Établir un inventaire des fournisseurs : La base de la réponse aux incidents impliquant des tiers

Ashley : Bonjour à tous. Ashley : Bon mercredi. Ashley : Nous sommes ravis de vous accueillir. Ashley : J'espère que vous passez une excellente journée jusqu'à présent. Ashley : Je vais vous laisser une minute pour vous installer et vous connecter. Ashley : En attendant, je vais lancer notre premier sondage. Ashley : Nous sommes simplement curieux de savoir ce qui vous amène à participer au webinaire d'aujourd'hui. Ashley : Est-ce pour des raisons éducatives ? Ashley : En êtes-vous aux prémices de votre parcours TPRM ? Ashley : Êtes-vous un client actuel ? Ashley : Aimez-vous simplement Bob et Scott ? Ashley : Quoi qu'il en soit, faites-le-nous savoir. Ashley : Et je ne peux pas oublier de faire quelques présentations. Ashley : Je m'appelle Ashley. Ashley : Je travaille dans le développement commercial ici, chez Prevalent. Ashley : Et nous sommes rejoints par des invités très spéciaux, mentionnés précédemment. Ashley : Le PDG de Cyber Marathon Solutions, Bob Wilkinson. Ashley : Comment ça va, Bob ?

Bob : Tout va bien, Ashley.

Ashley : Et notre vice-président du marketing produit, Scott Lang. Ashley : Comment ça va, Scott ?

Scott : Salut, Ashley. Scott : Très bien aujourd'hui.

Ashley : Excellent. Ashley : Euh, juste une petite précision. Ashley : Ce webinaire est enregistré et nous vous enverrons une copie ainsi que les diapositives de la présentation peu après le webinaire. Ashley : Euh, vous êtes tous actuellement en mode silencieux, mais nous apprécions votre participation. Ashley : Veuillez donc poser vos questions dans notre boîte de questions-réponses, et nous y répondrons à la fin du webinaire. Ashley : Euh, aujourd'hui, Bob va partager ses idées sur la manière de constituer efficacement un inventaire de fournisseurs. Ashley : Cela étant dit, Bob, je te laisse la parole.

Bob : D'accord. Bob : Merci beaucoup, Ashley. Bob : Bonjour à tous. Bob : Nous allons parler de l'inventaire des fournisseurs et du rôle qu'il joue pour nous aider lorsque nous sommes confrontés à des incidents impliquant des tiers. Bob : Comme quelqu'un l'a dit un jour, « Il y a des entreprises qui savent qu'elles ont été piratées et d'autres qui ne s'en sont tout simplement pas encore rendu compte. » Bob : C'est donc un véritable défi auquel nous devons nous préparer. Bob : Et l'un des éléments clés qui nous aide à nous préparer à gérer un incident est de bien maîtriser notre inventaire des fournisseurs. Bob : Et cela ne concerne pas seulement les tiers, mais aussi tous les sous-traitants, les quatrièmes et cinquièmes parties. Bob : Cela s'étend aux logiciels tiers que nos organisations pourraient utiliser. Bob : Il existe plusieurs façons d'analyser cela. Bob : Où se trouvent nos données ? Bob : Sont-elles sur le territoire national ? Bob : Sont-elles à l'étranger ? Bob : Et comprenons-nous vraiment toutes ces choses ? Bob : Aujourd'hui, nous allons commencer par parler de certains incidents récents et mettre en évidence la tendance selon laquelle ce que l'on appelait autrefois des incidents « cygnes noirs » en raison de leur rareté devient de plus en plus courant de nos jours, ce qui met beaucoup de pression sur les organisations. Bob : À partir de là, nous passerons à un aperçu de la gestion des incidents, puis nous parlerons de la gestion des incidents pour les chaînes d'approvisionnement étendues. Bob : À partir de là, nous parlerons des techniques permettant de créer un inventaire complet de la chaîne d'approvisionnement, des risques liés à la création de cet inventaire et des éléments à garder à l'esprit. Bob : Nous aborderons ensuite les événements déclencheurs qui peuvent entraîner des incidents et dont vous devez être conscient et tenir compte dans votre programme. Bob : Qui sont les principaux acteurs tiers qui peuvent nous aider à être plus efficaces dans la constitution de notre inventaire et qui ne doivent pas être négligés dans ce processus ? Bob : À partir de là, je vais aborder l'intérêt de classer nos tiers dans ce que j'appelle des domaines de risque et expliquer en quoi cela contribue à limiter les risques pour l'organisation et à se concentrer sur les contrôles vraiment importants dans certains types de relations avec les fournisseurs. Bob : Chaque fois que nous parlons de gestion des incidents.

Bob : Chaque fois que nous parlons de gestion des stocks, il est important d'évoquer l'importance cruciale des tiers avec lesquels nous travaillons. Bob : Sur quoi devons-nous nous concentrer pour déterminer l'importance cruciale de ces tiers ? Bob : À partir de là, nous parlerons du processus d'intégration des tiers et de son importance pour nous aider à disposer d'un inventaire précis. Bob : Ensuite, nous passerons à la surveillance continue et aborderons également certains points à prendre en compte dans le cadre de cette surveillance, ainsi que la prise de conscience que les relations que nous entretenons avec les tiers évoluent au fil du temps et que nous devons mettre en place un processus qui nous permette de faire régulièrement le point et de nous assurer que nous comprenons bien la nature de ces relations. Bob : car les relations évoluent au fil du temps, puis nous conclurons par quelques points clés à retenir de cette conversation. Bob : Passons maintenant au vif du sujet : qu'ont en commun les incidents récents suivants ? Bob : Et ce qui est important dans cette liste, c'est qu'elle ne cesse de s'allonger et qu'il s'agit d'événements significatifs. Bob : Nous avons donc eu plusieurs incidents dans le canal de Suez qui ont bloqué le canal et paralysé la chaîne d'approvisionnement mondiale. Bob : Nous avons récemment eu un terrible accident à Baltimore, où un navire a percuté un pont et bloqué le port, ce qui a eu des répercussions importantes non seulement sur le commerce, mais aussi sur les personnes qui vivaient dans la région. Bob : Nous connaissons tous le COVID-19, mais pour ceux d'entre vous qui ne suivent pas l'actualité, sachez que la grippe aviaire H5N1 est désormais un problème aux États-Unis et que si nous ne prenons pas les mesures nécessaires pour y remédier dès maintenant, cela pourrait être notre prochain problème. Bob : Il y a 15 ans, j'ai vécu une épidémie de grippe aviaire au Mexique, qui a été absolument terrible et a causé la mort de personnes que je connaissais. Bob : Ce sont donc des choses graves. Bob : Nous avons probablement tous entendu parler des récentes attaques par ransomware contre des casinos. Dans un cas, un casino a payé la rançon et a envoyé une note à tous ses membres disant : « Nous avons payé la rançon, vos données sont en sécurité », ce qui n'est peut-être pas vrai. L'autre entreprise, qui n'a pas payé la rançon, a dû dépenser quatre fois plus d'argent pour faire face aux conséquences de cette attaque par ransomware.

