Choisir le bon cadre de gestion des risques liés aux tiers

Melissa : et quelques présentations. Je m'appelle Melissa. Je travaille ici en tant que responsable de compte. Aujourd'hui, nous avons quelques invités spéciaux, dont certains reviennent. Nous avons Thomas Humphre, expert en conformité. Bon retour parmi nous, Thomas. Thomas : Je suis ravi d'être ici. Melissa : Nous avons également Matt Delman. Il est notre responsable marketing produit. Bonjour, Matt. Matt : Bonjour, Melissa. Melissa : Matt interviendra à la fin pour expliquer comment Metate, la plateforme avec Meteor, peut vous aider à faire évoluer certains de vos programmes existants et découvrir d'autres possibilités. Quelques informations pratiques. Ce webinaire est enregistré, vous en recevrez donc une copie peu après la fin du webinaire. Vous êtes tous en mode silencieux, alors utilisez simplement la boîte de questions-réponses pour poser vos questions pendant le webinaire. Nous pourrons y répondre pendant ou après le webinaire. Sans plus attendre, je passe la parole à Thomas, qui va vous présenter quelques éléments clés à prendre en compte pour choisir le bon cadre de gestion des risques liés aux tiers. À toi, Thomas.

Thomas : Merci beaucoup, Melissa. Bonjour, bon après-midi, bonsoir, Mesdames et Messieurs. Bienvenue à ce webinaire. Pour ceux qui ne me connaissent pas encore, je m'appelle Tom Humphre. Je suis responsable du contenu chez Prevalent. Ma principale mission consiste à élaborer des évaluations et des cadres au sein de notre plateforme. J'ai plus de 15 ans d'expérience dans le domaine de l'audit. J'ai notamment audité diverses normes, notamment dans le domaine ISO, au Royaume-Uni, à Singapour et plus globalement pour diverses organisations. Aujourd'hui, nous allons examiner différents cadres de gestion des risques liés aux tiers, différents cadres d'information et de cybersécurité, et voir comment nous pouvons prendre des décisions éclairées pour nous assurer que nous utilisons la bonne évaluation. Cela s'inscrit dans le cadre de notre engagement TPM et de notre parcours TPM plus large. Comme Mme l'a indiqué, nous réservons toujours du temps pour les questions-réponses. Vous devriez donc trouver une boîte de questions-réponses dans les outils nécessaires. N'hésitez pas à télécharger toutes vos questions et nous réservons toujours du temps à la fin pour y répondre. Sans plus attendre, commençons. Je voudrais juste décomposer le programme. Nous allons doncvont examiner certains cadres de cybersécurité courants, peut-être parmi les plus largement utilisés, avant d'approfondir certaines des forces et des limites de ces cadres et d'autres cadres plus généraux utilisés dans le domaine du TPOM, et en particulier de parler un peu plus de la manière dont ces forces et ces limites peuvent, si nous les utilisons de la manière la plus positive possible, nous aider à améliorer et à prendre des décisions éclairées en termes de collaboration avec nos tiers et quels sont les principaux domaines de contrôle que nous voulons examiner et leur demander.

Thomas : Nous allons examiner certains des cadres courants au niveau sectoriel et, de manière générale, comment nous pouvons utiliser nos propres profils de risque et approches d'évaluation des risques internes, et encore une fois, comment cela influe sur certaines de nos décisionsen matière de choix du cadre qui nous convient le mieux, puis enfin, nous passerons en revue certaines étapes qui permettent d'aligner les pratiques sur nos propres objectifs organisationnels en ce qui concerne la compréhension et l'utilisation des bons cadres au bon moment pour les bons types de tiers. Voici donc quelques cadres clés en matière de cybersécurité. Je pense qu'il est juste de dire que les cadres normatifs en matière de cybersécurité de l'information se présentent sous toutes les formes et toutes les tailles, et avec des niveaux de complexité très variés. Il y a certains noms que nous pouvons voir à l'écran et qui, je pense, sont très familiers à beaucoup de gens. Ceux tels que ISO 27 0001, NIST CSF ou le cadre de cybersécurité sont certainement des exemples de normes de premier plan que nous considérons comme indépendantes du secteur. Ils sont généralement utilisés par tout type d'organisation, quel que soit le secteur ou l'industrie. En particulier, une norme telle que la 27 0001, qui reste l'un des cadres les plus largement utilisés en matière de gestion de la sécurité de l'information, et en particulier lorsque nous voyons des organisations adopter les contrôles 27 0001 et les utiliser pour gérer les risques liés aux tiers et la gestion des risques liés aux tiers. Il existe également de nombreux cadres spécifiques à certains secteurs, et leur nombre ne cesse de croître. J'ai donné quelques exemples à l'écran. Du point de vue des soins de santé aux États-Unis, la loi HIPPA élabore des règles en matière de sécurité et de confidentialité pour les organisations qui gèrent les informations de santé publique (PHI) ou EPI, comme on les appelle parfois. Et l'un des plus connus en matière de sécurité et de confidentialité vient peut-être de New York. Il s'agit du cadre NYDFS 23500, qui est utilisé pour... Nous y reviendrons plus en détail un peu plus tard, mais il est utilisé pour les organisations financières qui opèrent dans l'État de New York et dans l'espace financier new-yorkais tel qu'il existe aujourd'hui. En dehors de ces cadres plus larges tels que l'ISO, de nombreuses normes NIST, ainsi que les normes 27,8 53 pour le NIST SIG aux États-Unis.

Thomas : Nous constatons bien sûr qu'il existe toujours des cadres spécifiques à certains sujets, qui sont très axés sur des technologies ou des cas d'utilisation particuliers. La norme ISO 42 0001 est un exemple de ce type de norme, élaborée par l'ISO et la CEI pour la gestion des systèmes d'IA. Elle porte donc sur la conception, le développement et l'application des systèmes d'IA et fournit généralement des orientations et des exigences pour la définition et la mise en œuvre de contrôles pour ces systèmes technologiques spécifiques, ainsi que pour certaines industries dans certains cas. N'oublions pas non plus le volume toujours croissant des exigences réglementaires. Qu'il s'agisse de domaines tels que P ou Credential au Royaume-Uni, qui ont développé des cadres pour traiter les accords d'externalisation et la chaîne d'approvisionnement au sens large, ou de certains des domaines qu'ils imposent. Pour les organismes financiers qui opèrent au Royaume-Uni et au-delà, et le cadre NIS-2 ou NIS 2 de l'UE, qui s'adresse aux organisations de l'UE et définit des pratiques et des attentes plus larges en matière de cybersécurité, là encore, pas très différentes de celles que l'on observe dans d'autres cadres. Il existe donc de nombreux cadres différents, de tailles et de complexités variées, certains imposant des exigences plus strictes que d'autres. Et bien sûr, ceux qui s'articulent autour des cadres ISO, NIST, SIG, CIS et d'autres termes ou acronymes clés que vous connaissez peut-être, ont une portée plus large en termes de gouvernance de la cybersécurité de bout en bout, de risques et de contrôles basés sur la conformité. Il existe donc de nombreux cadres différents, ce qui est bien sûr assez préoccupant. Cela peut certainement être un casse-tête si vous commencez à chercher et à déterminer quel cadre de sécurité est le mieux adapté à vos besoins. Quel cadre devons-nous utiliser lorsque nous voulons nous engager avec nos tiers et évaluer nos tiers payeurs ainsi que notre chaîne d'approvisionnement au sens large ? Examinons rapidement trois exemples de cadres, puis nous verrons plus en détail comment ils sont structurés et leurs cas d'utilisation.

