fait quelque chose et ont échoué, ou bien ils utilisent des feuilles de calcul, et cela semble être le plus grand défi, n'est-ce pas ? Et j'aimerais avoir votre avis là-dessus. Personne ne dit que lorsqu'on fait appel à une tierce partie, on fait en quelque sorte tout l'univers en même temps, n'est-ce pas ? Vous devez comprendre qui est le plus important et vous posez aux gens différentes séries de questions et la fréquence, le type et la façon dont vous poursuivez quelqu'un qui fournit quelque chose pour, vous savez, le F-150 par rapport à quelque chose qui a, vous savez, un impact marginal pour votre organisation est très différente, n'est-ce pas ? Et
Mike : La plupart des gens commencent par essayer de comprendre comment faire cela efficacement ? dans un certain niveau avant de s'étendre à l'échelle mondiale. Quelle importance accordez-vous à l'échelonnement ?
Jeff : Eh bien, euh, très important. Et au fur et à mesure que ça avançait, on s'est rendu compte que c'était encore plus important, n'est-ce pas ? Donc, je veux dire, à l'origine, nous avons juste envoyé une évaluation, la même évaluation complète à tout le monde. Et encore une fois, les questions ne concernaient pas tout le monde. Nous avons donc essayé de faire en sorte que cela concerne tout le monde. Mais la façon dont nous avons mis cela en place reste un défi. C'est ce que je dirai, Mike. Je veux dire, en ce qui concerne euh vous savez, le nombre de fournisseurs que nous avons et euh nous obtenons beaucoup d'informations d'un grand nombre de systèmes dispersés qui euh et ce n'est pas vraiment lié ensemble. Il y a beaucoup d'activités autour de cela. Nous n'en sommes pas encore là. Et je sais, en discutant avec certains de nos collègues, qu'il s'agit d'un problème assez courant parmi les entreprises de notre taille, bien sûr, mais aussi parmi les entreprises plus petites qui rencontrent souvent les mêmes problèmes. Nous essayons. Nous n'y sommes pas encore, mais nous y arriverons un jour.
Mike : Et ce n'est pas grave. Je veux dire, c'est comme ça, non ? Il faut mettre un
Jeff : Le terme que je continue d'utiliser à ce sujet est celui de mémoire musculaire, n'est-ce pas ? Ce n'est pas nécessairement
Jeff : une capacité intégrée au sein d'une organisation. Et vous devez en quelque sorte enseigner - vous n'enseignez pas seulement à vous-même et à votre équipe, mais vous enseignez à l'organisation comment consommer pour faire face et au fur et à mesure. Désolé, je ne voulais pas mais je pensais que c'était non par tous les moyens s'il y a des questions qui même si vous les voyez dans le chat si c'est euh particulièrement important et quelque chose dont je parle s'il vous plaît n'hésitez pas à intervenir. Ça me donne une chance d'avoir une
Mike : Faites une petite pause pour reprendre votre souffle et vos esprits.
Jeff : Je voulais aussi demander à Melissa pourquoi vous et moi ne faisions pas partie de ses personnes préférées, mais nous pouvons garder cela pour une autre fois.
Melissa : J'y reviendrai à la fin de mon intervention.
Jeff : D'accord.
Mike: Well, I just met Melissa, so I’m hoping I’m getting getting up there. Um uh so, uh just the last thing on here. I mean, we have expectations of our suppliers for sure. One is that um when we we send them uh this assessment that they they complete it and they complete it truthfully, right? Um quite honestly, this is a self assessment given the uh number of people that we have and the uh and the the number of suppliers that we have. Um we can’t we can’t go out and review evidence. If someone says they have a a a business continuity plan, we we can’t we can’t review all of those. So this is a self assessment and what what we’re as what we expect is that the supplier will um will uh complete it with integrity. Um certainly we have um within our um uh terms and conditions. We do have a uh clause that says that you will complete this um assessment complete um the various assessments on a on a regular basis. Um and and essentially we give them with a month to complete it. Um certainly if people need more time we do it. Um and uh and then um we uh and then we they’ll come then they’ll they’ll get some uh some reviews. Um and I I think I just saw a little snippet at the bottom uh from the chat that uh perhaps we um about certifica asking about certifications and uh just mentioning here that we um it doesn’t make a lot of sense for us to uh send an assessment out to a team and then they come back and say well we have this uh this ISO 2701 certification we got we went through the time and effort and money to do this um why why are we uh why are you sending us this assessment? Why should we complete this assessment? And essentially, we say, well, that’s a good point. There’s really no reason. If someone uh independent has reviewed your um your assessment uh reviewed your uh cyber security posture, we will take that in lie of your u completing this assessment. It it saves us time and it saves them time for sure. Uh and there’s and and things like we mentioned it’s reviewed um There are um we do accept SOCK 2 type 2 reports and potentially there could be um exceptions within that report and we do review that for exceptions and do uh manually create risks within the system and ask them to address those. Okay. Um next uh next slide please Melissa. So when the assessments um you know uh are sent out um within a set period of time. They get completed by the