Interview d'un RSSI : Comment construire une analyse de rentabilité pour le TPRM

Melissa : Bonjour et bienvenue à tous. Je suis ravie de vous voir tous vous connecter ce mercredi. Je vais vous laisser une minute pour vous installer, vous connecter et peut-être prendre un café, si c'est ce dont vous avez besoin. En attendant, je vais lancer notre premier sondage. Il apparaîtra sur votre écran dans quelques secondes. Je suis curieuse de savoir ce qui vous amène à participer au webinaire d'aujourd'hui. Est-ce parce que vous en êtes aux premières étapes de votre programme de gestion des risques tiers ? Êtes-vous déjà un client régulier ? Peut-être êtes-vous simplement en train de faire des recherches pour un projet. Soyez honnêtes. Peut-être êtes-vous perdu. Je ne sais pas trop. Commençons par quelques présentations. Je m'appelle Melissa et je travaille ici au développement commercial. Aujourd'hui, nous accueillons un invité, Eric Brown, qui est le responsable de la sécurité des systèmes d'information chez Cytokinetics. Bienvenue, Eric.

Eric : Bonjour à tous.

Melissa : Et nous avons Mike Yaffy, directeur marketing de Prevalent. Bonjour, Mike.

Mike : Bonjour.

Melissa : Et enfin, nous avons Scott Lang, notre vice-président du marketing produit. Bonjour Scott.

Scott : Salut Melissa.

Melissa : Et aujourd'hui, Eric et Mike vont se pencher sur les étapes clés pour transformer la gestion des risques liés aux fournisseurs (TPRM) en une conversation commerciale. Et c'est exactement ce qui va se passer aujourd'hui, une conversation entre Mike et Eric. Alors, quelques petites précisions d'ordre administratif. Le webinaire est enregistré. Vous le recevrez donc plus tard dans votre boîte mail, accompagné d'un diaporama. Vous êtes tous en mode silencieux. Utilisez donc la boîte de questions-réponses si vous avez des questions qui vous viennent à l'esprit. Ne soyez pas timides. N'hésitez pas à poser vos questions. Sans plus attendre, je laisse la parole à Eric et Mike. Allez-y, les gars.

Mike : Tout à fait. Eric, merci de vous joindre à nous aujourd'hui. Nous apprécions particulièrement votre présence, surtout dans le contexte où vous n'êtes pas à la RSA, comme nous en avons parlé. Merci, Melissa. Pouvez-vous passer à la première diapositive ? Quelques remarques, mesdames et messieurs. Pour ceux d'entre vous qui ne sont pas à la RSA, je pense que nous y avons tous déjà participé ou assisté. C'est agréable de ne pas être entouré de 30 000 personnes cette semaine. C'est un peu plus calme. Deuxièmement, je m'excuse pour cela. Eh bien, en général, je regarde les gens en face, je ne peux pas faire grand-chose à ce sujet. Mais l'approche est décontractée, ma femme vient d'avoir un bébé il y a peu, et je sais que vous pensez qu'il est vieux pour avoir un enfant. C'est vrai. Mais c'est le mieux que je puisse faire pour l'instant. Donc, je m'en occupe. Vous avez un chapeau. Vous êtes un peu plus décontracté aujourd'hui. Mais ça devrait être une conversation super sympa. Écoutez, je suis super excité. Eric est un très bon ami pour nous et il a énormément d'expérience. Je pense que lorsque vous combinez son expérience en informatique et en cybersécurité avec ce qu'il a accompli et ses connaissances techniques, vous obtenez une très bonne combinaison d'expertise technique, un homme qui peut se plonger dans le travail et travailler un peu dans les tranchées, mais qui, grâce à son poste, comprend vraiment comment présenter au niveau exécutif et comment traduire les aspects techniques au niveau du conseil d'administration. Et je pense que par rapport à ce que nous essayons d'accomplir ici, il est difficile de convaincre les RSSI ou le conseil d'administration d'adhérer à un dossier commercial, à un soutien, à une expansion ou simplement à la professionnalisation de votre programme TPRM. Et Eric ne le dirait probablement pas, car il est modeste, mais c'est un expert en la matière et je pense qu'il l'a fait à plusieurs reprises au cours de sa carrière. Nous avons donc beaucoup de chance qu'il prenne le temps de nous aider et de vous aider à comprendre. Encore une fois, si vous avez des questions dans le chat, n'hésitez pas à les poser. Nous essaierons de les replacer dans leur contexte. Sinon, nous les garderons pour la fin. Alors, Eric, avez-vous quelque chose à dire pour commencer ? Melissa, pourquoi ne pas passer à la diapositive suivante ?