Bob : Eh bien, si vous êtes aux États-Unis cette semaine, il y a de fortes chances que vous ayez des températures de 32 °C pendant les prochains jours, avec l'arrivée d'une vague de chaleur. Bob : Nous avons récemment assisté à de nombreuses attaques contre des logiciels tiers qui sont essentiels à l'infrastructure d'Internet, tels que SolarWinds Log 4j Move It. Lorsque de tels incidents se produisent, nous avons du mal à déterminer si nous utilisons l'un de ces logiciels et nous n'avons pas une bonne visibilité sur la situation, ce qui allonge le temps de réponse à l'incident et expose toutes nos organisations à un risque accru. Bob : En résumé, la situation empire et ce que nous appelions autrefois les incidents « black swan infinite » (incidents imprévisibles) deviennent monnaie courante. Bob : Commençons donc par parler de la gestion des incidents. Quand on y réfléchit, le fait d'avoir mis en place au sein de notre organisation un processus que nous avons développé, documenté, partagé et testé devient essentiel pour notre capacité à réagir à un incident, et cela comporte de nombreuses dimensions. Bob : Mais si nous ne disposons pas d'un processus bien défini et que nous ne le testons pas à l'avance, lorsque nous en aurons besoin, il y a de fortes chances que ce processus nous fasse défaut. Bob : Ainsi, en disposant d'un bon processus de gestion des incidents, nous augmentons nos chances d'être résilients sur le plan opérationnel et de pouvoir faire face à un incident avec un minimum de perturbations pour l'activité. Bob : Ainsi , lorsqu'un incident se produit, la première chose à faire après avoir signalé l'incident est de le trier. Bob : Nous utilisons généralement l'expression « nous avons un événement, mais nous ne savons pas de quel événement il s'agit ». Bob : Nous effectuons donc notre triage et déterminons qu'il s'agit d'un incident, puis nous évaluons son impact probable et son urgence, ce qui nous permet de savoir comment le hiérarchiser. Bob : Ainsi, chaque événement anormal qui se produit n'est pas nécessairement un incident et nous devons suivre ce processus pour déterminer s'il s'agit ou non d'un incident. Bob : Nous nous sommes donc préparés, nous avons documenté notre processus, nous avons effectué des tests, nous avons réalisé des exercices sur table avec nos entreprises afin que toutes les personnes susceptibles d'être impliquées dans un incident comprennent comment réagir. Bob : Ensuite, nous détectons l'incident.

Bob : Et ici, il est essentiel que nous disposions de mécanismes de détection et de surveillance efficaces dans notre environnement afin d'être informés qu'un incident s'est produit. Bob : Nous allons trier et analyser cet incident afin de déterminer son importance, son impact et son urgence. Bob : Ensuite, nous allons contenir l'incident et travailler à la reprise après incident et à la restauration de nos services pour nos clients. Bob : Enfin, à certains égards, la partie la plus importante de ce processus est le suivi post-incident. Bob : Quelles leçons avons-nous tirées ? Bob : J'ai vu de nombreuses occasions où des entreprises ont été touchées par des incidents. Bob : Elles n'en ont pas tiré les leçons. Bob : Elles n'ont pas revu et corrigé leurs systèmes et elles ont été à nouveau touchées par le même incident. Bob : Il est donc essentiel de prendre le temps, après avoir récupéré d'un incident, de faire un suivi et de tirer parti des leçons apprises lors de cet incident. Bob : Donc, en ce qui concerne la gestion des incidents tiers. Bob : Il est essentiel de disposer d'un inventaire tiers précis et facilement accessible pour gérer efficacement les incidents, y répondre et maintenir les services de votre entreprise disponibles. Bob : Maintenant, lorsque nous parlons de chaînes d'approvisionnement étendues, il est important de comprendre d'où proviennent la plupart des incidents. Bob : Et lorsque nous parlons de leur origine, l'une des choses importantes à comprendre est que la plupart des incidents proviennent de tiers. Bob : Ce qui est moins connu, moins discuté et moins reconnu, c'est que souvent, ces incidents impliquant des tiers commencent chez un quatrième ou un cinquième tiers. Bob : L'une des choses que je préconise est donc, une fois que vous avez identifié vos processus métier critiques, de consacrer votre temps à comprendre toutes les relations qui interviennent dans ces processus. Bob : Il se peut donc que votre tiers critique fasse appel à des quatrièmes et cinquièmes parties. Bob : Cherchez à mieux comprendre qui sont ces quatrièmes et cinquièmes parties plutôt que d'adopter une approche plus large dans le sens où vous souhaitez couvrir tous vos tiers. Bob : Il faut bien commencer quelque part. Bob : Si vous commencez par vos tiers critiques, assurez-vous de bien comprendre qui sont les quatrièmes et cinquièmes parties impliquées dans cette relation.

Bob : Parce que lorsqu'un incident se produit, il y a de fortes chances qu'une troisième, quatrième ou cinquième partie soit impliquée dans cet incident. Bob : président. Bob : Il est également important de garder à l'esprit que les contrats que vous avez conclus avec vos tiers, les termes de ces contrats et l'inclusion de trois éléments clés, à savoir le droit d'audit qui vous donne le droit d'effectuer une évaluation des risques, la nécessité pour le tiers de s'engager à remédier à tout problème identifié. Bob : Mais troisièmement, ils vous informeront dès qu'ils auront connaissance d'un incident qui aurait pu se produire, ce qui est également contraignant pour les sous-traitants des tiers, les quatrièmes et cinquièmes parties, et ils devront suivre le même processus et les mêmes conditions que ceux prévus dans le contrat entre votre entreprise et le tiers. Bob : Et puis, avec l'augmentation des attaques contre les logiciels tiers, les organisations disposent d'un inventaire de leurs fournisseurs de logiciels tiers. Bob : Et généralement, au sein de vos organisations de développement de logiciels, vos fonctions de sécurité ou d'architecture logicielle peuvent disposer d'un inventaire de tous les logiciels tiers. Bob : Si c'est le cas, cela devient un élément essentiel pour vous. Bob : Et si vous pouvez relier cela à votre inventaire des tiers, vous avez la possibilité de réagir beaucoup plus rapidement en cas d'incident lié à un logiciel tiers et de déterminer où ce logiciel tiers pourrait être utilisé dans votre entreprise et si l'incident peut vous affecter. Bob : Quels sont donc les principaux risques liés à l'inventaire des tiers auxquels nous sommes confrontés ? Bob : Oups. Bob : Je pense que j'ai sauté une diapositive. Bob : Désolé. Bob : Euh, lorsque vous créez votre inventaire de la chaîne d'approvisionnement, comment procédez-vous ? Bob : La plupart des gens interrogent leurs différentes unités commerciales et leur demandent : « Pouvez-vous m'envoyer une liste de tous les tiers auxquels vous faites appel ? » Bob : Et ce processus, qui est manuel, aboutit souvent à des rapports incomplets, ce qui signifie que votre inventaire des tiers n'est pas complet. Bob : L'une des choses que j'aime faire lorsque je travaille avec une organisation, c'est d'aller voir les responsables des comptes fournisseurs et de leur demander de me donner une liste de tous les fournisseurs, de tous les tiers auxquels vous avez versé des paiements au cours des deux dernières années.