supplier uh and they get uh submitted. It uh it goes to the prevalent risk operations center first and and they review it uh you know fairly quickly for um for completion. Um I mean we ask for u things like uh whether or not uh any of the uh u replies that come back is not applicable. If there’s comments around it for um uh for uh you know to to tell us why it’s not applicable. That’s something that we uh that we ask for. Um so um they do a quick u quick uh uh search through the assessment as it’s submitted. If there’s concerns, they’ll they’ll pop it back to the supplier. If not, they uh put it in the queue for um for my team to take a look at and to uh to review. And um and and what what we do is u uh a few things. Um first of all, if there are comments or notes within um uh some of the answers um and and I will say that uh you know in the SIG light I mean if you’re not familiar essentially it’s and it’s probably true with everyone is basically we’re asking yes no right yes no not applicable um generally one of the yes nos is a risk response um and uh and and when that risk response is uh completed, it generates a uh a a risk record. And sometimes uh suppliers will put in notes that say, “Okay, here’s here’s a compensating control. We don’t have this, but we do have a compensating control for this.” And they uh designate that. And uh and then we we just we review those and uh I mean, if if it’s uh suitable, uh we’ll we’ll mark that risk as remediated. But generally um there’s not a lot of that. There’s there’s it’s mostly comes back as yes, no. And within the SIG light, what we found was a couple different types of questions and uh and these are kind of our own terms. U so it doesn’t may not make a lot of sense. One is anformational question and I mean essentially that is does a situation exist where a risk may occur right so things like um do you use uh servers internally on your data center to uh do you use Unix servers to um um uh at all within your data center. And um and so if if that’s the case or if uh or if you have some kind of a DMZ um where the where if there there’s data shared externally, uh does a DMZ exist and things like that. If they answer yes, well, a risk record gets generated. Um but there may be uh policies, procedures, standards in place that would mitigate that risk. And um that’s what we we’re calling here is the policy questions. And that’s those are just exactly what I mentioned. Do you have this policy in place? Do you have this procedure? Do you have a a a standard or uh some process that would help mitigate um the potential risks as as I was uh just saying. I mean, these are things like uh do you do access reviews? Do you have uh physical security in your um in your um uh in your facility so that visitors have to sign in or is the doors just wide open? So um so a lot of cases theseformational questions that generate risks um will get mitigated based upon the policy questions that are associated with them and we review that on a yearly basis as to okay theseformational questions would generate rate of risk. What do we think um would be a uh compensating control the controls that would help mitigate that risk?
Mike : Jeff, je sais que j'ai travaillé dans le domaine de la sécurité de l'information. Je suis un gars du marketing, ce qui veut dire que je ne sais pas vraiment de quoi je parle, mais suffisamment pour être dangereux, mais je suis remonté jusqu'aux tests de pénétration et à la création de boîtes à outils d'exploitation pour que les gens ne passent pas 40 heures à écrire du code Python et qu'ils puissent ensuite l'exécuter. Vous savez
Mike : Je pense que c'est au niveau de l'examen et de la collecte que beaucoup de gens se retrouvent coincés avec le risque de tierce partie, n'est-ce pas ? C'est vrai. Cela semble décourageant à cause du travail manuel. Euh, écoutez, je suis tout à fait favorable à l'approche hybride ou à un type d'approche où vous et votre équipe examinez les résultats. Je suis désolé, et je peux me tromper, mais je pense que c'est une perte de temps pour vous d'essayer d'amener les gens à dire, pouvez-vous s'il vous plaît répondre à la question 38 ? Et D, vous savez, vous êtes trop intelligents pour cela. Je veux dire, comment intégrez-vous ce genre de choses ? Comment vous sentez-vous par rapport à ça ?
Jeff : Pour ce qui est de répondre aux questions individuelles ou d'effectuer les évaluations, nous comptons sur l'automatisation prévalente, vous savez, s'il reste deux semaines, nous leur envoyons un courriel. S'il reste une semaine avant la date d'échéance, ou si la date d'échéance est le lendemain, ou si vous n'avez pas commencé dans les deux semaines qui suivent, un courriel est envoyé au contact. Nous ne faisons pas beaucoup cela, mais nous comptons sur nos partenaires d'achat qui ont des employés et qui entretiennent des relations avec ces fournisseurs et qui ont leur mot à dire sur la façon dont ces choses sont faites. Nous essayons donc de ne pas trop nous impliquer là-dedans parce que ce n'est pas vraiment euh, ça ne tire pas vraiment parti de la force de notre équipe et nous aimons nous assurer que nous faisons des choses comme examiner les évaluations au fur et à mesure qu'elles nous parviennent. Je parlerai aussi un peu de la façon dont nous nous engageons avec les fournisseurs si nous estimons qu'ils posent un problème de CI. Mais est-ce que cela répond à votre question, Mike ?