Eric : Non, merci pour cette introduction. J'ai hâte de me plonger dans le sujet.

Mike : Très bien, allons-y. Bon, écoutez, la première question, juste pour que tout le monde soit sur la même longueur d'onde, c'est : comment avez-vous fait ? Il n'est pas si facile d'obtenir un alignement à tous les niveaux dans une organisation. Je demande toujours aux organisations : « Quel type d'entreprise êtes-vous ? » Vous voulez la réponse ? Vous ne voulez pas la réponse ? Alors, euh, comment avez-vous obtenu cet alignement et dans quel type d'organisation vous classeriez-vous ?

Eric : Oui. Je vais d'abord répondre à la question sur l'organisation, et je vais le faire de plusieurs façons. Je travaille dans le secteur pharmaceutique au sens large, d'accord ? Certaines personnes classeraient cela dans le domaine de la santé. Mais c'est un modèle économique différent. Le secteur pharmaceutique vit et meurt au gré de la propriété intellectuelle. C'est donc une façon de connaître le client, de connaître le public. Cytokinetics est une petite organisation. Elle compte environ 500 employés, un millier d'utilisateurs, des sous-traitants, des consultants, des prestataires de services, etc. Ce n'est donc pas une grande organisation. Je pense que l'une des choses que nous avons toujours essayé de souligner dès le début, lorsque je suis arrivé et que j'ai pris la direction de la sécurité des systèmes d'information, c'était d'essayer de présenter le programme de cybersécurité de manière générale, et non comme un problème technique. Oui, il y aura des aspects techniques et des technologies, mais cela fait partie d'une stratégie plus large de gestion des risques d'entreprise qui, en fin de compte, garantit le bonheur et la sécurité de tous les membres de notre organisation et de nos principales parties prenantes, à l'intérieur comme à l'extérieur. C'est donc la première étape, le début d'une discussion sur le fait d'être

Mike : À quoi cela ressemble-t-il ? Comment faites-vous si l'organisation ne l'a jamais eu et que vous essayez, vous savez, tout le monde l'avait dans une petite boîte ou dans un coin,

Eric : n'est-ce pas ?

Mike : Alors, c'est quoi cette arnaque sophistiquée ? Comment tu t'y prends ? Par où tu commences ? Comment tu t'y prends ? Avec qui tu commences ?

Eric : Oui. Cela est devenu plus facile ces dernières années, car beaucoup de choses font la une des journaux, n'est-ce pas ? Que ce soit Solar Winds ou une autre université locale ou un organisme de santé qui a été piraté, ou encore les ransomwares, ou les gens qui ont vu Target, Visa ou CASA, n'est-ce pas ? Et les magasins de détail dans les grands segments européens sont fermés pendant un certain temps parce qu'ils fonctionnent avec des systèmes de point de vente qui ont été piratés. Donc, Nightly News, entre guillemets, a facilité une partie de cette discussion. Vous avez donc vu apparaître davantage de membres de conseils d'administration qui commencent à poser des questions, car ils siègent à plusieurs conseils d'administration, pour savoir comment nous protégeons nos actifs. Vous avez des flashs d'information et des fils d'actualité. Il y a donc une prise de conscience générale qui est différente de celle d'il y a 10 ou 15 ans, où la cybersécurité consistait essentiellement à se demander si nous disposions des pare-feu les plus récents et les plus performants. Donc

Mike : certains des certains des

Eric : problème technologique, point a a a égale b, c'était ça, c'était là, il y avait ça, achetez ça, faites ça, exécutez correctement, puis Eric : donc l'autre partie, euh, pas le problème technologique sur lequel nous nous sommes concentrés, c'était, euh, le service juridique au sein d'une organisation. Personne ne considère le service juridique comme une fonction du système de gestion des contrats. Eric : Mais les gens considèrent la cybersécurité comme une fonction liée à des éléments tels que les pare-feu, l'accès et l'identité. Et tout cela est très bien, n'est-ce pas ? C'est un élément essentiel, tout comme le système de gestion des contrats. Mais il faut aider les gens à comprendre que le service juridique est là pour aider les entreprises à gérer les risques au niveau contractuel. La cybersécurité est là pour gérer les risques liés à la cybersécurité et à la sécurité technique. Et oui, il existe des technologies, mais il faut aider les gens à faire cette analogie. Et puis, nous avons instauré la confiance parce que nous avons également fait le nécessaire au niveau des bases. Nous avons donc mis en place un grand nombre de technologies, de processus et de contrôles afin que les auditeurs internes et externes puissent dire : « Non, tout va bien ». Cela permet de faire évoluer la conversation vers un langage beaucoup plus convivial pour les entreprises, loin des technologies.