Thomas : Tout d'abord, comme je l'ai dit, l'un des cadres les plus utilisés à l'échelle mondiale reste celui de la norme ISO 27001 pour la définition, la mise en œuvre et la gestion d'un système de gestion de la sécurité de l'information. Il n'est pas très différent des autres normes ISO. Elles sont structurées de manière à fournir des orientations claires du point de vue de la gouvernance. Il s'agit donc de définir le rôle des dirigeants, d'identifier et de gérer les risques à l'aide d'un cadre structuré de gestion des risques, avant de développer un ensemble de contrôles que les entreprises peuvent utiliser pour aider à gérer ces risques. Comme je l'ai dit, il est reconnu à l'échelle internationale. Et il varie vraiment en fonction des différents types d'entreprises, de leur taille et de leur complexité, qu'il s'agisse d'une société de logiciels, d'une grande entreprise de logiciels aux États-Unis par exemple, d'une agence de publicité au Japon ou d'une usine de fabrication au Royaume-Uni. De nombreuses organisations adoptent la norme 27 000 comme une pratique exemplaire reconnue. Elle garantit une bonne sécurité et une bonne gestion de la sécurité. Et bien sûr, dans ce cadre, il y a toujours eu, de l'ancienne version à la version actuelle 2022, des contrôles très clairs concernant la gestion des fournisseurs tiers et de la chaîne d'approvisionnement. Donc, lorsque nous pensons à la gestion des contrats, lorsque nous pensons à identifier les contrôles pour vos tiers immédiats et à la gestion par le biais de la surveillance, des performances et de l'audit, ainsi que des capacités de plafonnement. C'est donc un cadre assez large, très largement adopté, je dirais. Et il est évidemment important de noter qu'il s'agit d'une norme certifiable. Il existe de nombreuses normes et cadres que les entreprises peuvent utiliser et qui ne sont pas certifiables. Mais ils sont tout de même utilisés comme des bonnes pratiques reconnues. La norme 27K est un exemple de norme certifiable grâce à un audit indépendant et à une validation et une vérification. Plus récemment, on peut citer le NIST CSF. La version 2 de ce cadre a été publiée au début de cette année, fin janvier ou début février 2024, je crois. Il n'est pas très différent de la norme ISO dans la mesure où il s'agit d'un cadre cybernétique approfondi qui fournit une base structurée pour l'identification des contrôles, répartis entre ce qu'ils appellent leurs cinq fonctions principales.

Thomas : Donc, la gouvernance, qui est un nouveau domaine inclus dans la version deux, puis vous identifiez, protégez, détectez, réagissez et récupérez les contrôles basés sur la récupération. Il s'agit donc de cinq fonctions essentielles qui sont ensuite classées en deux catégories : la gouvernance et ce que nous pourrions considérer comme des contrôles organisationnels et techniques ou technologiques. Cela englobe donc tout, de la gestion des personnes et de la sécurité physique à la continuité de l'accès logique et physique, la reprise après sinistre, la réponse aux incidents, etc. Et, là encore, dans le même esprit que les contrôles ISO 2701 au niveau de la gouvernance, qui se concentrent sur les tiers et la sensibilisation aux risques liés aux tiers. Il s'agit d'une approche assez générale, mais elle permet une applicabilité à de nombreuses technologies et environnements technologiques, ce qui est également important à souligner. Ainsi, lorsque ces cadres sont publiés, tels que l'ISO et le N CSF, l'un des aspects qui les rend si attrayants, mais qui peut également poser certains problèmes potentiels, est le langage qu'ils utilisent. En effet, certains détails de nombreux contrôles sont conçus de manière à pouvoir être utilisés par de nombreuses organisations différentes. Revenons-en à notre exemple : si nous avons une entreprise manufacturière, un développeur de logiciels et une agence de publicité, il est évident qu'ils aborderont la cybersécurité, les risques et les relations avec leurs tiers de manière très différente, tout comme leur perception des risques réels. Ces cadres leur donnent la possibilité de les adapter à leurs propres cas d'utilisation. Enfin, prenons un exemple très différent dans la section 2. Il existe donc un cadre largement adopté pour évaluer les organisations par rapport à cinq groupes de contrôles clés, ceux que nous voyons au bas de l'écran. Il s'agit de contrôles relatifs à la sécurité, à la protection de la confidentialité, à l'intégrité et à la disponibilité des informations, des données et des systèmes. Il y a également des éléments relatifs à la vie privée. Encore une fois, il fournit une évaluation détaillée de la capacité opérationnelle et systémique globale d'une organisation et de son efficacité. Il existe toutefois quelques légères différences entre, disons, ISO et Sock 2. Je dirais que les deux offrent un certain niveau de certification. Les deux peuvent être évalués de manière indépendante par des cabinets d'audit.

Thomas : Euh, mais avec la norme SOC 2, les organisations ont beaucoup de liberté pour déterminer le nombre de groupes de contrôle qu'elles souhaitent inclure dans leur évaluation SOC. Nous constatons donc que certaines entreprises souhaitent se concentrer uniquement sur la sécurité et se limiter strictement à des produits et services particuliers ou aux capacités organisationnelles. D'autres examinent les cinq groupes de contrôle clés. Et bien sûr, cela offre différents niveaux de profondeur et de compréhension de la quantité de bonnes pratiques utilisées par cette organisation. Mais c'est encore un autre exemple où, si vous regardez à la fois l'ISO, le NIST CSF et la norme SOC 2, les trois ont des contrôles ou des types de contrôles très similaires, qu'il s'agisse par exemple du contrôle d'accès, de la formation du personnel, de la sécurité des données et de l'intégrité, ou de la continuité. Et donc, même s'il n'existe que trois cadres parmi tant d'autres, je pense qu'il est rassurant de savoir qu'il existe de nombreux points communs en termes de bonnes pratiques, d'exigences et de contrôles requis par ces cadres. Pour entrer un peu plus dans les détails, examinons certaines des forces et des limites des cadres tels que ceux dont nous venons de parler, en réfléchissant particulièrement au moment où nous nous engageons dans le processus de décision pour déterminer quel est le cadre tiers qui convient le mieux à notre entreprise. Alors, où pouvons-nous nous retrouver bloqués lors de la sélection de la norme ou du cadre approprié ? Il existe évidemment de nombreux pièges potentiels qui pourraient nous causer quelques soucis. Nous avons déjà évoqué le grand nombre de normes, qu'il s'agisse de spécifications sectorielles, de thèmes spécifiques à un secteur ou de normes plus génériques. Bien sûr, chaque évaluation et chaque cadre aura ses propres méthodes et interprétations de la manière dont un contrôle est identifié ou devrait être mis en œuvre. Vous pouvez certainement constater des méthodes légèrement différentes en matière de risque ou de la manière dont les évaluations des risques sont prises en compte.