Bob : Parce que si votre entreprise paie quelqu'un, vous disposez d'une liste réelle de vos fournisseurs. Bob : Et vous devez garder à l'esprit que dans certaines organisations, qui peuvent être fédérées ou plus décentralisées, vous pouvez avoir plusieurs services comptables auxquels vous devez poser cette question. Il existe aujourd'hui de nombreux outils qui vous aident à identifier les relations commerciales qui peuvent exister entre votre entreprise, un tiers et certains de leurs quatrièmes et cinquièmes tiers. Bob : En tirant parti de ce type de logiciel, vous pouvez découvrir des relations dont vous ignoriez l'existence. Bob : Cela vous permet également de comprendre les effets d'entraînement lorsque vous vous rendez compte que vos stocks peuvent présenter des chevauchements entre différentes fonctions. Bob : Ainsi, votre tiers peut ne vous fournir qu'un service, mais il peut y avoir plusieurs tiers qui dépendent d'un quatrième, que ce soit pour l'hébergement web, pour les activités du centre d'appels ou pour un certain nombre d'autres choses. Vous constatez alors qu'il existe des effets d'entraînement qui entraînent un risque de concentration géographique plus en aval dans votre chaîne d'approvisionnement. Bob : Ainsi, si vous prenez le temps dès le départ de vous assurer que vous capturez ces données et que vous tirez parti de certains des outils à votre disposition, vous pouvez découvrir des relations avec des tiers et des fournisseurs étendus dont vous n'auriez pas eu connaissance autrement. Bob : Quels sont les risques liés aux stocks auxquels vous êtes confronté et qui peuvent vous causer des problèmes dans la gestion des incidents et dans d'autres domaines ? Bob : Le plus évident est un inventaire incomplet. Bob : Et lorsque vous constituez votre inventaire, vous devez vous assurer de saisir tous les champs pertinents qui sont importants pour cette relation. Bob : L'un des éléments qui est parfois négligé est qu'il ne s'agit pas seulement du nom de l'entreprise, mais aussi du lieu à partir duquel cette entreprise fournit le service. Bob : Par exemple, si vous utilisez des services de traitement de données et que vous indiquez que vous utilisez IBM au siège social d'IBM ou à Armach, New York, et que vous l'inscrivez dans votre inventaire, ces services de traitement de données ne sont pas fournis à Armach, New York. Bob : Ils sont probablement fournis à Mumbai, à Singapour ou dans un autre endroit dans le monde.

Bob : Et ce que vous devez savoir, c'est d'où ce service est fourni, car cela a toutes sortes d'implications, notamment lorsque vous vous trouvez dans une situation d'incident où les règles et réglementations locales peuvent constituer un obstacle à la résolution du problème. Bob : Il est absolument essentiel de disposer des coordonnées à jour de vos tiers, quatrièmes et cinquièmes parties en cas d'incident et de pouvoir les contacter et obtenir des informations lorsque vous en avez besoin. Bob : Cela signifie que vous devez vérifier régulièrement, tous les 3, 6 ou 12 mois, auprès de vos tiers et quatrièmes parties, que ces personnes travaillent toujours là-bas et qu'elles sont toujours les bonnes personnes à contacter en cas d'incident. Bob : C'est pourquoi il est important de tester régulièrement vos processus de gestion et de réponse aux incidents, car vous constaterez des dysfonctionnements au fil du temps. Bob : Il est donc important, dans le cadre de la gestion des stocks, d'identifier leur importance et de l'intégrer à votre inventaire, de comprendre le volume d'informations confidentielles auxquelles votre tiers peut avoir accès, de comprendre comment ce tiers se connecte à votre réseau et peut potentiellement créer une exposition. Bob : Un autre aspect de cette question est que les relations avec les fournisseurs évoluent au fil du temps. Bob : Vous devez donc mettre en place un processus minimum pour vos tiers critiques afin de vérifier au moins une fois par an qu'il n'y a pas eu de changements significatifs dans la relation. Bob : avec votre tiers. Bob : Cela se manifeste notamment dans le cadre d'un programme pilote où le partage de données est minimal. Bob : Ce programme pilote, qui a été mis en œuvre au cours de l'année dernière, est passé à la phase de mise en œuvre, alors qu'à l'origine, seuls 100 dossiers clients étaient partagés. Bob : Aujourd'hui, 10 millions de dossiers sont partagés. Bob : Euh, le tiers qui effectuait peut-être un traitement minimal pour vous traite désormais des informations confidentielles. Bob : Donc, si vous ne revenez pas vérifier ce qui a changé dans ces relations avec les fournisseurs au fil du temps, euh, vous pouvez être vraiment exposé. Bob : Un autre aspect de la gestion de l'inventaire est de ne pas le faire dans des feuilles de calcul Excel. Bob : L'automatisation est essentielle à l'évolutivité et à la fin de tout programme de gestion des risques liés aux tiers et à l'absence d'un inventaire automatisé centralisé.

Bob : cela conduit à des lacunes, et ces lacunes entraînent des incidents. Bob : Un autre risque auquel vous êtes confronté est celui d'avoir une chaîne d'approvisionnement étendue incomplète pour les fournisseurs critiques. Bob : Vous devez comprendre qui sont ces quatrième et cinquième parties, en particulier pour vos processus métier critiques. Bob : Certaines choses peuvent déclencher un événement susceptible de conduire à un incident. Bob : Il est important de les garder à l'esprit et, lorsqu'elles se produisent, il est utile de vérifier auprès de votre tiers pour comprendre quels changements ont été associés à ces déclencheurs. Bob : Ainsi, dans le cas d'une violation de données, vous voudrez évidemment revenir en arrière et comprendre comment cela s'est produit chez le tiers, si celui-ci a pris des mesures correctives ou s'il existe toujours une exposition. Bob : Les changements de propriété, qu'ils soient dus à une fusion, une acquisition, une cession ou autre, impliquent souvent une consolidation des fonctions et des systèmes. Bob : Le lieu où le traitement a lieu peut être délocalisé et, chaque fois que de tels changements se produisent, ils présentent un risque important de perturbation pour votre entreprise. Bob : Gardez toujours à l'esprit que les changements réglementaires sont souvent à l'origine de problèmes au sein des organisations et que vous devez être conscient de la manière dont ils évoluent. Vous savez, avec les récents changements apportés par la FFIC en matière de gestion des risques liés aux tiers, qui ont été publiés au cours des derniers mois, il est important de comprendre leur impact sur votre organisation. Bob : Le transfert d'un centre de données, que ce soit vers un autre emplacement physique à l'étranger ou, comme c'est plus souvent le cas aujourd'hui, vers le cloud, peut entraîner l'exposition d'informations et conduire à des incidents. Bob : Vous devez vous assurer que votre inventaire indique où les données sont traitées. Bob : Et même si cela devient délicat dans le cloud et qu'un fournisseur de services cloud vous dit : « Nous traitons les données pour vous », vous devez les pousser à comprendre où vos données sont réellement stockées et traitées dans le cloud. Bob : Vous devez les pousser à comprendre où vos données sont réellement stockées et traitées dans le cloud. Bob : Il y a eu plusieurs pannes de fichiers très médiatisées avec AWS et Azure, où vous découvrez que vous disposez d'un centre de données redondant dans le cloud, mais qu'ils sont tous deux situés sur la côte est et que lorsque les services d'Amazon sur la côte est tombent en panne, vous êtes complètement hors service. Bob : Vous devez donc en être conscient et le comprendre.