Mike : Donc, si vous deviez établir un classement, par qui commenceriez-vous pour convaincre les gens d'adhérer à cette idée ? Les services juridiques, c'est une question, pas une affirmation, mais quelles sont les trois principales organisations avec lesquelles vous devez vraiment travailler et aider à comprendre pourquoi ?

Eric : Oui. Donc, au sein de notre structure particulière, les trois fonctions, ou plutôt les quelques organisations ou départements fonctionnels qui étaient essentiels au départ, étaient la conformité qualité, mais surtout le service juridique. Cela dit, il y avait également un autre effort pour interagir avec notre équipe de direction. Donc, vos vice-présidents et les cadres supérieurs de l'organisation pour dire : « Voici le panorama général des consultants et des sous-traitants avec lesquels nous travaillons. Ils représentent une grande partie des capacités de notre organisation, n'est-ce pas ? Ils soutiennent l'automatisation, les données et les opérations quotidiennes de notre organisation. Et si nous ne comprenons pas où se situent les risques dans ce vaste segment, nous pourrions facilement nous retrouver dans une situation où nous ne serions plus opérationnels, compromis, confrontés à une atteinte à notre réputation, n'est-ce pas ? Nous devrions alors faire face à de nombreux effets négatifs en cascade et les surmonter. Donc,

Mike : avez-vous dû replacer cela dans son contexte, car vous l'aviez mentionné précédemment, n'est-ce pas ? Il s'agissait d'informations personnelles identifiables, n'est-ce pas ? Avez-vous dû les aider à comprendre qu'il s'agissait d'une préoccupation majeure pour l'organisation ? Vous avez dit : « Nous ne savons même pas combien de personnes sont concernées », et je ne dis pas que vous l'avez fait ou non, mais...

Eric : oui,

Mike : avoir accès aux informations personnelles identifiables, savoir où elles sont envoyées, qui y accède et ce qu'ils en font.

Eric : Oui. Donc, les informations personnelles identifiables ne sont clairement pas importantes pour nous. Je veux dire, bien sûr, le RGPD européen, les règles californiennes en matière de confidentialité, tout cela est logique.

Eric : Euh, la propriété intellectuelle est le plus important. Euh, donc quand on commence à voir, vous savez, des organisations disparaître dans les actualités.

Mike : Au fait, je voulais dire IP. Mon cerveau a fait une erreur, désolé, mais je voulais dire IP et ça avait les mêmes lettres. Alors, toutes mes excuses.

Eric : Non, ne vous inquiétez pas. Euh, oui. Donc, les aider à comprendre à quoi cela pourrait ressembler ? Cela pourrait ressembler à une fuite de données de l'organisation vers des personnes qui ne devraient pas en disposer. Cela pourrait ressembler à une situation où nos principaux leaders d'opinion ou d'autres professionnels de la santé ne voudraient pas traiter avec nous parce qu'ils ne nous font pas confiance. Nous ne pouvons pas garantir la sécurité des données. Nous ne savons pas ce qui se passe. Donc, les effets négatifs dont je parle toujours n'ont pas grand-chose à voir avec le fait que quelqu'un ait piraté un serveur. Il s'agit plutôt, d'une manière générale, d'un langage commercial pour dire que cela pourrait être l'effet négatif en aval auquel nous devons faire face et que nous essayons de surmonter. C'est donc généralement là que se concentrent nos efforts.

Mike : Est-ce que c'est vrai, et même dans le domaine du marketing de la sécurité, est-ce suffisamment juste pour être dangereux ? Je fais cela depuis plus de 20 ans, et il y a deux façons d'aborder la question : soit vous êtes meilleur, plus rapide, plus fort ou plus sûr, soit vous utilisez le facteur FUD, n'est-ce pas ? Selon vous, quelle approche fonctionne ? S'agit-il d'une approche hybride ? Mais quel message transmettez-vous à ces parties prenantes ? Et si vous voulez parler de l'équipe de direction par rapport à l'équipe juridique, ou peut-être que c'est la même chose, mais vous savez, à quoi ressemble le discours ?