Thomas : Donc, si l'on prend l'exemple de l'ISO, la norme 2701 propose une approche très clairement structurée pour identifier, gérer, réagir et traiter les risques liés à la sécurité de l'information. Elle dispose de son propre ensemble de cadres de gestion des risques, tels que la norme ISO 31000, tandis que le NIST dispose de son propre cadre appelé NIST RMF (cadre de gestion des risques) et propose même des cadres spécifiques à certains sujets, comme le cadre de gestion des risques liés à l'IA du NIST ou la norme ISO 4201.présentent de légères modifications qu'il est important de prendre en compte si vous essayez de choisir un cadre et de l'aligner sur votre approche actuelle en termes de gestion, d'identification et de signalement des risques. Et bien sûr, la terminologie sera toujours un domaine potentiel à surveiller, en particulier lorsqu'il existe des différences subtiles entre la façon dont une organisation désigne différents sujets et qu'il y a de légères modifications dans les termes utilisés. Que signifie cela ou que pourrait-il signifier ? Bien sûr, si nous nous lançons tête baissée et que nous choisissons un cadre sans faire les vérifications nécessaires et sans vraiment comprendre ce que ce cadre cherche à accomplir, cela peut entraîner une certaine méconnaissance dans certains domaines. Il existe certains cadres, tels que le NIST 853, qui sont largement adoptés et appréciés à bien des égards pour leur profondeur et leur complexité. Si l'on considère qu'il y a plus de 900 contrôles dans le 853, contre 93 à 95 contrôles de sécurité dans le 27,01, on se rend vraiment compte de la profondeur que peut atteindre une norme telle que la liste 853. Mais bien sûr, cela peut entraîner une certaine méconnaissance tant en interne, au sein de l'entreprise, qu'en externe, lorsque vous vous adressez à des fournisseurs et leur posez des questions clés basées sur ces cadres. Et bien sûr, si vous optez pour une évaluation très approfondie et que vous vous retrouvez face à non pas 20, 30 ou 40 questions, mais peut-être 200 ou 300 questions, cela représente peut-être trop d'informations et vous ne parvenez pas à saisir la profondeur nécessaire dans ces exigences de contrôle qui sont importantes pour vous en tant qu'entreprise.

Thomas : Il s'agit donc d'apprendre à comprendre ce que sont ces cadres, à cerner leurs exigences, mais aussi à les adapter à vos besoins, afin de savoir ce que vous devez rechercher lorsque vous collaborez avec des tiers. Bien sûr, cela peut conduire à une couverture insuffisante dans les domaines à risque critique que vous souhaitez explorer. Mais peut-être qu'en raison d'une méconnaissance du domaine ou de la complexité des questions posées dans les enquêtes ou les évaluations, cela pourrait conduire à une interprétation erronée du point de vue du fournisseur. Que devons-nous donc demander pour comprendre comment notre cadre peut répondre à nos exigences ? Je pense que la première question est la suivante : le cadre permet-il une évaluation à tous les niveaux ? Aujourd'hui, la plupart des organisations ont évidemment plusieurs tiers, mais ces tiers sont très différents les uns des autres, qu'il s'agisse de très grandes entreprises internationales ou de petites entreprises familiales, comme on les appelle aux États-Unis, de petites et moyennes entreprises, de très petites organisations comptant peut-être cinq personnes et fonctionnant selon le modèle du travail à domicile, ce qui est très différent d'un grand fournisseur de centres de données, par exemple. Nous voulons donc nous assurer que le cadre dont nous disposons nous permettra d'adapter ces évaluations en fonction des différents niveaux et de la manière dont nous avons profilé et classé nos tiers individuels. Cela nous donnera-t-il la possibilité de dire à ces fournisseurs ou tiers de niveau 1 ou critiques que nous devrons peut-être leur imposer des exigences complètes de bout en bout ? Mais aussi, si nous envisageons une évaluation unique ou l'utilisation de plusieurs cadres, pouvons-nous le faire de manière à pouvoir poser le nombre et la complexité de questions appropriés en fonction du niveau adéquat ? Bien sûr, le cadre sera-t-il compatible avec un TPRM évolutif ? Bien sûr, le TPRM n'est pas une chose ponctuelle. Il s'agit d'un processus régulier qui doit être examiné chaque semaine, voire chaque mois dans certains cas. Donc, sur une base annuelle également.

Thomas : Et bien sûr, cela signifie évidemment qu'au fil du temps, lorsque nous examinons les nouvelles technologies émergentes au sein de notre propre entreprise et de nos propres opérations, nous devrons peut-être élargir le champ d'application de ces cadres et le type de tiers avec lesquels nous travaillons. Euh, en particulier s'il s'agit d'examiner de nouvelles exigences, de nouvelles réglementations, par exemple en fonction de l'orientation prise par l'entreprise. Euh, et bien sûr, dans la foulée, le cadre est-il à jour ? Est-il conçu de telle manière que, lorsqu'il y a de nouvelles tendances, de nouvelles menaces, de nouvelles technologies, l'évaluation est-elle mise en place pour pouvoir y faire face ou devons-nous examiner d'autres domaines ? Si, par exemple, nous nous orientons vers l'intelligence artificielle, l'informatique quantique, d'autres technologies opérationnelles et que le cadre que nous utilisons ne répond pas à ces besoins, où pouvons-nous chercher ailleurs ? Pouvons-nous intégrer quoi que ce soit dans notre cadre existant ou devons-nous envisager de l'élargir pour nous adapter à ces nouvelles tendances ou menaces ou à tout autre domaine que nous considérons comme un risque ? Alors, à quoi d'autre pouvons-nous penser qui pourrait nous aider à prendre une décision éclairée sur le meilleur cadre ou la meilleure norme pour nous aider à évaluer nos tiers ? Prenons un peu de recul et examinons quels sont les moteurs typiques de la TPRM telle qu'elle existe aujourd'hui. Il y a bien sûr les régulateurs, la législation, et nous voyons de plus en plus d'industries et de secteurs où cela devient une priorité. J'ai mentionné tout à l'heure le secteur financier au Royaume-Uni, mais que ce soit aux États-Unis, au Canada, au Royaume-Uni ou en Europe, on constate une augmentation constante des attentes quant à la manière dont les organisations réagissent et gèrent leurs fournisseurs, leur chaîne d'approvisionnement et leurs pratiques d'externalisation. Qu'il s'agisse des types de rapports à fournir aux régulateurs, bien sûr, ou du fait que vos propres clients deviennent plus avertis et méfiants à l'égard de certaines des menaces et des problèmes posés tout au long de la chaîne d'approvisionnement au sens large. Il suffit de regarder le nombre d'incidents liés aux ransomwares et autres incidents qui ont touché des chaînes d'approvisionnement à petite ou grande échelle au cours des deux ou trois dernières années.