Bob : Euh, l'expansion dont nous venons de parler, à savoir de nouvelles fonctionnalités commerciales ou des changements importants en termes de volume, est un élément déclencheur et vous devez comprendre les implications que cela pourrait avoir sur votre organisation. Bob : Enfin, la détérioration de la situation financière d'un tiers est un élément déclencheur certain. Bob : Cela peut aller de la faillite du tiers à la perte de fonctionnalité. Bob : En général, vous disposez d'un avertissement préalable assez fiable, en particulier si vous surveillez les finances de vos tiers. Bob : qu'ils sont en difficulté, mais lorsqu'ils commencent à rencontrer des difficultés financières, la première chose qu'ils font est de réduire leurs dépenses. Bob : Lorsque les organisations réduisent leurs dépenses, la première chose qui disparaît, ce sont les contrôles. Bob : Il peut donc être utile de connaître ces éléments déclencheurs afin de savoir d'où peuvent provenir les incidents et de prendre des mesures proactives pour les éviter. Bob : Les parties prenantes de votre inventaire TPRM L'une des choses qui, selon moi, est essentielle à un programme TPRM efficace est d'établir des relations au sein de votre organisation avec les autres parties prenantes clés avec lesquelles vous travaillez et avec lesquelles vous devez travailler. Bob : Par exemple, j'ai trop souvent vu des programmes tiers qui tentent de fonctionner en vase clos. Bob : Les organisations sont grandes, elles peuvent être bureaucratiques, mais en prenant le temps de les contacter, et je suggère toujours de commencer par vos services d'approvisionnement et de sourcing, car ce sont eux qui sont généralement contactés par les unités commerciales pour établir des relations et mettre en place un contrat avec un nouveau tiers qui peut vous donner une idée des nouveaux tiers qui sont intégrés par votre entreprise. Bob : Trop souvent, nous avons vu des programmes tiers être contactés le lendemain de la signature du contrat, qui entre en vigueur le lundi suivant, et on leur dit : « Oh, allez faire une évaluation des risques liés aux tiers. » Bob : Eh bien, c'est peut-être la position la plus inconfortable dans laquelle on puisse se trouver.

Bob : Donc, en entretenant cette relation avec vos responsables des achats, cela vous aide à éviter ce genre de scénarios, à entrer en contact avec vos unités commerciales, à comprendre quelles sont leurs principales initiatives commerciales et à savoir si elles prévoient de faire appel à des tiers dans le cadre de ces initiatives commerciales. Cela vous permet de vous associer dès le départ à ces unités commerciales et de répondre à toutes les préoccupations dès le début de la relation, ce qui permettra de maintenir le projet sur la bonne voie et permettra à l'unité commerciale de tirer parti plus rapidement des capacités du tiers. Bob : Euh, vos fonctions opérationnelles et technologiques, en particulier celles qui concernent la continuité des activités et la reprise après sinistre. Bob : Si vous débutez et que vous essayez de déterminer qui sont vos tiers essentiels, l'un des meilleurs points de départ est de discuter avec les personnes qui travaillent dans vos équipes chargées de la continuité des activités et de la reprise après sinistre. Bob : Elles sauront qui sont les tiers essentiels pour votre entreprise. Bob : Euh, encore une fois, les services financiers et comptables, euh... Ils paient les factures. Bob : Ils savent où va l'argent. Bob : Vos services juridiques et de conformité, tout comme les services d'approvisionnement et votre unité commerciale. Bob : De nombreux tiers entrent dans l'organisation par le biais des services juridiques et de conformité, et tous les tiers qui entrent doivent se conformer à la fois à la loi et à la réglementation. Bob : Il est donc très utile d'entretenir de bonnes relations avec vos services juridiques et de conformité. Bob : Et enfin, vous avez la gestion des risques d'entreprise. Bob : Dans le cas de la gestion des risques d'entreprise, en racontant votre histoire, ce que vous faites dans le cadre de votre programme, les choses sur lesquelles vous vous concentrez, et en partageant certains des défis auxquels vous êtes confronté, vous pouvez tirer parti de votre organisation de gestion des risques d'entreprise pour aider à mettre en évidence ces changements afin d'accroître la visibilité auprès de votre direction et de votre organisation. Bob : Cela permet également d'aider le conseil d'administration à comprendre ce qui se passe dans l'entreprise. Bob : Pour moi, si vous voulez mettre en place un programme efficace de gestion des risques liés aux tiers, l'un des moyens les plus efficaces consiste à identifier vos parties prenantes, à établir des relations avec elles et à travailler avec elles. Bob : Catégorisation des domaines de risque.

Bob : Donc, ce que je veux dire ici, c'est que lorsque vous intégrez des tiers, avez-vous une méthodologie pour les classer en fonction des fonctions ou des services qu'ils fournissent ou d'autres critères tels que leur accès à des informations personnelles identifiables ou à des informations médicales protégées ? Bob : D'autres éléments que vous pourriez prendre en compte sont l'origine du service ou du produit fourni. Bob : S'agit-il d'un service ou d'un produit national ou étranger ? Bob : En procédant ainsi, vous identifiez les services fournis à votre entreprise. Ainsi, lorsqu'une entreprise vient vous voir et vous dit qu'elle a besoin d'un tiers pour faire X, cela vous aide particulièrement à travailler et à partager cette information avec vos responsables des achats et de l'approvisionnement. Ainsi, lorsqu'une entreprise vous dit qu'elle a besoin d'un tiers pour faire X, vous pouvez consulter votre inventaire et constater que vous disposez déjà de trois ou quatre tiers qui fournissent exactement ce service. Bob : L'un des meilleurs moyens d'atténuer les risques et de réduire le coût de votre programme de gestion des risques liés aux tiers consiste à éviter la duplication en faisant appel sans cesse à de nouveaux tiers qui remplissent une fonction déjà assurée. Bob : par un autre tiers à votre organisation. Bob : Cela ne veut pas dire que vous ne voulez qu'un seul tiers, car vous avez besoin de redondance, mais vous n'avez pas besoin de cinq tiers qui fournissent le même service. Bob : Lorsque vous faites appel à des entreprises qui fournissent déjà un service à votre entreprise au lieu de faire appel à un nouveau tiers, vous réduisez les risques, car vous réduisez la quantité d'informations que vous partagez et l'accès à votre infrastructure que vous partagez. Bob : Vous avez une relation éprouvée avec le tiers existant. Bob : Cette relation peut passer du tactique au stratégique et être élargie, et vous n'avez pas besoin de revenir en arrière et de faire constamment de nouvelles évaluations des risques ou une surveillance supplémentaire, car vous l'avez déjà fait et vous avez mis ces éléments en place. Bob : Pour moi, c'est un élément absolument essentiel de la conversation. Bob : Les organisations connaissent une croissance rapide du nombre de tiers auxquels elles font appel. Bob : D'après certaines anecdotes, cela pourrait représenter 10 % par an. Bob : Personne ne vous accorde 10 % de budget supplémentaire ou 10 % de ressources supplémentaires pour gérer tous ces nouveaux tiers qui entrent dans votre programme de gestion des risques liés aux tiers.