Eric : Oui, c'est une excellente question et je pense que les deux sont vrais. Je veux dire, la réalité pour nous dans le cyberespace. Je ne dirais pas nécessairement que c'est de la désinformation, mais je comprends le principe et je classerais cela dans la catégorie « prévention des risques et réduction des coûts ». Il y a donc clairement de la peur, de l'incertitude et du doute qui motivent les acteurs dans ce domaine. Eric : Euh, mais en général, si nous gérons ou atténuons les risques ou évitons des coûts excessifs, très bien, mais il y a aussi des choses que nous avons essayé de prendre comme position de principe au sein de l'équipe, qui est de minimiser les risques partout où nous le pouvons, de continuer à réduire les risques comme objectif général. Partout où nous pouvons le faire avec peu ou pas de friction opérationnelle, c'est parfait. Nous le faisons parce que cela permet ensuite de responsabiliser les gens. C'est comme si nous minimisions ou atténuions les risques grâce à la technologie. Alors, comment faire pour rendre l'accès plus facile mais plus sûr, n'est-ce pas ? Quelles sont les configurations MFA ? Comment envisager le SSO afin de fournir un accès plus large et plus facile aux applications tout en bénéficiant de plus de contrôles en arrière-plan ? Il y a donc un aspect « habilitation », puis, en fin de compte, il s'agit de renforcer la crédibilité au sein de l'organisation, où les gens se demandent si nous faisons ce qu'il faut. Je pose davantage de questions plutôt que d'essayer d'imposer le programme de cybersécurité en disant « laissez-moi vous expliquer pourquoi vous vous y prenez mal et voici comment je peux vous aider ». Maintenant, nos partenaires commerciaux viennent nous voir et nous demandent : « Comment devons-nous envisager cela ? Comment utiliser la cybersécurité comme critère de décision lorsque nous examinons plusieurs candidats pour devenir fournisseurs, plutôt que de considérer cela comme une case supplémentaire à cocher qui ralentit le processus ?

Mike : Oui, ça a l'air génial, non ? Si je veux dire, si vous pouvez en arriver au point où vous évaluez leurs contrôles et que c'est un facteur de différenciation, n'est-ce pas ? Un facteur de différenciation très positif, car vous avez le sentiment qu'ils ont réussi, que vous êtes bien avancé dans ce domaine. Une dernière question, puis nous avons reçu une question du public. Parlez-nous de l'acceptation des risques. À un certain moment, vous n'avez pas assez d'argent, de temps ou de personnel pour combler toutes les lacunes. Comment faire ? Est-ce que vous retournez voir l'équipe de direction et vous dites : « Écoutez, nous devons reconnaître cela comme une menace potentielle et c'est normal, nous pensons que c'est une probabilité de 4 % ou 1 %, mais nous allons le faire. Comment faites-vous pour que l'équipe de direction mette par écrit que nous sommes prêts à vivre avec X ou Y ?

Eric : Oui. Je pense que c'est une excellente question. Je commence toujours ce genre de question en disant que, à moins d'avoir un budget mathématiquement infini, il faut toujours établir des priorités. Eric : Tout dépend de la taille du budget, n'est-ce pas ? Donc, quelles que soient vos priorités, si vous investissez uniquement en fonction du risque, vous pouvez, par définition, dépasser les revenus de n'importe quelle entreprise, car le risque n'est jamais nul et les revenus ne sont pas infinis. Donc, par définition, vous serez toujours dans un exercice de priorisation pour nous, étant donné l'importance de l'information. Nous classons généralement les risques et je n'entrerai pas trop dans les détails pour des raisons évidentes, mais je vais donner aux gens une idée de ce dont il s'agit, en espérant que cela soit utile.

Mike : Oui. Oui. Parfait.