Thomas : Mais nos propres clients, et même l'ensemble du secteur, sont beaucoup plus attentifs à la manière dont nous nous adaptons, dont nous abordons la question lorsque nous fournissons à des tiers des systèmes pouvant contenir des informations ou des données sensibles. Et puis, bien sûr, comme toujours, il y a ces nouvelles menaces et vulnérabilités émergentes. Donc, encore une fois, si nous pensons à certaines des menaces les plus notables qui se sont produites au cours des deux ou trois dernières années, ce sont certaines de ces menaces qui ont contribué à pousser les organismes industriels ou les régulateurs à dire que nous avons besoin de plus de preuves. Nous avons besoin de plus de responsabilité dans la façon dont non seulement les tiers, mais aussi l'ensemble de la chaîne d'approvisionnement sont gérés. Et des preuves que s'il existe, par exemple, des points de défaillance uniques ou s'il existe des domaines importants susceptibles de perturber l'ensemble de la chaîne d'approvisionnement, comment l'entreprise gère-t-elle cela, que ce soit du point de vue de la continuité et de la reprise, bien sûr, les connaissances sont également très importantes, vous pensez que nous disposons d'un large éventail de cadres, mais il est certain que lorsque nous utilisons en interne des normes, des connaissances et des compétences internes pour des cadres d'évaluation particuliers, celacela va évidemment influencer notre décision, mais cela facilitera également un peu la compréhension du cadre qui nous convient le mieux. Évidemment, si une organisation est déjà certifiée, disons 27,01, elle utilise déjà la norme SOC 2, elle s'est déjà auditée, par exemple, elle utilise peut-être la norme NIST 853 pour mettre en œuvre ses propres meilleures pratiques en matière de cybersécurité. Mais bien sûr, si nous disposons déjà de ces connaissances, de ces compétences et de cette compréhension en interne, dans l'entreprise, le fait de pouvoir appliquer ces compétences et de comprendre la meilleure façon d'utiliser ces normes, les contrôles clés dont nous avons besoin et de les transférer à nos tiers ou de poser des questions à ces derniers sur ces normes facilite certainement beaucoup les choses. Euh, en particulier pour commencer, il suffit d'examiner euh la création d'un cadre de gestion des risques liés aux tiers euh et d'une approche, et bien sûr d'examiner le paysage plus large des tiers. également. Donc, encore une fois, nous avons mentionné plusieurs types de tiers.

Thomas : Vous pouvez avoir des consultants, nous pouvons avoir des centres d'appels, nous pouvons avoir des développeurs de systèmes ou de logiciels ou de matériel, nous pouvons avoir des fabricants de composants individuels. En général, nous constatons que les entreprises font appel à de nombreux types de tiers différents. Et bien sûr, cela peut nous aider à déterminer et à comprendre le niveau de profondeur et de complexité de l'évaluation dont nous avons besoin. Devons-nous nous concentrer sur des cadres qui ont une bonne expertise en matière de développement de systèmes et de logiciels et de technologies opérationnelles, en particulier si vous traitez avec de nombreuses entreprises et capacités de fabrication ? Réfléchir à la fourniture de produits et de services peut certainement aider à clarifier le type d'évaluation que nous envisageons et, bien sûr, l'importance de ces évaluations des tiers pour l'entreprise, en particulier lorsque l'on observe le paysage plus large des tiers, qui est également en pleine croissance. Prenons l'exemple du NYDFS : si, dans le cadre de nos activités commerciales, nous sommes présents dans le secteur financier, que nous étendons nos activités et que nous nous implantons à New York et dans l'État de New York, par exemple, ou que nous commençons à faire appel à des fournisseurs qui opèrent dans cette région. Dans ce cas, le NYDFS devient très important pour ce que nous examinons et pour le type de contrôles et d'évaluations de contrôle que nous devons également appliquer à nos tiers. Passons maintenant aux cadres communs pour l'industrie et aux profils de risque plus larges. Je voudrais m'attarder en particulier sur la manière dont les exigences réglementaires ou spécifiques à l'industrie peuvent être utilisées soit avec un cadre existant avec lequel nous travaillons, soit en les élargissant pour les adapter à certaines de ces nouvelles exigences. J'ai mentionné le NYDFS. Il existe depuis de nombreuses années maintenant, et de temps en temps, le NYDFS lui-même met à jour le cadre, un peu comme d'autres organismes d'évaluation. Mais l'accent reste mis sur les exigences en matière de cybersécurité qui protègent les données des clients et les systèmes informatiques. Il existe de nombreux contrôles qui ne sont pas trop similaires à ceux des ISO et NIST du monde entier.

Thomas : On accorde donc beaucoup d'importance à la politique de sécurité, à la gestion de la sécurité des données et de la confidentialité des informations, ainsi qu'au contrôle d'accès, à l'accès logique à l'autorisation, aux authentifications, etc. Même s'il s'agit d'un cas d'utilisation très particulier pour ces organisations, les organismes financiers opérant à New York, il existe tout de même de nombreux points communs avec d'autres cadres de bonnes pratiques existants en matière de sécurité de l'information et de cybersécurité. De toute évidence, l'une des choses remarquables à propos des cadres industriels, et en particulier de la réglementation et de la législation, contrairement à des domaines tels que 27 0001, NIST CSF ou 853, est que les violations ou le non-respect complet ou partiel d'un cadre peuvent entraîner des sanctions et des amendes. C'est ce que le DFS de New York et le surintendant de New York ont imposé au cours des trois ou quatre dernières années. Les organisations doivent donc être encore plus attentives lorsqu'elles utilisent une réglementation pour la première fois. Elles doivent se demander ce qu'elles doivent savoir, en particulier si elles font appel à un tiers, et elles doivent savoir comment celui-ci utilise cette réglementation particulière. Est-ce qu'il fait preuve de la diligence requise en matière de capacité de signalement et de réponse aux incidents, par exemple en ce qui concerne les risques liés aux tiers ? C'est un domaine que le NYDFS couvre assez clairement et qui met l'accent sur l'identification et l'évaluation des risques des prestataires de services tiers, ainsi que sur les pratiques de sécurité minimales que ces derniers doivent respecter. Encore une fois, cela n'est pas très différent de ce que font l'ISO, le NIST, le C, le SIG et bien d'autres. Il faut donc amener les organisations à se demander si elles ont bien pris en compte les risques liés au type de tiers avec lesquels elles travaillent. Quelles sont les exigences minimales que nous devons prendre en considération, en particulier en ce qui concerne certains accords contractuels avec nos tiers, ainsi que la détermination des meilleurs cadres d'évaluation pour démontrer la conformité réglementaire et industrielle.