Bob : Donc, la meilleure chose à faire pour limiter les risques et les gérer efficacement est de remettre en question l'ajout de nouveaux tiers lorsque vous avez déjà des tiers qui fournissent un service. Bob : Cette catégorisation des domaines de risque vous aide vraiment à gérer plus efficacement le risque global de votre programme et cela réduit considérablement le nombre d'incidents que vous rencontrez. Bob : Si vous travaillez avec moins de tiers, le risque d'incident diminue et, dans le même temps, le coût total de possession de votre programme diminue. Bob : la criticité des services tiers. Bob : Il est absolument essentiel de l'établir et de l'intégrer dans votre inventaire. Bob : Haha. Bob : La criticité des services tiers détermine l'affectation de vos ressources limitées afin de gérer plus efficacement les risques pour votre organisation. Bob : ation. Bob : J'utilise donc une définition simple lorsque j'essaie de déterminer l'importance d'un tiers. Bob : Quels sont vos processus métier clés ? Bob : S'il s'agit d'un processus métier clé, il y a de fortes chances que ce tiers soit essentiel. Bob : La fonction qu'ils fournissent, en particulier lorsqu'ils assurent des fonctions de contrôle interne clés, est parfois externalisée par les organisations. Bob : Vous pouvez penser à des fournisseurs comme Octa pour l'authentification unique et d'autres services similaires. Bob : Quelles informations le tiers traite-t-il et quel est le volume d'informations ? Bob : S'il s'agit d'informations confidentielles ou restreintes, il y a de fortes chances que ce tiers soit critique. Bob : Ensuite, en fonction de l'accès à votre infrastructure que vous avez accordé, cela peut être une raison suffisante pour classer un tiers comme critique. Bob : Mais n'oubliez pas que vous ne pouvez pas vous concentrer uniquement sur vos tiers critiques. Bob : Vous devez comprendre l'inventaire complet de tous les tiers et, en les classant par domaines de risque et en comprenant les services qu'ils fournissent, vous pouvez les gérer plus efficacement. Bob : J'ai déjà vu et j'ai déjà été victime de l'exclusion de certains tiers de la surveillance active et j'ai découvert plus tard qu'ils étaient en fait critiques et que j'avais commis une grave erreur. Bob : L'intégration des tiers est donc un point de contrôle clé qui vous permet de recueillir ces informations. Bob : Si votre unité commerciale dispose d'un responsable des relations avec les tiers chargé de gérer ces relations, relations.

Bob : Ils constituent une excellente source d'informations pour interagir avec et superviser cette relation avec les tiers, mais aussi pour vous aider à savoir quand de nouveaux tiers sont engagés. Bob : Vous devriez donc tirer parti de cette relation avec les responsables des relations avec les tiers. Bob : Il est important de se rappeler que c'est un problème qui se pose tout le temps avec les programmes tiers. Bob : Le programme tiers finit par être en quelque sorte responsable de la gestion de la relation avec le tiers. Bob : La personne responsable de la gestion de la relation avec le tiers est celle dont le nom figure sur le contrat entre votre entreprise et ce tiers. Bob : Et bien qu'ils puissent sous-traiter à un tiers, ils ne peuvent pas sous-traiter leur responsabilité ou leur obligation de rendre des comptes. Bob : Ils signent pour cela. Bob : Ils en sont responsables. Bob : C'est leur affaire. Bob : Et lorsque quelque chose ne va pas, c'est leur unité commerciale qui devra en assumer les conséquences directes. Bob : Donc, encore une fois, mon entreprise a-t-elle besoin d'un autre tiers pour fournir le service ou le produit ? Bob : C'est la première question que vous devez toujours poser à l'entreprise. Bob : Mais vous devez également avoir accès à un inventaire où vous pouvez proposer des solutions alternatives avec des tiers avec lesquels vous travaillez déjà. Bob : Un autre aspect de cette question concerne particulièrement les acquisitions de grande envergure, les grandes entreprises qui sont enclines à faire des acquisitions. Bob : Euh, lorsqu'une acquisition est réalisée, vous n'acquérir pas seulement une nouvelle entreprise, mais vous acquérez également tous les tiers qui fournissaient des services ou des produits à cette acquisition. Bob : Vous devez comprendre, dans le cadre des acquisitions, quels sont les tiers utilisés par l'acquisition qui sont essentiels pour celle-ci. Bob : Ensuite, vous devez décider s'ils sont nécessaires ou s'ils font double emploi avec d'autres tiers qui fournissent déjà ce service à votre entreprise. Bob : C'est un domaine qui est généralement négligé et qui entraîne la multiplication des tiers et l'incapacité à les intégrer dans votre inventaire, ce qui conduit à des inventaires incomplets et à des incidents. Bob : Le processus d'intégration est donc un point de contrôle essentiel pour comprendre d'où viennent les nouveaux tiers. Bob : Surveillance continue.

Bob : La surveillance continue nous permet de voir en permanence ce qui se passe chez nos tiers. Bob : Et nous ne vivons plus dans un monde où une évaluation périodique ou initiale d'un tiers suffit pour gérer les risques dans un espace tiers. Bob : Lorsque nous réalisons une évaluation, celle-ci n'est valable que pour le jour où nous l'avons effectuée. Bob : Le lendemain, un incident de sécurité pourrait se produire et vous courriez le risque d'être exposé pendant les 364 jours suivants de l'année. Bob : Vous devez donc mettre en place un programme de surveillance continue afin de contrôler en permanence la santé de vos tiers, et cette surveillance continue comporte trois aspects. Bob : Le premier consiste à comprendre les niveaux des sous-traitants, les quatrième, cinquième et n-ième parties qui existent dans cette relation. Bob : Le deuxième consiste à s'assurer que votre programme de gestion des risques liés aux tiers gère réellement les risques existants. Bob : Et il ne s'agit pas seulement des risques cybernétiques ou des risques liés à la continuité des activités. Bob : Il s'agit des risques financiers. Bob : Il s'agit des risques géographiques. Bob : Ce qui se passe dans les pays où vos données sont traitées. Bob : Il s'agit du risque opérationnel. Bob : La dégradation et le départ de personnes clés. Bob : Le risque de réputation. Bob : Les nouvelles négatives concernant l'un de vos fournisseurs et les pratiques de travail contraires à l'éthique ou les risques environnementaux qui peuvent exister, ou encore les violations de la conformité réglementaire, la traite des êtres humains, la lutte contre la corruption, toutes ces choses. Bob : Vous ne pouvez pas vous contenter de surveiller les risques cybernétiques ou les risques liés à la continuité des activités. Bob : Si vous ne surveillez pas tous ces risques et si vous ne les surveillez pas de manière continue, vous vous exposez à des incidents. Bob : Et puis, il faut effectuer un inventaire continu, car tout comme votre entreprise ajoute constamment de nouveaux tiers et de nouvelles relations commerciales, vos tiers en font de même et vous devez comprendre la nature de ces relations, car elles ont un lien avec la relation que ce tiers entretient avec votre entreprise. Bob : Il faut garder à l'esprit qu'un programme de surveillance continue nécessite des compétences et des connaissances différentes de celles utilisées par vos évaluateurs de risques tiers et que vous devez vous assurer que vous disposez des compétences adéquates pour votre programme de surveillance continue.