Eric : Nous classons généralement les risques selon plusieurs critères différents. Quelle est la sensibilité des données que nous traitons ? Nous avons un système de classification interne qui va du domaine public au domaine réservé aux personnes ayant besoin d'en connaître. Quel est le degré de criticité opérationnelle d'un fournisseur de système de plateforme particulier, etc. Ensuite, nous utilisons Prevalent dans le cadre de notre solution TPRM et nous effectuons une classification autour de SIG light, que je vais utiliser comme exemple, puis nous avons une procédure opérationnelle standard officielle quia été validée par notre système qualité, qui fait l'objet d'une formation, et dans laquelle nous avons une matrice de décision des risques qui définit si nous avons une classification des données, s'il s'agit d'une table de vérité, fondamentalement une classification des données, et quel est le niveau de risque, ce qui définit alors à quel niveau l'acceptation du risque se produit. Donc, si nous avons affaire à un système qui héberge notre Internet public, d'accord, ce sont des informations publiques, elles sont par définition censées être divulguées. Donc, s'il y a un risque sur cette plateforme, cela peut être quelque chose que l'un de mes cyberanalystes peut approuver et dire oui, c'est un risque faible pour un système accessible au public. Nous avons donc une table de vérité qui nous indique, en fonction de la sensibilité des données et du niveau de risque, qui peut approuver. Cela va de l'un de mes cyberanalystes jusqu'à un partenariat entre moi-même et le responsable fonctionnel de l'organisation qui s'occupe de ce domaine particulier. Il s'agit donc d'une procédure opérationnelle standard officielle qui est approuvée, enseignée et communiquée. C'est ainsi que nous avons intégré les critères d'acceptation des risques afin que tout le monde puisse les voir. Y aura-t-il des cas exceptionnels où quelqu'un voudra se plaindre ? Oui, peut-être.

Mike : Il y a toujours, vous savez, c'est drôle. Il y a toujours des exceptions à gérer, n'est-ce pas ? Il y a toujours, vous savez, vous n'y arriverez jamais et si vous essayez de tout englober, vous allez échouer avant même d'y arriver, n'est-ce pas ? La règle des 80-20, mes amis. Hum, cela répond à l'une des questions que nous avions. L'autre est la suivante : quelqu'un a posé une question fondamentale, à savoir comment faire en sorte que votre équipe de direction s'intéresse et consacre du temps à la cyberéducation. Je vais adopter une position assez agressive à ce sujet. Premièrement, c'est le travail du RSSI, n'est-ce pas ? Et deuxièmement, je ne sais pas si vous pouvez toujours amener l'équipe de direction à s'intéresser à la cybersécurité. C'est peut-être dans l'ADN de l'organisation, n'est-ce pas ? Ne pas s'en soucier et vivre sans souci. Et n'hésitez pas à me dire si vous pensez que je me trompe, Eric, mais je ne sais pas si toutes les organisations vont s'intéresser de la même manière à la cybersécurité.

Eric : Oui, je pense que c'est vrai, du moins en apparence. Écoutez, je connais des cadres qui se soucient très peu de la plupart des aspects liés au fonctionnement de leur entreprise. Mais cela dit, je ne connais pas votre public, je ne sais pas si la plupart des cadres se soucient vraiment du programme de cybersécurité. Ce qui les intéresse, c'est que leurs employés puissent faire leur travail et rentrer chez eux le soir sans s'inquiéter qu'une société ait dépensé plus d'un milliard de dollars pour se remettre d'une rançon il y a quelques années. Leurs cadres ne s'en souciaient pas avant. Ils s'en sont souciés après. Parfois, cela peut être une crise. Parfois, non. Ne vendez pas quelque chose que certains ne vendent pas, un produit dont personne ne veut. D'accord ? C'est le rôle de l'équipe de sécurité de s'occuper des choses dont les gens ne veulent tout simplement pas. Ils n'ont pas besoin de connaître les coulisses. Mais parlez-leur de ce qu'ils veulent. Leur personnel peut-il travailler ? Gèrent-ils les risques ? Ont-ils des domaines et des angles morts dont ils doivent être conscients ? Tout le reste, laissez-le aux magiciens derrière le rideau.

Mike : Eh bien, écoutez, les deux choses que je... La première, c'est l'assurance, c'est l'assurance.

Eric : Oui.

Mike : Exactement. Quelle couverture d'assurance souhaitez-vous dans la vie ? Je sais que ce n'est pas une analogie très pertinente pour certaines personnes, mais vous avez une tolérance au risque et vous avez une assurance vie, n'est-ce pas ? Et vous pouvez l'augmenter ou la diminuer au fur et à mesure. Plus vous investissez dans la sécurité, plus vous vous sentez en sécurité, mais plus vous dépensez. C'est un centre de coûts, mais vous devez considérer cela comme s'il y avait un problème, s'il y avait une inondation dans votre maison ou, Dieu nous en préserve, si quelqu'un ne pouvait plus travailler, euh, vous savez, êtes-vous couvert ? Et la technologie de sécurité aide à cela. Je dirais, Eric, qu'il y a autre chose que nous voyons souvent, et qui est commun à toutes les entreprises pour lesquelles j'ai travaillé, c'est qu'il est étonnant de constater que lorsqu'il y a un problème, tout le monde se met presque immédiatement à croire en la sécurité et à allouer des budgets, des budgets disponibles. Je veux dire, on ne peut rien y faire. Mais parfois, c'est ce qu'il faut dans les organisations.