Mike : Oui, c'est vrai. J'ai l'impression qu'il n'y a pas d'autre moyen d'y arriver, ça n'a pas d'importance. Très honnêtement, c'est du saucissonnage. Vos gars ont de plus gros problèmes à régler que ça,
Mike : Vous savez, et faire en sorte que les gens répondent aux questions. Vous devriez examiner les résultats et prendre des décisions basées sur les risques, savoir qui corriger et dire aux gens ce qu'ils doivent faire pour que l'entreprise reste sur la bonne voie, et non pas passer un temps ridicule à effectuer des tâches stupides, franchement.
Jeff : Oui. Non, je comprends. Je vais donc passer rapidement sur ce point. Il y a donc un niveau de risque déterminé par le nombre de dossiers à risque total, le nombre de risques critiques. Une fois encore, nous procédons à des ajustements pour déterminer ce qui est un risque critique et ce qui ne l'est pas, sur la base des commentaires que nous recevons de nos partenaires d'achat ou de nos collègues de la cybersécurité, ou encore de notre propre expérience. Donc, nous faisons cela et ensuite le nombre de risques détermine s'il s'agit d'un statut rouge jaune vert et si c'est un statut rouge, alors nous nous engageons avec le fournisseur et je pense que c'est la prochaine diapositive Melissa.
Melissa : Avant de passer à la question suivante, nous avons reçu deux questions qui portaient sur le même sujet : quelle est la taille de l'équipe qui travaille sur la gestion des risques liés aux tiers ?
Mike : Je les ai donc vus. Jeff, pouvez-vous nous donner une idée de ce que sont les responsabilités de chacun ? Parce que je pense que vous êtes un peu en haut de l'échelle, n'est-ce pas, pour ce qui est du soutien en termes de main-d'œuvre. Il serait donc formidable d'identifier ce que fait chaque personne ou chaque groupe, sans évidemment
Mike : Je m'y mets aussi.
Jeff : Oui. Donc, oui. Et très honnêtement, toute notre équipe fait beaucoup de ces types d'examens, c'est sûr. Mais il y a beaucoup de types d'activités où j'ai confié à des sous-équipes ou à des individus la responsabilité de trouver des solutions différentes. Je veux dire que nous avons des gens qui regardent, vous savez, chaque année la même lumière change et nous avons des gens qui regardent ça. Nous avons des personnes qui examinent le processus que nous utilisons, comment nous pouvons le rendre plus efficace. Nous avons des gens au sein des achats et des systèmes qui identifient nos contacts chez les fournisseurs, mais nous devons jeter un coup d'œil et nous assurer que nous envoyons les bons messages aux bonnes personnes. Ensuite, lorsque nous menons une campagne, nous avons un certain nombre de personnes qui sont impliquées dans ce processus. Dans l'ensemble, mon équipe compte sept personnes en plus de moi-même. Et vous avez raison, je suis en haut de l'échelle. Ils ne font pas, vous savez, j'essaie de ne pas tout gâcher en faisant le travail, le vrai travail, mais euh mais euh vous savez, ils font un excellent travail et nous nous rencontrons souvent sur euh sur certaines de ces euh ces sous-tâches. Alors, est-ce que ça marche pour vous, Mike ?
Mike : Oui, monsieur.
Jeff : Très bien. D'accord. Je pense avoir répondu aux questions de Melissa, de l'équipe et des participants. Donc, oui. Donc oui, c'est ça. Réunion sur le statut du rouge. Donc, euh, oui. Si nous déterminons que quelqu'un est un fournisseur à statut rouge, ce que nous faisons, c'est que nous demandons aux achats de créer une réunion et, bien souvent, les achats ou la liaison avec les achats participent à cette réunion. Parfois, nous avons l'acheteur qui est euh euh au sein des achats qui est euh euh qui travaille le plus et qui possède cette relation avec ce fournisseur. Ensuite, du côté du fournisseur, nous demandons aux personnes qui ont effectué l'évaluation et à toute autre personne concernée de participer à la réunion. Au cours de la réunion initiale, nous passons en revue les risques en nous concentrant principalement sur les risques critiques. Nous leur demandons de s'engager à terminer l'évaluation et à revenir en arrière pour établir une sorte de calendrier afin de déterminer quand ils pourront remédier à ces risques. Nous savons que pour beaucoup de ces fournisseurs, ce n'est pas une tâche facile. Ce n'est pas quelque chose qui peut être fait en un mois, en deux mois et en six mois parfois. Mais ce que nous demandons, c'est que des progrès continuent d'être réalisés et nous demandons que la communication aille et vienne au sein de la plateforme prévalente. Elle fait un très bon travail de communication et de facilitation de cette communication au sein de la plateforme et nous capturons notre communication et nous la mettons à la disposition de tous ceux qui ont besoin d'y jeter un coup d'œil. C'est la principale méthode de communication entre nous et les fournisseurs. Après cette réunion, nous organisons une réunion de suivi au cours de laquelle nous leur demandons d'indiquer dans les commentaires leur calendrier de remise en état. Nous examinons ces commentaires lors de la réunion de suivi et répondons à toutes les questions au fur et à mesure qu'ils approfondissent