Bob : Mais plus important encore, d'un point de vue opérationnel, si vous souhaitez mettre en place une surveillance continue, vous devez l'intégrer à vos activités courantes. Bob : aux processus opérationnels, car j'ai souvent constaté qu'avec la surveillance continue, la surveillance commence et lorsque des alertes sont générées ou qu'il y a des événements qui nécessitent une action, personne ne regarde les informations générées et personne ne fait rien. Bob : Donc, si vous envisagez de mettre en place ou d'améliorer votre surveillance continue, assurez-vous d'examiner le processus dans son ensemble. Bob : Comprenez où vont les alertes de surveillance, qui va prendre des mesures et dans quel délai, et assurez-vous d'avoir documenté le processus. Bob : Voici une liste pour vous aider dans votre surveillance continue et quelques points utiles à garder à l'esprit lorsque vous vous y attelez. Bob : Vous avez besoin d'informations tierces de qualité. Bob : Si vous avez des lacunes ou des problèmes de qualité des données, votre programme de surveillance continue ne sera pas aussi efficace qu'il pourrait l'être. Bob : Avez-vous mis en œuvre les processus opérationnels dont je viens de parler pour gérer et répondre aux alertes et aux incidents potentiels générés par la surveillance continue ? Bob : Votre inventaire des tiers est-il complet ? Bob : Ce n'est pas une tâche ponctuelle. Bob : Il évolue constamment. Comment suivre ces changements et commencer à approfondir vos recherches en partant de vos tiers critiques pour déterminer qui sont vos quatrième, cinquième et sixième tiers ? Bob : Il ne faut pas grand-chose pour ajouter les quatrième, cinquième et n-ième tiers à votre plateforme de surveillance continue afin d'avoir une visibilité plus approfondie de vos processus métier critiques de manière continue. Bob : Disposez-vous d'informations fiables et régulièrement mises à jour sur la classification et le volume des données qui sont partagées avec vos tiers, en vérifiant périodiquement auprès de l'entreprise pour comprendre, à commencer par vos tiers critiques, comment les relations avec les tiers ont évolué, ce qui vous aide à vous concentrer sur les domaines où le risque est le plus élevé ? Bob : Comprenez-vous quel accès vos tiers ont à votre réseau d'entreprise, à vos systèmes, à vos données, etc. ?

Bob : Connaissez-vous les emplacements physiques où vos informations sont gérées, où le traitement des données a lieu et où les données sont stockées ? Bob : Quels sont les quatrième, cinquième et n-ième tiers qui ont accès à vos informations sensibles ou à vos réseaux d'entreprise ? Bob : Les tiers sont connus pour accéder aux informations ou aux systèmes auxquels vous leur avez donné accès et les partager avec des quatrième et cinquième tiers sans jamais vous en informer. Bob : Vous devez être conscient de ce genre de choses. Bob : Disposez-vous d'informations à jour et actuelles sur vos tiers afin que, lorsque des événements et des incidents se produisent, vous puissiez contacter les bonnes personnes en temps utile et ne pas avoir à chercher qui appeler ? Bob : Et vos ressources ont-elles été formées à des processus efficaces de surveillance, d'examen et d'escalade des journaux afin que, lorsqu'un événement se produit et qu'il est déterminé qu'il s'agit d'un incident, vous puissiez prendre les mesures appropriées ? Bob : Avez-vous organisé des exercices de simulation avec vos collaborateurs afin que, en cas d'incident, chacun connaisse son rôle et sache comment réagir ? Bob : Pour résumer, les points clés à retenir sont les suivants : comprenez et informez les ressources clés et les parties prenantes dont vous disposez dans votre organisation. Bob : Invitez chacun des acteurs dont j'ai parlé à déjeuner. Bob : Offrez-leur le déjeuner. Bob : Ce sera le meilleur investissement que vous ayez jamais fait pour votre programme de gestion des risques liés aux tiers. Bob : Vous devez valider en permanence votre inventaire, car il est en constante évolution. Bob : Cela signifie qu'il faut au moins revoir chaque année la classification des risques liés aux fournisseurs et les facteurs clés de la relation. Bob : Assurez-vous que l'importance des fournisseurs est bien comprise avant de les intégrer. Bob : À quoi ont-ils accès ? Bob : À quelles informations ? Bob : Sur quelle infrastructure effectuent-ils un processus de contrôle critique pour vous ? Bob : À quels processus métier sont-ils associés ? Bob : L'inventaire des fournisseurs s'étend aux logiciels et est croisé de manière optimale avec les tiers critiques et les processus métier. Bob : que vous avez dans votre inventaire. Bob : Travaillez avec vos organisations de développement et d'architecture logiciels pour voir si elles disposent de cet inventaire de logiciels tiers. Bob : Et si ce n'est pas le cas, travaillez avec elles et trouvez comment l'obtenir. Bob : Tirez parti de l'automatisation.

Bob : La seule façon d'obtenir une évolutivité et d'être efficace est d'automatiser votre programme. Bob : Fini les feuilles de calcul Excel, les tâches ponctuelles et la gestion d'une liste d'inventaire. Bob : Pour pouvoir évoluer, vous devez centraliser tout cela. Bob : Assurez-vous de disposer de programmes efficaces et à jour pour répondre aux incidents, comme nous l'avons mentionné au début de cette discussion. Bob : Assurez-vous que les contacts sont bien définis, que les numéros de téléphone et les adresses e-mail fonctionnent, et que, lorsque vous organisez régulièrement des exercices de simulation pour les tiers critiques qui participent, vous les incluez également dans ces exercices. Bob : Et si vous mettez en œuvre ces pratiques de gestion des stocks des tiers, votre gestion des incidents sera plus efficace. Bob : Votre résilience opérationnelle sera améliorée. Bob : Vous éviterez les répercussions négatives potentielles sur votre réputation, vos finances et la réglementation. Bob : Pour conclure, voici mes coordonnées. Bob : Si l'un d'entre vous souhaite me contacter, si vous avez des questions sur ce dont nous avons discuté ici, si quelqu'un souhaite parler des problèmes que vous rencontrez dans votre entreprise et de la manière de les résoudre, euh, l'appel téléphonique est gratuit et les conseils sont gratuits, je suis là et je vous encourage à en profiter. Bob : Voilà, c'est tout pour aujourd'hui. Bob : Scott, à vous.