Eric : Et j'ajouterai une dernière réflexion. Oui. Je veux dire, une crise, c'est... Il ne faut pas laisser passer une crise, n'est-ce pas ? Comme quelqu'un l'a dit un jour...

Mike : N'est-ce pas ? C'est ça. Oui, j'adore celle-là.

Eric : Hum, je pense que j'ajouterais aussi que je peux imaginer un monde où beaucoup de gens qui conçoivent des voitures pour gagner leur vie pensent que tout le monde devrait lire le manuel fourni avec la voiture, ce que personne ne fait parce que nous voulons monter dans la voiture, appuyer sur le bouton, nous rendre à notre prochaine destination et descendre. Nous ne voulons pas lire le manuel d'utilisation. Parfois, nous pouvons avoir envie de convaincre quelqu'un de l'importance et de la nécessité de ce que nous faisons, mais cela va être difficile, ce sera un produit difficile à vendre. Concentrez-vous simplement sur les résultats et sur la gestion des risques pour l'organisation. Excusez-moi.

Mike : C'est Melissa, passons à la deuxième diapositive. Euh, mais c'est super important, Eric. La sortie. Tu peux approfondir ça ? Ce sont les résultats, n'est-ce pas ? C'est ça. Écoute, on est déjà à la fin de l'histoire, non ? On a un BR, comme si on était prêts à le faire, non ? C'est ce que je veux dire, et alors qu'on passe à la question suivante sur l'analyse de rentabilité, l'analyse de rentabilité, c'est un résultat négatif potentiel pour l'organisation. Je sais que nous parlons de FUD par opposition à l'habilitation, mais Mike : euh Mike : tu veux juste approfondir cela et comment fais-tu lorsque les responsables de la sécurité doivent te présenter un dossier commercial, qu'est-ce que tu cherches à voir ? Quels sont les éléments qui t'aident vraiment à prendre une décision positive et s'ils ne peuvent pas, si ce n'est pas clairement articulé, n'est-ce pas ? Pourquoi rejettes-tu un dossier commercial ?

Eric : Oui, c'est une excellente question. Donc, euh, je vais utiliser... Quand nous avons commencé à définir le cadre, euh, je vais utiliser l'abréviation TPRM, mais quand nous avons commencé à définir le cadre pour comprendre où se situaient les risques chez nos partenaires tiers et, dans certains cas, chez nos partenaires quatrièmes, euh, nous n'utilisons pas le business case proprement dit pour le moment. D'accord. Donc, comme nous ne générons pas de retour sur investissement, la prévention des risques est un retour sur investissement B, n'est-ce pas ? Il s'agit plutôt d'une prévention des coûts ou d'une atténuation des risques. Mais pour présenter le cas, disons que voici l'investissement, voici la valeur que nous allons obtenir, voici comment nous allons le gérer, et voici comment nous allons utiliser un mot que j'ai utilisé plus tôt, en quelque sorte le professionnaliser,

Eric : N'est-ce pas ? Pour convaincre les gens, il ne s'agit pas simplement d'une nouvelle technologie avec laquelle quelques personnes vont jouer en coulisses. Mais voici les résultats que nous essayons d'obtenir : nous essayons de trouver des fournisseurs qui comprennent où se situent nos risques afin que nos départements et nos collègues opérationnels puissent les gérer ou les minimiser grâce à des processus et des contrôles supplémentaires. Encore une fois, il est utile d'avoir des membres du conseil d'administration qui se déplacent dans l'espace et qui viennent nous voir pour nous demander : « Hé, que faites-vous dans le cadre de votre programme cybernétique ? »