Thomas : L'un des domaines que nous devons également prendre en considération, en particulier lorsque nous constatons une augmentation plus importante des exigences et des directives, qu'elles soient imposées par l'industrie ou par les organismes de réglementation, en matière d'information, de cybersécurité et de gestion de la chaîne d'approvisionnement, est celui où ils mettent particulièrement l'accent sur les exigences de contrôle, mais il existe une forte corrélation avec ce que nous faisons déjà. Nous en avons un exemple sur cette page. L'OSI, qui est basé au Canada et qui n'est pas très différent du NYDFS, est un organisme de réglementation qui se concentre sur les services financiers et le secteur financier au Canada. En 2023, il a élaboré une ligne directrice intitulée B13, axée sur la technologie et la gestion des risques cybernétiques, et nousavons donné ici quelques exemples où, dans le cadre de ces exigences, elle demande aux entreprises d'établir des normes et des procédures pour gérer les actifs technologiques et de maintenir un système de gestion des actifs à jour et complet ou un inventaire qui répertorie les actifs technologiques tout au long de leur cycle de vie. Il est donc nécessaire de disposer de bons programmes de gestion des actifs, de systèmes de gestion des actifs et d'inventaires des actifs. Il est donc évident que si l'on nous demande d'adopter une pratique industrielle, réglementaire ou législative en matière de cybersécurité de l'information, si nous utilisons déjà un cadre tel que l'ISO ou le NIST CSF, voire le SOCK 2, le SIG et autres. Eh bien, tous ces cadres couvrent les mêmes attentes et exigences. Ils exigent tous qu'une entreprise élabore un inventaire des actifs qui couvre le matériel, les logiciels et les données, ainsi que toute autre forme d'actifs informationnels, et qu'elle les surveille tout au long de leur cycle de vie, de leur intégration à leur élimination. Donc, bien sûr, si nous avons déjà mis en place un cadre tel que 27,01, nous allons maintenant nous adresser aux fournisseurs et leur poser des questions pertinentes à ce sujet. Devons-nous maintenant le supprimer parce qu'une nouvelle directive ou réglementation B13 va entrer en vigueur ? Eh bien, en fait, non.

Thomas : Parce que nous savons qu'il existe déjà un lien étroit entre bon nombre des contrôles dont parle B13 dans ce cas précis et des normes telles que la norme 27 0001, qui sera également prise en compte dans le cadre de la mise en correspondance des normes. Si nous pouvons cartographier les contrôles requis par B13 dans notre cadre 27 000 ou notre cadre CSS, cela nous permettra de démontrer, que ce soit à nos clients ou à d'autres parties prenantes clés, que nous continuons à répondre aux exigences et que nous demandons toujours les mêmes exigences à nos fournisseurs en matière de gestion des actifs et d'inventaire des actifs, ainsi que de gestion. Cependant, il arrive bien sûr que le type de contrôles requis soit très spécifique à cette ligne directrice, à cette réglementation ou à cette norme industrielle. Donc, pour en revenir à l'OSI, ils ont également une deuxième ligne directrice appelée B10 qui traite de la gestion des risques liés aux tiers, et l'une des exigences qu'ils imposent aux entreprises est qu'elles doivent évaluer le risque de concentration avant de conclure un contrat et de manière continue avec leurs tiers. Nous avons déjà mentionné que, qu'il s'agisse de l'ISO, du NIST ou des SIG du monde entier, tous ont des attentes en matière de gestion de la chaîne d'approvisionnement, de gestion des risques liés à la chaîne d'approvisionnement et de gestion des risques liés aux tiers, et tous ont des exigences pour établir et identifier les risques qui sont appropriés pour les tiers ou qui seront préoccupants, et que l'entreprise doit mettre en œuvre des contrôles et des politiques pour atténuer ces risques. Mais cela ne va pas jusqu'à dire que le risque de concentration devrait être un risque clé que l'entreprise devrait évaluer. Pensez donc à 27 000 ou simplement au CSF. Il s'agit là d'un exemple où certaines de ces lignes directrices peuvent aller au-delà de ce que couvre votre cadre de gestion des risques ou votre évaluation des fournisseurs existants. De même, si vous regardez le NYDFS, il existe des contrôles spécifiques à la manière dont les entreprises signalent les incidents et les événements de cybersécurité, ce qui n'est pas très différent du RGPD, où il existe des violations de la confidentialité des données et où les entreprises sont également tenues de signaler ces violations aux autorités compétentes en matière de risques liés à la confidentialité.

Thomas : Et puis, au sein du NIDFS, nous voyons également des exemples de groupes de contrôle plus larges qui exigent, dans ce cas précis, des types particuliers d'authentification. Il y a toute une section qui traite de l'authentification multiple et, encore une fois, si vous regardez les normes ISO et NIST, il existe de nombreux contrôles qui traitent de la réponse aux incidents et de la gestion des incidents, et qui abordent également l'authentification des utilisateurs, qu'il s'agisse d'utilisateurs internes, de sous-traitants ou d'utilisateurs externes de vos réseaux et systèmes d'information, mais ilstoujours pas au même niveau, en vous demandant spécifiquement de mettre en place une authentification multifactorielle, mais de manière plus générale, en revenant à l'ISO qui stipule que l'authentification et les techniques d'authentification appropriées doivent être mises en œuvre. Donc, si nous pensons disposer d'un cadre très clairement structuré sur lequel nous évaluons nos tiers, comment adopter et mettre en œuvre ces contrôles supplémentaires qui sont propres aux exigences réglementaires ou législatives de ce secteur ? Dans certains cas, il se peut que nous devions ajouter des questions supplémentaires pour nous assurer que nous avons une couverture à 100 %. Il se peut que si nous avons déjà demandé à des tiers comment ils gèrent les événements de cybersécurité et les incidents, ainsi que les événements de continuité, que nous les analysions également à travers des notes, des téléchargements de documents, ou par d'autres moyens, notamment la manière dont ils signaleraient ces événements aux autorités compétentes telles que le surintendant du NYDFS, ou s'ils gèrent et identifient les risques liés aux tiers, s'ils prennent en compte et planifient les risques de concentration lorsqu'il existe des fournisseurs uniques, par exemple. Il existe donc différentes techniques que nous pouvons utiliser avant d'en arriver à la conclusion qu'il faut créer un tout nouveau cadre. Bien sûr, dans certains cas très particuliers, il peut être nécessaire d'ajouter des questions supplémentaires pour s'assurer que nous avons une couverture complète. Mais c'est évidemment là que l'importance de pouvoir évaluer les lacunes et cartographier ces normes ensemble peut faciliter considérablement les choses.

Thomas : Et c'est quelque chose que nous constatons souvent dans de nombreuses entreprises qui commencent avec un seul cadre, tel que l'ISO, le NIST ou le SIG, mais qui ajoutent ensuite d'autres correspondances pour s'assurer qu'elles couvrent l'ensemble des réglementations particulières ou d'autres exigences clés émanant des parties prenantes. Ainsi, en plus d'examiner un ou plusieurs cadres, nous devons évidemment être attentifs à la manière dont ils se comparent aux domaines de risque et de vulnérabilité qui sont importants pour nous et que nous avons identifiés comme critiques, et déterminer s'il existe des changements notables ou de nouvelles menaces. Nous avons bien sûr mentionné les technologies nouvelles et en expansion. L'IA se développe depuis de nombreuses années maintenant et nous arrivons à un stade où de plus en plus d'entreprises souhaitent interroger des tiers sur leur utilisation de la technologie IA, qu'il s'agisse de plateformes IA open source ou qu'elles développent un certain niveau de capacité IA dans le cadre de leurs produits et services. Et donc, bien sûr, en revenant à ces cadres standard, nous devons commencer à réfléchir à l'impact que cela a sur ce que nous faisons actuellement. Avons-nous développé et comment utilisons-nous un cadre qui intègre déjà cette capacité autour des technologies nouvelles et émergentes ou la prise en compte de ces technologies ? Comme nous l'avons mentionné, d'un point de vue juridique et réglementaire, il y a de plus en plus de surveillance sur la manière dont les entreprises gèrent leurs tiers, leur chaîne d'approvisionnement et les capacités de cette dernière. Cette surveillance, qui passe par l'évaluation des risques et le profilage des tiers, est donc importante et permet de vraiment comprendre comment nous gérons nos tiers, comment nous les profilons et les identifions, et quelles sont les exigences minimales requises par des lois telles que l'OCB10 ou la P SS221, et encore une fois, comment cela influe sur le cadre que nous utilisons.