ce qu'ils doivent faire. S'ils ont des questions, nous y répondons lors de la réunion de suivi. Mais nous essayons de rester engagés jusqu'à ce que la remédiation ait lieu, que le fournisseur sorte du statut rouge et qu'il élimine ses risques critiques. Pour ce faire, nous déposons à nouveau des commentaires dans les dossiers de risque tous les mois pour voir ce qu'ils ont fait. S'ils souhaitent une autre réunion, nous le ferons également. Mais en général, après les deux premières réunions, nous nous en occupons par courrier électronique et surtout par l'intermédiaire de la plateforme. Nous avons eu beaucoup de succès en faisant cela et, à bien des égards, je considère que c'est là que nous apportons le plus de valeur ajoutée. Nous avons donc rencontré plus de 100 fournisseurs. Nous avons rencontré plus de 250 de nos fournisseurs au cours de l'année écoulée et environ 120 d'entre eux sont passés d'un statut rouge à quelque chose de plus conforme et c'est là que, comme je l'ai dit, nous ajoutons de la valeur. Nous savons qu'il s'agit d'un petit sous-ensemble de nos fournisseurs, c'est certain. Euh, mais cela élève le niveau pour tout le monde, à mon avis.
Mike : Jeff, nous avons reçu trois questions et je pense que nous allons passer à notre segment de questions-réponses où je vous pose des questions, mais nous sommes heureux de répondre aux questions du public également. Hum
Mike : La première traite un peu du tarage par rapport à ce dont nous avons parlé. Je vais la lire. Euh, de nombreuses équipes d'approvisionnement utilisent une approche par paliers pour segmenter les fournisseurs de l'entreprise. Comment abordez-vous le problème lorsque les parties prenantes estiment que les fournisseurs de niveau inférieur ne sont pas aussi critiques d'un point de vue cybernétique que les fournisseurs de niveau supérieur ? Je pense qu'ils ne veulent pas que leurs employés fassent partie d'un fournisseur de niveau supérieur et qu'ils fassent l'objet d'une surveillance excessive.
Jeff : Oui. Eh bien, nous, je veux dire qu'il y a des exemples classiques parfois que vous essayez d'avoir un site avec des entreprises de CVC qui ont eu des problèmes où des pirates informatiques se sont introduits dans un site de CVC.
Jeff : Oui, je dirais que c'est la cible, c'est la cible. Donc, c'est certainement l'hum
Jeff : c'est un peu le principal exemple que nous utilisons. Mais encore une fois, il s'agit d'expliquer que les menaces sont partout. Les menaces sont contre tout le monde. Il ne s'agit pas toujours, même pour les hackers, d'entrer par l'intermédiaire d'un fournisseur. Souvent, ce n'est pas euh qu'ils n'ont même pas de connexion. Mais nous devons nous assurer que c'est bien le cas. L'une des questions que nous avons ajoutées à l'allumeur de cigares. L'une des questions que nous avons ajoutées est la suivante : avez-vous un plan de reprise après sinistre et implique-t-il que vous vous adressiez à notre équipe de recherche, à notre équipe de réponse aux incidents, par courrier électronique ? Cela fait-il partie de votre plan ? Hum et c'était euh c'est juste une façon de savoir que euh qu'ils sont euh que nos intérêts sont là pour ça. Nous devons donc vérifier cela pour tous les fournisseurs et il y a d'autres fournisseurs qui pourraient avoir un impact négatif sur notre entreprise ou nos installations de fabrication et bien souvent, on ne sait pas d'où viennent les menaces et quel pourrait en être l'impact. C'est pourquoi
Mike : oui,.
Mike : Voyons voir, nous avons une question de Janet et d'un participant anonyme. Il s'agit de la même question, comment saisissez-vous les preuves de l'atténuation des risques et comment, et je vais aller plus loin. Comment pouvez-vous mettre en œuvre l'atténuation des risques ? Je constate toujours que les programmes de TPRM sont mis à mal parce que vous pouvez identifier quelque chose, mais si vous ne pouvez pas appliquer la solution, c'est vrai, cela peut parfois manquer de mordant. Donc, euh, comment l'identifier est la première question et ensuite comment faire appliquer les activités de remédiation ? Euh, donc euh, je veux dire que ce sont d'excellentes questions, euh, c'est certain. Je crois que j'ai mentionné que le siglet est une auto-évaluation et avec le volume de personnes euh de fournisseurs que nous avons, nous ne pouvons pas le faire. Donc ce qui se passe chez Ford, je ne dis pas que nous disons simplement " hey, peu importe ce que fait le fournisseur ", mais du point de vue du niveau de service. Donc si un fournisseur fournit à Ford un service informatique, le propriétaire de l'entreprise a une évaluation séparée ou bien une évaluation séparée qui doit être faite à partir de ce niveau de service. Euh et c'est là qu'ils capturent euh la preuve que ces choses sont faites. C'est au propriétaire de l'entreprise de décider à ce moment-là pour ce service particulier. Euh, de notre point de vue, nous n'avons pas euh, nous n'avons pas ex nous, nous n'avons tout simplement pas les ressources pour le faire et, à ce stade, nous n'avons pas le mandat pour le faire aussi y avait-il une deuxième partie à cette question ?