Scott: Thanks so much, Bob. Scott: I appreciate that. Scott: Uh, thanks everybody for listening into uh, our presentation today. Scott: Bob’s presentation on vendor inventory and uh its critical role in incident response and uh an overall third-party risk management program. Scott: Uh what I’m going to do in the next 5 minutes or so is just to explain some ways that prevalent can help you achieve the objectives that that Bob talked about in uh in his presentation uh uh today. Scott: So I just have a few slides. Scott: Uh first off, oh and by the way, while I’m uh uh kind of going through kind of the prevalent uh perspective on this, this is a great opportunity for you to um think about the questions you’d like to ask, enter them into the Q&A window in uh in Zoom and then uh Ashley will kind of triage those questions and uh elevate those to to Bob as soon as I’ve kind of wrapped up my part of the presentation. Scott: Okay, so first off, everything that Bob talked about today, I think from a challenge perspective revolves around one of these three things. Scott: Number one, um a lot of companies are still using spreadsheets to manage their third party inventory or to execute their third-party risk assessments. Scott: We know this because we survey the industry every year. Scott: Uh and earlier this year, uh we released the results of our annual thirdparty risk management study showing that 50% of companies still use spreadsheets uh to manage their third party risk, their auditing, and their controls. Scott: So, look, I understand it’s hard to get away from spreadsheets. Scott: It might seem easy. Scott: There’s some benefits to it. Scott: It’s free. Scott: You’re already paying for it with your uh IT license of office, you know, whatever. Scott: I get it. Scott: Um but there comes a time when that spreadsheet just can’t scale. Scott: It doesn’t have the controls validation. Scott: It doesn’t have the reporting and the metrics. Scott: in it that will really help you dive deep into you know what a what an enterprise third party risk management program should be. Scott: Problem number one. Scott: Problem number two uh not enough coverage. Scott: Uh you know the results of our our survey said that organizations are only actively managing about a third of their vendors. Scott: Uh which was pretty shocking to me. Scott: The average company um you know 30 to 33% of vendors actively tracked monitored remediated risks. Scott: The other twothirds uh get a ing blow occasionally or maybe a little bit of effort during the onboarding phase or maybe a contract renewal but there really isn’t a whole lot being done to to manage that um that twothirds of vendors. Scott: Third big problem is a no life cycle coverage. Scott: Uh we find that a lot of companies uh you know roughly 29% only 29% of companies are actively tracking risks across the third party vendor supplier life cycle. Scott: Right? Scott: So half of you are using spreadsheets a third of you are uh you’re only able to manage a third of vendors and you know roughly 30% uh are are looking at risk across the life cycle. Scott: Look, I get it. Scott: It’s a problem. Scott: Third party risk is a challenge and it’s getting worse with the more regulations, more thirdparty breaches uh and uh and increasing numbers of third parties you have to manage. Scott: Look, what I think the outcomes are for a good third party risk management program are three-fold. Scott: Uh number one is get the data you need to make better decisions and that’s where a solution can help uh by centrally aggregating uh into a single uh vendor profile, the information that you need to manage that vendor across the life cycle, basic uh demographic information, uh ultimate business owner information, reputation, uh finances, cyber security post or whatever, all in one place so that everybody is singing from the same himnil. Scott: Second, uh that helps you to increase your efficiency for not just your team responsible for conducting those assessments, but breaks down the silos between different teams that also might want to have some sort of a say in thirdparty risk, procurement, risk management, intern audit, uh, legal, others. Scott: And then third, that enables you to evolve and scale your program, uh, over time. Scott: You know, we we know that spreadsheets are problem. Scott: We know that, uh, you’re not managing a life cycle because a lot of those spreadsheets just get in the way. Scott: Uh, this allows you to um, you know, good a good third party management solution allows you to evolve and scale your program over time using automation, uh, using analytics, and maybe even using AI to help automate the process. Scott: You know, here’s our tips on on building a a a comprehensive vendor inventory. Scott: From our perspective, it it all starts with um you know, centralizing your vendors, getting all your vendors uh under one pane of glass out of the accounts payable department, out of the procurement department, out of the individual business units to central management. Scott: And that has to happen easily. Scott: It can’t be a cumbersome process as you know. Scott: It could be as simple as a spreadsheet upload, automatic mapping of fields into kind of a preset form uh you know, in a platform. Scott: or an API connected into an uh account accounts payable tool or maybe just a simple questionnaire that’s available to anybody across the enterprise without requiring them to log in or or whatever just via an email link have everybody contributing information so that you know you begin to set that foundation for for vendor inventory. Scott: Second, once that vendor inventory is create uh created the next best practice is to um aggregate intelligence about that vendor so you have that one source of the truth that single source of the truth and that can include demographic info, UBOS’s, fourth party technologies that that vendor might have in place so that you can kind of visualize, you know, potentially weak points or concentration risk in your in your ecosystem. Scott: You know, CPI scores, modern slavery statements, ESG scores, things like that that provide a level of information about that third party from which you can then make decisions on and kind of build, you know, a broader risk assessment strategy around. Scott: And that really starts with conducting an inherent risk assessment, which is the third best practice here. Scott: Um, asking a set of simple questions on calculating the risk that that particular vendor or supplier introduces to your organization, which then dictates your due diligence strategy going forward. Scott: Um, and then as you tar and categorize those vendors based on that inherent risk score, that allows you to go kind of that the final mile and um, prescribe an assessment strategy and a continuous monitoring strategy to bring in information in and kind of help you bear with the rest of the organization, recommend remediations uh and ultimately close the loop on on thirdparty risk. Scott: Um that’s our approach to addressing thirdparty risk management. Scott: We look at risk at every stage third party life cycle from the point where you on uh store them select a vendor to the point where you uh offboard and terminate them. Scott: We deliver our capabilities through a combination of our expertise uh the data and the intelligence in the platform and in the platform itself in terms of its uh reporting, analytics, uh workflow and compliance mapping. Scott: And I realize you can’t click on this uh link because uh uh you’re watching the presentation, but watch for the presentation and the recording tomorrow. Scott: Uh we have a thirdparty incident response strategy guide available to you as well that has a lot of the information that Bob covered today in terms of building an inventory and kind of understanding, you know, who your vendors are, what risk they pose to the business before you, you know, go about uh um you know, determining the the best approach for assessing those vendors on an ongoing basis. Scott: So, that’s what I wanted to share with you today. Scott: Um, I will turn it back over to Ashley. Scott: Ashley, open it up for questions.

Ashley : Merci, Scott. Ashley : Vous avez peut-être remarqué que j'ai lancé notre deuxième sondage afin que nous puissions faire le point avec vous sur les initiatives ou les projets que vous pourriez avoir. Ashley : Nous sommes simplement curieux de savoir si vous envisagez de mettre en place ou de renforcer un programme de gestion des risques liés aux tiers au cours de l'année. Ashley : Et soyez honnêtes, car nous ferons le point avec vous. Ashley : Mais il ne nous reste plus que quelques minutes. Ashley : Alors, continuons et passons à certaines de ces questions. Ashley : Euh, Bob, j'en ai une pour toi. Ashley : Krishna demande : pourriez-vous donner un exemple pour illustrer les tiers, quatrièmes et cinquièmes parties ? Ashley : Bien sûr. Ashley : Euh, c'est assez simple.