Thomas : Évidemment, les contrôles critiques sont identifiés dans les contrats et les accords, et il est tout à fait normal de demander un ensemble standard de contrôles concernant, par exemple, la gestion instantanée, la continuité des activités et les rapports de reprise, le contrôle d'accès, mais il faut également prêter attention aux risques et vulnérabilités que nous avons identifiés comme critiques pour notre organisation lorsqu'il s'agit de poser des questions sur ces domaines. Comment les examinons-nous ? Comment les surveillons-nous ? Comment gérons-nous le processus de remédiation si ces contrôles critiques se révèlent être des risques lorsqu'un tiers effectue cette évaluation ? Et bien sûr, il y a cette attente supplémentaire de la part des instances juridiques et réglementaires concernant l'examen continu, qu'il s'agisse d'audits sur site ou virtuels, la démonstration que le succès de notre programme tiers est bien réel et peut être démontré. Cela dit, nous avons exploré les différents types de cadres et, dans certains cas, certains cadres sont davantage dictés par la réglementation ou l'industrie. Évidemment, plus nous posons de questions sur ce que nous attendons de l'évaluation, ce que nous attendons de notre cadre, s'il est évolutif, s'il peut s'adapter aux nouvelles menaces et technologies émergentes. Offre-t-il tout ce dont nous avons besoin en termes de domaines de contrôle clés ou de profondeur et de complexité en fonction de nos tiers ? Comment pouvons-nous rassembler tout cela dans le cadre de notre programme TPRM plus large et de notre cycle de vie plus large ? Eh bien, si nous en sommes arrivés au stade où nous avons pu identifier les cadres les mieux adaptés à notre entreprise en nous basant sur notre propre connaissance du secteur et sur d'autres critères clés. Hum, lorsque nous examinons l'ensemble du processus, hum, il y a des questions clés que nous pouvons utiliser pour améliorer, hum, et tirer parti des domaines de contrôle critiques. Donc, en réfléchissant à l'identification de l'évaluation, hum, il est important de noter qu'il s'agit évidemment d'un processus répétitif, car nous demandons toujours l'évaluation que nous envoyons à nos fournisseurs de niveau 1, 2 et 3. Les critères sont-ils toujours adaptés à l'objectif visé ? Posons-nous les bonnes questions ?

Thomas : Couvrons-nous les domaines appropriés en fonction des activités de nos tiers ? Et cela repose bien sûr sur la manière dont nous profilons et classons nos tiers. Il s'agit donc d'arriver à déterminer le type de tiers avec lesquels nous travaillons et leur importance pour l'entreprise. S'agit-il d'un fournisseur unique ? Fournissent-ils des composants ou des services critiques ou sensibles ? Dans ce contexte, pouvons-nous à nouveau façonner notre évaluation en fonction de la qualité de ce profilage et de cette classification ? Il est évident que la gestion des réponses est importante. Une fois que nous avons identifié le cadre que nous utilisons, ou si vous utilisez un cadre mixte, nous tirons parti des meilleures pratiques de plusieurs cadres. Comment collaborons-nous avec ce tiers ? Cela sera évidemment plus facile si nous avons une approche très claire et structurée du cadre et de l'évaluation que nous utilisons, ainsi que de la fréquence de l'évaluation, afin de pouvoir ensuite communiquer cela au tiers pour nous assurer qu'il s'implique autant que possible tout au long du processus. Et bien sûr, une fois que nous avons identifié le cadre, nous espérons pouvoir identifier les contrôles critiques pour nous. Y a-t-il des exigences de contrôle obligatoires auxquelles nous nous attendons ? Y a-t-il une attente minimale concernant le type de cryptage, par exemple, que nous attendons de ces tiers ? Comment établissent-ils des accords contractuels avec leurs fournisseurs ou nos quatrièmes ou cinquièmes parties ? Il est donc évident qu'une fois que nous avons identifié ce cadre et que nous connaissons ces domaines de contrôle critiques ou ces contrôles obligatoires en matière de gestion des risques lorsque ceux-ci se présentent et lorsqu'ils réapparaissent à la suite de la mise en place de ce cadre, cela peut faciliter considérablement ce processus et cette partie du TPM en permettant de savoir quelles sont les priorités. Et enfin, en ce qui concerne la capacité de reporting, si nous utilisons un cadre cohérent pour tous nos tiers, peut-être avec des volumes et des tailles différents, mais toujours le même cadre.

Thomas : Lorsqu'il s'agit de rendre compte des sauvegardes à l'ensemble de l'entreprise et à la direction, être capable de démontrer et d'expliquer les niveaux de conformité à ce cadre ou à cette norme particulière peut certainement faciliter les choses, en particulier lorsque nous commençons à observer des tendances et à analyser celles-ci en fonction du type de risques provenant de nos tiers respectifs. Que disent donc ces normes, réglementations et directives concernant les tiers dans la chaîne d'approvisionnement ? Il est évident que chaque norme, comme nous le savons, chaque réglementation et chaque ligne directrice a son propre agenda dans la manière dont elle structure ses clauses. Il existe de nombreux points communs lorsque nous examinons les tiers et que nous constatons que ce n'est pas seulement le cas pour les normes ISO, NIST et SIG, mais aussi pour certaines de ces législations. Nous avons donc mentionné OVI et P, ainsi que de nombreuses autres normes dans le secteur financier. Nous constatons également dans le secteur des soins de santé que lorsqu'il s'agit d'exigences relatives aux tiers dans le cadre de la chaîne d'approvisionnement au sens large, les entreprises sont tenues d'identifier et de connaître leurs fournisseurs. Il s'agit donc de la phase initiale du processus d'acquisition pour la chaîne d'approvisionnement, ainsi que de l'identification des risques liés à la chaîne d'approvisionnement et de la mise en place d'un processus permettant de saisir ces risques. Les approches formelles de gestion des risques liés à la chaîne d'approvisionnement, les contrats et les conditions d'accord sont également très courants. Nous observons cela dans tous ces cadres. Nous constatons donc une grande cohérence dans la manière dont les contrats avec des tiers ou les contrats de chaîne d'approvisionnement sont identifiés, dans les contrôles qui sont intégrés à ces contrats et même au niveau des contrôles. Les contrôles permettant de répondre aux incidents, par exemple, ou aux événements liés à la continuité des activités, sont des exemples de contrôles minimaux que nous observons lorsque nous examinons le large éventail de cadres, et certaines formes de gestion et de surveillance des fournisseurs sont également quelque chose que nous observons régulièrement, notamment en ce qui concerne certains de ces cadres réglementaires qui sont en cours d'élaboration.