Mike : non, j'ai répondu aux deux que nous avons eus.
Jeff : d'accord.
Mike : j'ajoute que les équipes d'approvisionnement attribuent souvent les niveaux en fonction du coût, mais même les fournisseurs qui coûtent peu peuvent avoir des problèmes cybernétiques importants ou des impacts majeurs, je suis tout à fait d'accord avec cela, mais Jeeoff, ne serait-ce pas quelque chose comme vous devriez simplement mettre en avant un critère qui est quelque peu binaire. Si vous créez quoi que ce soit en rapport avec le F-150, vous êtes un fournisseur de niveau 1. Point final. Comme moi, vous savez, parce que si nous ne pouvons pas construire le F-150, et je crois qu'il y avait un fabricant allemand sur COVID qui ne pouvait pas obtenir une pièce et qui a dû fermer. Donc,
Jeff : C'est vrai. C'est vrai.
Mike : Je veux dire que cela semble être le cas, mais je ne suis pas un expert.
Jeff : Eh bien, il y a certains critères que nous utilisons pour évaluer la priorité. Le coût est l'un d'entre eux, mais ce n'est certainement pas le seul et certainement pas le plus important. Mais nous avons euh vous savez, nous avons euh vous savez, nous avons euh vous savez, nous obtenons de l'achat une liste des fournisseurs de F-150, ceux qui sont en haut de la ligne. Euh, nous avons euh, vous, je veux dire tout autre fournisseur de séquençage qui a besoin d'un stock pour fabriquer cette pièce, ceux-là sont prioritaires. Euh euh combien nous dépensons avec eux C'est l'un d'entre eux C'est l'un d'entre eux. Je dirais que c'est probablement plus tard.
Mike : Oui. Ce n'est pas le coût qui compte. C'est l'impact sur l'entreprise, n'est-ce pas ?
Jeff : Oui. Exactement. Oui, c'est vrai.
Mike : Hum, alors comment faire avec un propriétaire d'entreprise qui souhaite accepter le risque plutôt que de pousser le fournisseur à prendre des mesures correctives ? Je ne sais pas si vous avez votre mot à dire à ce sujet, mais...
Jeff : Non, nous ne le faisons pas. Comme je l'ai dit, nous transmettons des informations à l'équipe de gestion des risques du fournisseur. Ils ont leurs politiques et processus d'acceptation des risques. Nous n'avons pas vraiment de rôle à jouer dans ce domaine, mais il est certain que cela se produit. Je veux dire que les priorités de l'entreprise sont souvent primordiales.
Mike : C'est intéressant. Vous savez, nous voyons cela de plus en plus et je commence à voir, vous savez, je parle simplement avec des clients et des gens qu'il semble y avoir la fabrication de plus de centres d'achat où vous voyez quelqu'un de l'approvisionnement, quelqu'un du juridique, quelqu'un du risque, quelqu'un de la sécurité.
Mike : au fur et à mesure qu'ils intègrent des vendeurs, ils commencent à penser à tout cela de manière plus cohérente que...
Mike : Vous savez, j'ai dirigé un site à Brad Street. Nous avons géré ce site, n'est-ce pas ? Oh, vous l'avez.
Mike : C'est fait, n'est-ce pas ?
Jeff : Oui.
Mike : Par rapport à, vous savez, avons-nous besoin de risques au niveau de l'entreprise ? Avons-nous besoin de tout un tas d'autres choses qui pourraient avoir un impact ?
Mike : Alors, je transforme cette question en une question un peu plus large de Joel, mais est-ce que le département juridique a un rôle dans la gestion des risques des tiers et cela peut être oui ou non et l'expliquer, mais qui d'autre a un siège à la table, n'est-ce pas ? Ou bien le programme a été créé, il continue d'évoluer, quelle serait votre configuration idéale à cet égard ?