Eric : Et quand on parle de TPRM, ils disent : « Oh, c'est fantastique. Dites-m'en plus. » N'est-ce pas ? Parce qu'ils ont été échaudés. Euh , Eric : alors quand des auditeurs externes comme EY viennent nous demander de leur parler de notre programme cyber et du CPRM, c'est facile à expliquer, nous avons beaucoup moins de choses à préparer parce que c'est un coût inhérent à l'activité à un certain niveau, à mesure que les marchés évoluent, euh, et c'est donc ce que nous leur avons dit : voici ce que nous cherchons à investir icivoici pourquoi, voici ce que nous allons en retirer et voici comment cela va évoluer. Nous n'essayons pas de tout résoudre dès le premier jour, nous allons y aller progressivement et évoluer au fil du temps, mais nous allons mettre en place une certaine rigueur autour de cette évolution interne lorsque quelqu'un de l'équipe apporte une proposition en disant : « Bonjour, nous aimerions faire ceci ou cela. » En fin de compte, il y a des questions budgétaires que nous devons aborder. Mais mes critères ou les obstacles qu'ils doivent surmonter sont les mêmes que ceux que je voudrais surmonter pour les cadres, à savoir : comment cela permet-il de gérer les risques pour l'organisation ? Comment avons-nous l'intention d'utiliser cela ? Quelle est notre vision de départ et où pensons-nous que cela pourrait nous mener ? Ensuite, nous travaillerons sur ce problème au fil du temps. Mais il ne s'agit pas simplement de souscrire au prochain outil obligatoire parce que quelqu'un a reçu un appel commercial et que nous ne pouvons pas soutenir Cytoinetics sans ces deux ou trois nouveaux outils. Ce n'est tout simplement pas une conversation intéressante.

Mike : Oui. Et je pense que cela doit être un résultat. Vous êtes au point A. Nous voulons arriver au point B. À quoi ressemble le point B ? À quoi ressemble l'état final ici ? N'est-ce pas ? Comment travaillons-nous à rebours ? Et je pense, je dis depuis longtemps que lorsqu'un RSSI comme vous achète quelque chose, cela doit être une victoire globale, n'est-ce pas ? Écoutez, parfois les changements sont progressifs, mais c'est tout ce que vous pouvez faire, n'est-ce pas ? Et lorsque vous faites évoluer une organisation, vous ne passez pas de 60 sur 100 à 92 du jour au lendemain, n'est-ce pas ? Vous passez peut-être de 60 à 62. Le chemin à suivre consiste à atteindre 75 avec ceci, puis cela. Mais c'est une stratégie. C'est un processus. Et je dois vous dire que je trouve qu'il y a beaucoup de charlatans qui font des promesses exagérées et ne tiennent pas leurs engagements. Mais beaucoup de choses dans le domaine de la sécurité aident à long terme, n'est-ce pas ? Elles ne vous aident pas immédiatement. Elles ne vous aident pas en deux semaines. Ça ne marche pas comme ça.

Eric : Oui, tout à fait. Absolument.

Mike : Alors, parmi tous les cas d'affaires, quel est le meilleur que vous ayez jamais vu ? Et Melissa, passez à la diapositive suivante.

Eric : D'après un dossier commercial qui m'a été présenté.

Mike : Oui.

Eric : D'accord.

Mike : Et pourquoi ?

Eric : Oui. Hum, c'est une bonne question. Laissez-moi réfléchir. Laissez-moi trouver une bonne explication. Ce que je veux, c'est que les gens me disent comment ils commencent, où ils pensent que cela va les mener et comment ils pensent que cela va évoluer. Non pas parce que je crois qu'ils sont omniscients et qu'ils vont prédire l'avenir, mais parce qu'ils ont réfléchi et qu'ils ont une idée de la situation et de la manière dont ils vont la faire évoluer.

Eric : Donc, euh, dans le cadre de notre solution EDR, nous avons récemment ajouté, euh, des capacités de détonation, n'est-ce pas ? Nous pourrions donc examiner des exemples spécifiques, euh, euh, de matériel malveillant, euh, malveillant. D'accord, Eric : c'était probablement bien pensé, n'est-ce pas ? Voici combien cela va coûter. Voici quelques options. Nous pouvons aborder cela de cette manière ou de cette manière. Si nous l'associons à cette offre, nous pouvons obtenir des éléments supplémentaires qui peuvent être utiles ou non, mais le prix est le suivant. Et je pense que c'est le groupe au sein de l'organisation qui pourrait l'utiliser aujourd'hui. Cela pourrait s'étendre. C'est ainsi que nous aimerions l'utiliser. Et c'est ce que cela signifiera pour nous l'année prochaine, selon nous. D'accord, c'est suffisant, n'est-ce pas ? Ce n'était pas un investissement important. Ce n'était pas un montant à cinq chiffres ou quoi que ce soit d'autre. C'est comme si quelqu'un avait réfléchi à toutes les dimensions du problème. Je

Mike : J'allais dire que c'était très bien pensé. Même ce que tu viens d'exposer était très bien pensé. Voici pourquoi nous le voulons. Voici qui pourrait l'utiliser. Voici les avantages. Voici comment cela pourrait se développer et nous aider encore plus à l'avenir. Voici le coût et pourquoi nous le faisons. Bang.