Thomas : Que ce soit spécifiquement en matière d'audit et de capacité d'audit, que ce soit sur site ou à distance, ou qu'il s'agisse d'autres formes de suivi et de reporting des performances entre le fournisseur et vous-même, ou entre votre tiers et son tiers, votre quatrième partie et la chaîne d'approvisionnement au sens large. Il y a donc beaucoup de points communs, hum, en ce qui concerne, euh, le nombre de ces cadres qui capturent, hum, et exigent, euh, la gestion des risques de la chaîne d'approvisionnement et les bonnes pratiques, également. Donc, les bonnes pratiques et les critères de réussite que nous pouvons utiliser dans notre TP RM pour aider à piloter le programme tiers plus large, en particulier en ce qui concerne les cadres. Mais cela commence évidemment par la mise en place de groupes de pilotage ou de travail clairs et de comités de groupes de travail, hum, au sein de l'entreprise. Comme nous le savons, en matière de gestion des risques liés aux tiers, plus nous pouvons impliquer de personnes au sein de l'organisation, plus nous pouvons obtenir d'adhésion et plus les critères de réussite seront élevés lorsqu'il s'agira de traiter et de gérer les fournisseurs, de gérer les risques qui découlent du processus et du programme TPM. Comme nous le savons, dans certaines entreprises, il peut s'agir du même groupe de personnes pour les très petites entreprises, tandis que dans les grandes organisations, il peut s'agir de différents responsables d'unités commerciales qui peuvent être amenés à traiter avec des tiers.

Thomas : Qu'il s'agisse des achats et des acquisitions, des opérations, de l'informatique ou de nombreux autres aspects de l'activité où des tiers interviennent, il est évident qu'il faut définir clairement ce qui est nécessaire dans le cadre de votre programme TPM. Le faire dès le début vous aidera grandement à identifier ce cadre et à savoir comment il sera mis en œuvre, à quelle fréquence, ainsi que les indicateurs clés de performance (KPI) et les indicateurs clés de succès (KIS). Ainsi, vous connaissez les objectifs et les critères de réussite que nous recherchons lorsque nous fournissons ce cadre à nos tiers et que nous évaluons les risques, en particulier en examinant les tendances à long terme, et si, grâce aux KPI, aux KIS et à d'autres mesures de performance, nous pouvons constater une diminution du volume des risques critiques, dans le cadre, bien sûr, du programme TPRM, de la politique elle-même et d'un programme plus large de gestion des politiques et des risques en ce qui concerne la manière dont nous traitons avec nos tiers. Il s'agit là d'une première étape cruciale, pour laquelle les comités de pilotage, les comités de travail et les membres du conseil d'administration doivent se réunir et dire : « Voici notre approche formelle, approche stratégique de la gestion de nos tiers. Et puis, bien sûr, la formation commerciale et le marketing interne sont tout aussi importants ici. Une fois que vous avez établi le cadre que nous allons utiliser, que nous allons diffuser, et la fréquence à laquelle nous allons diffuser ce cadre aux organisations, nous devons nous assurer de former les personnes qui seront impliquées et qui pourraient être exposées aux risques. Et aussi les exigences en matière de risques. Et que doivent-ils faire ? Comment cela est-il géré ? S'agit-il d'une plateforme ou d'un outil qu'ils vont utiliser pour enregistrer les actions et les tâches liées aux risques ? Et bien sûr, comme il s'agit d'une approche cyclique, d'un programme continu d'amélioration continue, comment pouvons-nous améliorer ce que nous faisons actuellement ? Et encore une fois, en particulier dans la perspective de l'extension de nos cadres, du choix de ce type de cadre et de la fin de ce cadre pour s'adapter aux nouvelles technologies émergentes, aux risques et aux menaces. Je voudrais maintenant passer la parole à Matt. Matt : Merci, Thomas.

Matt : C'était toujours une bonne chose si vous pouviez arrêter de partager. Merci. Nous allons discuter de la manière dont Muterek, le programme de gestion des risques liés aux tiers, peut vous aider dans la gestion des risques liés aux tiers. La première chose à comprendre, c'est que la gestion traditionnelle des risques liés aux tiers repose en grande partie sur des tableurs. Nous constatons qu'environ 50 % des entreprises utilisent des tableurs à des fins diverses et s'appuient uniquement sur ceux-ci pour gérer l'audit et le contrôle des risques liés aux tiers. Il s'agit d'évaluations, d'alignement sur des cadres, etc. Seul un tiers environ des fournisseurs font l'objet d'une gestion active, et ce dans l'ensemble du paysage des fournisseurs. En fin de compte, cela signifie que seulement 29 % des entreprises suivent les risques tout au long du cycle de vie des fournisseurs tiers, depuis leur recrutement et leur intégration jusqu'à leur départ et leur licenciement. Et c'est vraiment un problème, car sans visibilité sur l'ensemble du cycle de vie des risques liés aux fournisseurs, vous risquez... Combien de fois puis-je dire « risque » dans la même phrase ? Euh, de laisser quelque chose de côté. Malheureusement, nous constatons finalement que les objectifs d'un programme TPRM consistent à obtenir les données dont votre équipe a besoin pour prendre de meilleures décisions basées sur les risques, à accroître l'efficacité et à briser les silos. Euh, les risques liés aux tiers doivent être gérés par plusieurs parties prenantes différentes au sein de l'organisation. Il peut s'agir du service des achats, du service de sécurité informatique ou de l'équipe financière. Une véritable solution de gestion des risques liés aux tiers s'efforce de briser ces cloisonnements et vous aide réellement à faire évoluer et à adapter votre programme TPRM au fil du temps. La manière dont nous procédons ici, avec la plateforme Mutate Prevalent Thirdparty Risk, consiste en une approche descriptive tout au long du cycle de vie du fournisseur. Cela commence par l'approvisionnement et la sélection grâce à l'automatisation, à l'intelligence et aux processus RFX, puis se poursuit par la rationalisation et l'évaluation des risques liés aux fournisseurs. Quelqu'un a posé une question sur d'autres cadres opérationnels, financiers, etc. En réalité, beaucoup d'entre eux sont axés sur l'évaluation et ne sont pas nécessairement soutenus par la force de la loi, mais nous prenons en charge plusieurs évaluations différentes.