Jeff : Je veux dire que nous avons des conseils de gouvernance auxquels nous rendons compte par l'intermédiaire de notre direction et des personnes dont vous dites qu'elles sont vraiment présentes à la table. Il y a notre OGC, certainement, vous savez, ils ont des contrats avec ces équipes et nous devons nous assurer que nous n'outrepassons pas leurs obligations. Il y a aussi la gestion des risques liés aux achats et aux fournisseurs. There’s um there’s just general purchasing operate our operations team. Um notre um notre équipe IT qui soutient les achats uh notre CISO um et uh et vraiment ce sont les ce sont les personnes qui sont impliquées uh les équipes qui sont impliquées dans la prise de décision sur ce que nous allons faire à l'avenir.
Mike : J'ai compris. Euh, quelqu'un a demandé euh, l'une des choses que nous voyons ici quand nous faisons vous savez, je sais que vous êtes tous dans notre base de données et que nous vous envoyons beaucoup de courriels, c'est que les questions de conformité suscitent un niveau d'intérêt disproportionné NIST ICE Donc euh, vous savez, ce genre de choses. Comment les régulateurs ont-ils accueilli votre approche et votre processus ? Y a-t-il quelque chose que vous pensez pouvoir faire si vous aviez le pouvoir ? La transition s'est-elle faite en douceur ? C'est juste une question de curiosité.
Jeff : Je sais que si c'était à refaire, je pense que j'aurais probablement un meilleur plan de communication à la fois interne et externe.
Jeff : eh bien, parce que je veux dire qu'il y a des moments où nous nous appuyons souvent sur notre euh gestion des achats, donc c'est un peu comme si nous envoyions ces évaluations euh, et bien souvent ça ne descend pas, donc vous aurez un fournisseur qui reviendra et ira voir son acheteur et dira hé euh, on a eu ça qui ressemble à de la pêche. Hum, ça vient d'un Ford hum, vous savez, parce qu'on avait un relais d'email qui venait de afford.com. Mais ça, ça ressemble à de la pêche. J'ai fait ma formation et je dois m'assurer que c'est correct, que c'est approprié. Mais nos acheteurs ne le savent pas, n'est-ce pas ? Ils ne savent pas que nous faisons cela et c'est une entreprise mondiale et il y a différentes, vous savez, donc j'aurais probablement mieux fait le plan de communication euh, vous savez, à la fois en interne et Eh bien, principalement en interne de ce que nous essayons de faire. Donc,
Mike : Juste une question.
Jeff : Oui, c'est vrai. Et vous savez, nous posons toujours la question de savoir si vous êtes un roi pour un jour ou si vous pourriez remonter dans le temps et vous donner ce conseil. Je viens de regarder le film Flat. Donc, vous savez,
Jeff : donc en plus de me donner une promotion avec ça.
Mike : Oui, voilà.
Jeff : D'accord.
Mike : Voilà. Ou peut-être que Barry Sanders n'a pas pris sa retraite trop tôt. Mais c'est une autre conversation pour un autre jour.
Jeff : C'est une autre conversation.
Mike : Vous allez être bons cette année, mais ce n'est pas la question. Melissa, nous avons posé des questions à Jeff pendant une longue période. Je sais qu'on en avait d'autres, mais je voulais donner une chance à Scott. Je sais que nous avons une euh, vous savez, Scott une occasion de mettre tout le monde au courant du prévalent pendant juste deux minutes, de poser la dernière question du sondage et de permettre à tout le monde de se rafraîchir avant que nous ne passions à la fin de l'heure. Serait-il possible de faire une pause d'une minute et de passer aux étapes suivantes ? Je veux juste, vous savez, écoutez, Jeff, peut-être que nous allons juste faire une AQ. Vous savez, je sais que cela a pris du temps. Nous en avons eu beaucoup, mais vous savez, je n'ai jamais eu autant de questions actives depuis le début, donc il y a clairement une demande pour entendre ce que vous avez à dire. Nous pourrions donc peut-être organiser une séance de questions-réponses avec vous. Et attention, nous avons eu beaucoup de monde, donc votre email risque d'exploser bientôt, mais...
Jeff : D'accord. Ce n'est pas surprenant, vous savez.
Melissa : Oui. Euh, oui, et ce n'est pas inhabituel, donc pas d'inquiétude.