Bob : Vous signez donc un contrat avec un prestataire de services de centre d'appels pour votre entreprise, qui répondra aux appels téléphoniques lorsque les gens appelleront pour poser des questions. Bob : Et ce prestataire de services de centre d'appels ne dispose pas de ressources suffisantes pour faire face aux pics d'appels qui peuvent survenir. Bob : Ce centre d'appels va donc signer un contrat avec un autre centre d'appels afin de lui fournir une capacité supplémentaire, et celui-ci lui fournira cette capacité, mais il s'agit d'une société distincte. Bob : La quatrième société, la quatrième partie, la troisième partie, sont donc deux sociétés distinctes. Bob : Et elles ont établi une relation commerciale entre elles. Bob : Un autre exemple pourrait être le traitement des salaires. Bob : Vous externalisez donc le traitement de vos salaires à une entreprise, et c'est un cas réel, un incident réel auquel j'ai été confronté. Bob : Cette entreprise a externalisé une partie du traitement des salaires à une quatrième partie, qui l'a externalisé à une cinquième partie, qui l'a externalisé à une sixième partie, qui l'a externalisé à une septième partie, et la septième partie a vraiment tout gâché, ce qui a donné lieu à un incident extrêmement embarrassant. Bob : Mais les entreprises n'ont pas toujours les capacités nécessaires en interne, en particulier les entreprises de développement de logiciels. Bob : Vous voulez donc qu'elles développent une nouvelle application pour vous, elles vont développer l'application. Bob : Elles ne peuvent pas héberger l'application. Bob : Elles vont s'adresser à une quatrième entreprise d'hébergement web pour héberger cette application pour vous. Bob : Voilà quelques exemples.

Ashley : Merci, Bob. J'ai une autre question pour vous, posée par Bradley : « Lorsque vous parlez d'inventaire, faites-vous uniquement référence à la documentation des données, des logiciels, du matériel informatique, des réseaux, etc., ou faites-vous également référence aux biens physiques en stock, tels que ceux auxquels pensent les clients et les fabricants ? »

Bob : Euh, généralement, dans ces webinaires, nous parlons des risques liés aux tiers, car il s'agit d'un sujet qui est, dans une certaine mesure, dicté par la réglementation et les sociétés de services financiers. Nous avons donc tendance à parler des services, mais tout ce dont nous parlons ici est tout à fait pertinent pour la partie produit de l'équation. Bob : Prenons l'exemple des processus de fabrication. Une entreprise comme Proctor and Gamble ou Campbell Soup, par exemple, fait appel à entre 50 et 150 000 tiers pour fournir différents éléments des produits et marchandises qu'elle fabrique et vend sur le marché. Bob : Tout ce dont nous parlons ici, qui est généralement axé sur les services, s'applique également aux produits. Bob : Et quand on passe du côté des produits, on a d'autres préoccupations et contrôles, comme les processus de contrôle industriel. Bob : On commence alors à parler beaucoup plus d'OT et d'IoT que ce qu'on ferait normalement ici. Bob : Ce sont donc d'autres exemples où cela est pertinent. Bob : Donc, en général, on parle de services, mais c'est tout aussi pertinent pour l'aspect de la chaîne d'approvisionnement mondiale des produits.

Ashley : Merci Bob. Ashley : Euh, Scott a quelques questions à vous poser avant de conclure. Ashley : Euh, Schilpa a demandé pourquoi quantifier les risques inhérents par rapport au score de risque résiduel.

Scott : Oui, excellente question. Scott : Euh, je ferais les deux. Scott : Euh, le risque inhérent vous aide à vous faire une première idée de la manière dont vous pourriez classer et catégoriser ce fournisseur en fonction d'une série de critères tels que l'accès à des informations protégées, l'accès aux systèmes, l'applicabilité ou la criticité pour les processus clients, etc. Scott : Et une fois que vous avez calculé ce score de risque inhérent en fonction de ces critères, vous pouvez définir votre stratégie de diligence raisonnable continue, ce qui vous aidera en fin de compte à réduire le risque résiduel à un niveau acceptable pour votre entreprise. Scott : Il faut donc faire les deux, mais le calcul du risque inhérent est légèrement différent de celui du risque résiduel.

Ashley : Merci Scott. Ashley : Encore deux questions pour vous, puis nous devrons conclure. Ashley : Quelqu'un a demandé comment vous gérez le volume de réponses à ces questionnaires d'évaluation des risques liés aux tiers ?

Scott : Euh, comment notre solution permet-elle d'atteindre ce volume ?

Ashley : c'est exact ?

Scott : Eh bien, de plusieurs façons différentes. Scott : Euh, comme le système est automatisé, le fournisseur se connecte et remplit son évaluation des risques. Scott : Toutes les réponses sont ensuite préremplies dans un registre central des risques, que vous, en tant qu'utilisateur, pouvez ensuite consulter pour comparer et rechercher les réponses qui ne correspondent pas à vos seuils de risque et à vos attentes prédéfinies. Vous pouvez alors vous concentrer sur ces domaines précis afin d'apporter des corrections. Scott : Le processus est donc très automatisé. Scott : La deuxième approche est l'IA. Nous vous aidons en appliquant les principes de l'IA, l'apprentissage automatique et l'analyse pour consommer des informations, préremplir les évaluations, puis vous aider à tirer des conclusions initiales à partir des données que vous trouvez, en garantissant une gouvernance humaine du processus. Scott : Nous ne nous contentons pas de publier quelque chose. Scott : Nous nous assurons que vous approuvez le résultat final. Scott : Et la troisième approche est celle des services gérés. Scott : Nous vous aidons à gérer le volume des évaluations en vous permettant de nous les externaliser si vous le souhaitez.

Ashley : Merci Scott. Ashley : Et une dernière question. Ashley : pour conclure. Ashley : En parlant d'IA, quels sont les paramètres à prendre en compte pour évaluer un fournisseur tiers d'IA ?

Scott : Hum, les paramètres pour évaluer un fournisseur tiers d'IA. Scott : Hum, je pense qu'il y en a trois. Scott : Le premier est la sécurité et la confidentialité des données utilisées par ce fournisseur tiers. Scott : S'agit-il d'un système fermé ? Scott : S'agit-il d'un LLM géré ? Scott : Ou s'agit-il d'un LLM ouvert ? Scott : Et quelles données sont utilisées pour l'entraîner ? Scott : Euh, c'est le deuxième critère, vous savez, vous ne voulez pas que des données, euh, vous savez, l'accès aux données depuis des API externes et tout ça, se retrouvent dans ce pool de données. Scott : Si vous y mettez des informations sur l'entreprise, des informations potentiellement sensibles, il faut un bon processus de sécurité. Scott : Euh, le deuxième point, c'est euh euh les hallucinations et euh les biais, et il faut s'assurer que ces systèmes sont entraînés à l'aide de données réelles, pas de données fausses, et de données applicables à votre ensemble de processus commerciaux. Scott : Ainsi, ce qui ressort à l'autre bout est exact. Scott : Donc, un système sécurisé, un traitement précis, puis, troisièmement, ce système est continuellement évalué et mis à jour, et il y a une gouvernance humaine, comme je l'ai mentionné précédemment, sur ce que sont ces entrées et ces sorties, vous savez, afin que vous ne confiez pas simplement votre vie à Skynet.

Ashley : Excellent. Ashley : Merci beaucoup Scott Bob et merci à tous pour vos questions. Vous avez appris beaucoup de choses aujourd'hui et j'espère vous revoir dans votre boîte mail ou lors d'un prochain webinaire. Ashley : À bientôt et passez une excellente fin de semaine. Ashley : Prenez soin de vous.

Bob : Merci à tous.

Scott : Au revoir.

Bob : au revoir.