Matt : Je crois qu'au dernier décompte, nous avions 750 modèles de questionnaires différents dans la plateforme, et nous permettons une validation continue grâce à la surveillance continue des données ingérées dans la plateforme, ce qui vous aide à faire toutes sortes de choses, comme mesurer l'efficacité des fournisseurs en analysant les KPI et les KIS. Nous gérons également le processus de départ et de résiliation si vous résiliez un contrat avec un fournisseur. Ce sont donc les domaines de risque que la gestion des risques tiers ici chez Meteorch couvre réellement. Nous avons six grandes catégories. Il y a la cybersécurité, qui comprend des éléments tels que la surveillance du dark web, la surveillance des abus d'infrastructure, les vulnérabilités et les erreurs de configuration, l'ESG comme la santé et la sécurité, l'esclavage moderne. Il existe un certain nombre de réglementations au Royaume-Uni, dans l'Union européenne et au Canada concernant l'esclavage moderne et le travail forcé, et nous incluons ces données dans la plateforme. Il y a également les risques commerciaux et opérationnels, les risques de réputation, les risques financiers et les risques de conformité. Pour ce faire, nous combinons des ressources humaines, des données et une plateforme. Nous proposons des services gérés de gestion des risques liés aux tiers. Notre centre d'opérations de gestion des risques, notre pilier, est l'une des meilleures équipes au monde. Tous ses membres sont des professionnels certifiés en gestion des risques liés aux tiers. Ils se chargent du travail quotidien de gestion de votre programme de gestion des risques liés aux tiers, c'est-à-dire qu'ils effectuent des évaluations et relancent les fournisseurs qui ne les ont pas remplies. Nous nous chargeons de l'évaluation, de la remédiation, de la gestion, de tout, de manière entièrement externalisée. Nous disposons également d'environ 500 000 profils de fournisseurs constamment mis à jour, avec un accès à la demande à des informations sur les risques liés aux tiers dans de nombreux domaines différents. Notre plateforme vous aide vraiment à centraliser tout ce travail en un seul endroit accessible à l'ensemble de l'entreprise. Il s'agit là d'un des éléments de ce qui est véritablement la plateforme de gestion des risques d'entreprise leader du secteur. Vous savez, avec la gestion ESG, la planification de la continuité des activités, la gestion des politiques de cybersécurité, la hotline éthique et la formation à la conformité, et vraiment tout ce qui concerne la GRC, la gestion des risques d'entreprise. J'aimerais également inviter tous nos clients à Interact Dallas, la grande conférence clients.

Matt : Euh, ça se passe au Gaylord Austin en avril, ça vous donne vraiment beaucoup d'occasions d'apprendre et de vous former sur la GRC, euh, et d'avoir vraiment beaucoup de conversations très intéressantes. Voilà, c'est tout. C'est ma partie. Passons maintenant aux questions, Melissa va les trier.

Melissa : D'accord. Merci. Matt, euh, oui, comme tu l'as dit, pose une question dans la section Q&R. Je vais lancer notre dernier sondage. Je suis curieuse, tu cherches à améliorer ou à mettre en place tes processus TPRM actuels ? Peut-être que tu utilises encore ces feuilles de calcul. Euh, prêt à t'en débarrasser. Je sais, 2025, nouvelle année, nouveau moi. Peut-être souhaitez-vous mettre en place une plateforme ici. Euh, vous savez, nous assurons un suivi, alors répondez honnêtement. Je pense que nous avons quelques questions dans quelques minutes. Alors, Thomas, euh, y en a-t-il une qui vous semble plus importante que les autres ? Je peux les lire si vous le souhaitez.

Thomas : Il est en mode silencieux. Vous êtes en mode silencieux. Oh, désolé. Je m'excuse. Je n'ai pas dit que j'étais toujours en mode silencieux. D'accord. Euh, oui, voyons voir. Donc, euh, en se concentrant sur les cadres de cybersécurité, mais aussi sur la santé financière, la résilience opérationnelle, les contrats, les accords de niveau de service (SLA) et la conformité. Cela devrait également être examiné et surveillé pour la gestion des risques liés aux tiers (TPRM). Quels cadres pourraient couvrir tous ces domaines ? Donc, oui, c'est une question intéressante, car même si nous nous sommes concentrés sur la cybersécurité aujourd'hui, il y a tellement d'autres domaines qui sont importants pour un programme TPR. Je dirais qu'il n'y a pas trop de cadres dédiés à tout. Il y en a certains qui tentent d'adopter une approche beaucoup plus large, qui ne se limite pas à la sécurité de l'information et à la cybersécurité, mais qui inclut également des domaines tels que la conformité, la confidentialité, ainsi que d'autres capacités peut-être plus traditionnelles basées sur la GRC. Et certains éléments de résilience également. Le SIG en est un bon exemple : il dispose d'une cybersécurité et d'une sécurité de l'information, mais il comporte des sections dédiées qui se concentrent uniquement sur la chaîne d'approvisionnement au sens large. La conformité juridique comprend des domaines tels que la fraude et la lutte contre la corruption, par exemple, et même des sujets plus récents liés à l'intelligence artificielle. Il existe donc quelques cadres mis en place pour couvrir autant de domaines que possible. Il convient également de noter que, bien que nous ayons abordé ici les détails de la norme ISO 27K et du NIST CSF, nous constatons que certaines entreprises développent un cadre élargi qui couvre autant de composants différents que possible, et c'est quelque chose que nous voyons de plus en plus souvent. Il y en a donc quelques-uns, je veux dire, SIG est un bon exemple, je pense que c'est peut-être le meilleur exemple que je puisse donner, où il y a beaucoup d'attentes en matière de capacités. La deuxième question est de savoir comment gérer le fait que votre propre organisation adopte une certaine norme de sécurité, alors que vos partenaires contractuels en adoptent une autre, et d'autres encore.est quelque chose que nous voyons régulièrement. Sock en est un bon exemple : le nombre d'organisations qui se tournent vers leurs fournisseurs avec un cadre particulier tel que SIG, puis qui obtiennent un Sock en retour, souvent avec la question « est-ce suffisant ? ». L'un des meilleurs moyens de gérer cela est de cartographier les données et les normes. Plus nous pouvons dire dans quelle mesure Sock, par exemple, s'aligne sur nos critères de synchronisation ou les critères ISO, plus nous pouvons combler rapidement les lacunes. Si s'il y a des lacunes importantes, par exemple si le Sock ne couvre pas entièrement ce que nous demandons sur la base de notre cadre SIG de base, nous connaissons désormais l'écart et pouvons revenir vers ce fournisseur pour lui dire qu'il y a des questions supplémentaires et des domaines thématiques auxquels nous avons encore besoin qu'il réponde et qu'il approfondisse. Mais c'est quelque chose que nous voyons assez souvent, lorsque le fournisseur nous fournit des documents et des cadres qui ne correspondent pas entièrement au cadre que vous et votre organisation mettez en œuvre.

Melissa : Parfait. Merci, Thomas. Euh, et merci pour toutes vos réflexions aujourd'hui, à toi et à Matt. Euh, merci à tous pour vos questions. C'était très agréable et cela nous amène à la fin de l'heure. Je suis sûre que je verrai certains d'entre vous dans vos boîtes de réception, peut-être lors d'un de nos prochains webinaires. Et c'est tout. Je vous souhaite une excellente fin de journée et une bonne soirée, et j'espère vous revoir bientôt. Prenez soin de vous. Thomas : Merci. Matt : Merci à tous. Merci.