Scott: Uh, awesome. Yeah, great. Thanks, Mike. Uh, and thanks, Jeff. I’m just going to take, uh, you know, just a couple of minutes to talk about, you know, prevalence approach to addressing the third party risk management challenge. And then once I’ve kind of walked through a little bit of our approach, then we’ll pass it back over to Jeff and I imagine there’ll be some more questions to answer. So, Melissa, if you could move to the next slide, please. Um, ultimately what we’re trying to help organizations accomplish is to three primary uh questions or issues or to address three primary goals and the first of those is to uh get the data you need to make better insights. You know, maybe you’ve got it in silos. Maybe different departments are managing uh the vendor relationship. Maybe you know your procurement team uh owns the relationship but it’s IT security or risk management that executes the uh the actual assessments, right? Bringing that information together into one place uh that helps you make good uh informed decisions on um you know risk scoring, risk posture, remediation and next steps with vendors. Item number one. Item number two kind of relates to number one is increasing team efficiency and breaking down silos. You know you’ve got uh you know as I mentioned procurement might own a vendor relationship, excuse me, it might execute on the assessment. You finance might be involved. You’ve got the external auditors to deal with and everybody has a little piece of the puzzle that they’re that they’re playing with here. So pulling everything together into a single uh platform that enables you to action risk uh execute on reporting efficiently um is uh is is one of the ultimate goals here. And then third and the big one frankly is evolving and scaling your program over time. Uh whether you’re adding suppliers, making an acquisition, did a devestature, you know, reducing suppliers, going through rationalization process, whatever, you have to be able to have a a nimble and agile program that kind of flexes with uh you know, business requirements. Uh and that’s what, you know, a a a TPRM platform like Prevalent uh can can really help you accomplish. Next slide, please. Um so our approach is to and you can build it out a little bit more, Melissa, till you see the little blue bars at the bottom. There you go. Uh what we what we what we really talk about is and what we see in the market is that there are distinct risks at every stage of your third party vendor and supplier relationship. You know, you see risk during sourcing and selection. These guys have a kind of a a early sock 2 report or some spotty financial issues, maybe poor credit rating or maybe they’ve got some sanctions or reputational problems you have to address. That’s a very different type of uh risk to look at and manage and frankly sometimes a different department to take a look at that risk than at the top of that uh graphic right there in the assess and remediate function where you’re doing a much deeper dive on your on particular due diligence topics, you know, uh security um uh policies um ESG program um data privacy and protection policies you know financial compliance and more. You know every one of these stages around this this this life cycle presents its own unique challenges mostly related to a lack of insight not having stuff you know kind of pulled together having a very manual uh approach and then the solutions are also unique to every one of these wedges uh in this life cycle as well from being much more prescriptive about getting intelligence uh into your RFX processes to onboarding and contracting and building in the right uh right right to audit clauses automating your assessment processes enabling continuous monitoring of data so that you’ve got feeds of information coming into your environment continuously in between your regular assessments or your triggered assessments monitoring the SLAs’s and the KPIs and the KIS for each of those vendors make sure things are followed up on appropriately and then eventually as all relationships do um you know and they come to an end and you know what are the specific tasks and process that have to be addressed before you, you know, uh, you know, terminate a particular contract. At the end of the day, we’re trying to accomplish for you, you know, a a simplified and sped up process for onboarding vendors, getting you to a single source of the truth, closing gaps and processes, excuse me, and then unifying uh, everybody in the organization uh, around the third party life cycle. Next slide, please Melissa. You know, we address uh, a whole host boost of risks in a prevalent platform. Here are six categories of them. And this is just a sample of what I could squeeze in the tiniest type I could find on a slide. Uh but it just gives you an idea of how um elastic the platform can be in uh managing risk whether you’re issuing a dedicated assessment for one of these categories or you’re consuming you know monitoring feeds to make decisions. Next slide please Melissa. Um you know what we actually deliver as far as solution is really three-part harmony. Uh first is the expertise that we deliver uh through our risk operations center which Jeff mentioned uh you know earlier on in the presentation. You know this is this is our managed services organization that does a lot of the hard work for you from onboarding uh assessment and scheduling uh collection and management uh analyzing responses and evidence and documentation and then helping you define the right remediations to go back out to your to your vendors with. Um a whole host of data sources that we pre-integrated ready on your behalf. So you don’t have to try and tie a bunch of data feeds together into the platform. We pump it all in there for you right into the same risk register that your assessment responses appear in with some correlating between uh the the disperate findings so you can then take action on on uh you know potential gaps or or problems when you’re validating uh assessment controls with uh with outside monitoring data. And then finally we has it all in one platform that enables you to get great workflow uh reporting and then risk management guidance. um to share with the rest of the organization. Next slide, please Melissa. I mean really at the end of the day, our objective is to help you um make good well-informed decisions, be smarter uh by giving you comprehensive risk and performance insights, great analytics and role-based reporting for your internal and external stakeholders to unify your teams under a single source of the truth. To look at the life cycle on a unified basis from onboarding to offboarding and then give you descriptive guidance and intelligence to help you to understand what to do with the risks you find and uh and how to dispose of them of uh and uh and triage them from there. So honestly that’s our approach to thirdparty risk management to take a look at the life cycle address those risks at every life cycle and then give you you know the the process the intelligence uh and the guidance to help you improve that program over time and I think that’s pretty well representative of of some of the capabilities we’ve been able to uh to deliver forward And I’ll kind of pitch back over to Melissa if you want to open up for questions or Mike.
Melissa : Avant de passer aux questions, je vois qu'il y en a quelques-unes qui s'accumulent. Je vais donc lancer notre deuxième question. Continuez à nous poser des questions. Et vous savez que nous sommes curieux. Cherchez-vous à augmenter ou à mettre en place un RPT et un programme ? Comme je l'ai dit, soyez honnêtes. Nous vous suivons. C'est moi physiquement. Je suis une personne réelle. Je vous suivrai. Je veux m'assurer que personne ne passe à travers les mailles du filet. Alors, répondez du mieux que vous pouvez. Je pense que nous aurons le temps de poser encore deux questions. Mike, si vous voulez en passer quelques-unes au peigne fin ou Jeff, celles qui vous paraissent les plus intéressantes, je vous les soumettrai.
Mike : Oui, permettez-moi de jeter un coup d'œil à cette question de Katherine. Lors de vos évaluations annuelles, comment vous assurez-vous que les accords de niveau de service sont respectés ? Si ce n'est pas le cas, quelles mesures prenez-vous pour vous assurer que le fournisseur se remet sur la bonne voie ?
Jeff : Eh bien, encore une fois, ce qui se passe, c'est que nous fournissons beaucoup de courriels de rappel et même nous envisageons d'acheter pour envoyer quelques courriels après la fin de la période d'évaluation. Souvent, nous recevons une demande de prolongation de la période d'évaluation et nous ne manquerons pas de le faire. J'ai mentionné le statut rouge, jaune et vert. Il y a un autre statut que les achats utilisent, c'est le statut orange, et le statut orange signifie qu'ils n'ont pas respecté l'évaluation. Ils n'ont pas terminé à temps. Ils n'ont peut-être même pas commencé. Nous avons eu un exemple, et c'est le premier que j'ai entendu, d'un fournisseur qui travaillait avec l'acheteur pour effectuer un achat et qui a vu qu'il y avait une orange sur le tableau de bord à côté du nom du fournisseur pour dire qu'il n'avait pas terminé l'évaluation et qui a arrêté l'achat, ce qui a motivé le fournisseur. Nous tirons donc parti de cela autant que d'autre chose.
Mike : Euh, d'accord, ce sera la dernière question, encore une fois, euh, je veux juste donner à tout le monde et ensuite Melissa vous redonnera la parole, mais euh, j'aime bien celle-là. Est-ce qu'il vous est déjà arrivé de ne pas évaluer quelqu'un parce que c'est quelqu'un comme Microsoft ? Qu'en pensez-vous ?
Jeff : Oui, ils nous ignorent à peu près tous. Je veux dire, les grands, euh euh Cisco, euh Microsoft, Amazon, Oracle, euh je veux dire, ils ne nous ignorent pas, c'est sûr. Je veux dire, en général, ce qui se passe, c'est que chacun d'entre eux, de notre équipe de direction ou de l'équipe de gestion informatique. Euh, je veux dire jusqu'à notre CIO, euh, une grande partie de la direction a euh, euh, est une sorte de gestionnaire des relations avec certains des grands comme Microsoft et tous les autres et euh, et nous, euh, nous travaillons avec eux pour, euh, nous assurer que nous avons le bon euh, vous savez, ils ont tout en place dont ils ont besoin et, généralement, ils le font par l'intermédiaire d'autres gestionnaires. Donc d'autres euh méthodes euh et Donc, euh, ils ne ils ne remplissent pas un sig light, tout à fait honnêtement.
Mike : Je parie que non.
Jeff : Oui.
Mike : Je parie que non. Hey, euh, laissez-moi remettre la vidéo juste C'est mon internet qui a des ratés. Mais Jeeoff, c'était juste génial. Merci. Euh, vous savez, la quantité et la qualité des questions, je pense que cela représente le désir d'entendre quelqu'un comme vous dans un programme établi et vous avez fait un excellent travail et j'ai juste apprécié euh la touche personnelle. d'entrée de jeu. C'était génial. Merci à tous ceux qui ont voyagé. C'était génial.
Jeff : D'accord. Merci, Mike. J'apprécie beaucoup. Et je pense que le dossier va être envoyé. C'est bien ça ?
Melissa : Oui, c'est vrai.
Jeff : Très bien. Et je crois que mon adresse électronique est là. J'attends donc avec impatience les courriels.
Mike : Voilà. Melissa, autre chose ?
Melissa : Vous savez, j'apprécie vraiment cette interaction. Je pense qu'elle est très utile par rapport à toutes les questions-réponses que nous avons l'habitude de recevoir. C'est beaucoup. J'espère donc que tout le monde a trouvé cela utile. Peut-être aurons-nous la chance de l'avoir à l'avenir. Alors, restez à l'écoute tout le monde. Merci Mike d'être venu. Je sais que vous avez beaucoup à faire aujourd'hui et Scott aussi. Et une dernière fois, merci Jeff. Et nous vous verrons tous lors d'un prochain webinaire et dans vos boîtes de réception. Alors, prenez soin de vous. Bonne journée.
Jeff : Très bien. Merci. Au revoir.
©2026 Mitratech, Inc. Tous droits réservés.
©2026 Mitratech, Inc. Tous droits réservés.