Eric : Et cela a fonctionné pour moi, et c'était finalement quelque chose qui faisait partie, au moins, de mon plan d'action mental pour les deux années suivantes. Donc, ça va. Nous avons quelqu'un qui va superviser cela et s'en occuper. C'est très bien, on peut passer à autre chose.

Mike : Comment, vous savez, vous avez une feuille de route mentale, ce qui est évidemment le cas de tout le monde, je pense. Nous en avons une dans le domaine du marketing, n'est-ce pas ? Et c'est ce que nous faisons. Dans quelle mesure est-elle flexible ? Êtes-vous prêt à... Je pense toujours que les RSSI jonglent entre 20 projets qu'ils veulent réaliser et un seul qu'ils peuvent mener à bien, n'est-ce pas ? Et puis, ce n'est même pas une question d'argent, n'est-ce pas ? Ce sont les ressources nécessaires pour gérer efficacement les outils et les technologies que vous mettez en place afin d'en tirer profit, n'est-ce pas ? Vous n'allez pas mettre en place 10 choses si personne ne peut les gérer et que vous ne pouvez pas en tirer profit.

Mike : Alors, comment établissez-vous les priorités parmi les projets que vous recevez ? Comment votre équipe établit-elle les priorités pour vous ? Premièrement, et ensuite, comment réorganisez-vous les priorités si quelque chose survient ?

Eric : Oui, c'est une bonne question. Je vais vous donner deux réponses : une réponse descendante, issue de mon expérience de consultant, et une réponse ascendante, issue de mon expérience opérationnelle.

Mike : oui, oui

Eric : Euh, en général, je garde une liste de... et excusez-moi pour les mots à la mode, mais ils ont vraiment un sens pour moi, dans leur définition, donc je garde une liste d'objectifs, ce sont des choses qui ont des déclarations directionnelles, augmenter, diminuer, maximiser, minimiser, donc j'ai une liste d'objectifs qui, je crois, correspondent aux objectifs de l'organisation et que je vais mettre en œuvre. Ensuite, j'ai un certain nombre de stratégies qui soutiennent ces objectifs particuliers. Donc, ces déclarations d'action que nous allons finir par mettre en œuvre, puis la feuille de route, c'est un ensemble d'objectifs et de tactiques qui permettent réellement de réaliser ces stratégies et de soutenir ces objectifs. C'est donc ce que je mets sur papier, en disant que dans un monde parfait, dans un vide où rien ne change, c'est le plan, n'est-ce pas ? Et les plans sont des plans. Concrètement, tout change. Tout le temps, n'est-ce pas ? Cela nous amène à la réalité de votre question. Pour moi, développer une capacité n'a pas beaucoup de sens. Et je suis désolé de dire quelque chose qui va vous paraître stupide. Gérer une capacité est extrêmement important. J'ai vu beaucoup d'organisations lancer de nombreux projets, déployer beaucoup de technologies, pour finalement les abandonner au bout de deux ans.

Mike : Pareil. C'est comme s'ils ajoutaient une sécurité supplémentaire, tu vois ? Ils disent : « Oh, regarde ça. Oh, regarde là. Oh, regarde là-bas. C'est incroyable, franchement. »

Eric : Donc, il n'y avait pas de planification pour la deuxième année, il n'y avait pas de planification en matière de durabilité, Eric : il n'y avait aucune forme de pragmatisme dans le fonctionnement opérationnel de ce qui se passait. Donc, alors que nous nous apprêtons à déployer quelque chose qui figure dans ce document intellectuel appelé « feuille de route », ou que j'examine la proposition de quelqu'un qui dit : « Bon, nous savons que nous avons la feuille de route, mais nous envisageons plutôt de faire cela à côté, dans ce domaine périphérique. D'accord, est-ce durable ? Est-ce que cela contredit au moins nos objectifs et nos stratégies ? Est-ce que cela soutient ce que nous faisons ? Peut-être que cela ne correspond pas tout à fait ? Ce n'est pas grave. Pouvons-nous le mettre en œuvre au cours de la deuxième ou de la troisième année ? Et par « le mettre en œuvre », je ne veux pas seulement dire savoir comment le financer. Avons-nous des collègues au sein de l'organisation qui en sont responsables ou des prestataires de services qui vont en être responsables ? C'est très bien. Avons-nous un alignement général au niveau de l'entreprise ? Nos partenaires sont-ils prêts à fonctionner dans ces conditions si cela est exposé comme un TPR ? Donc

Mike : C'est un très bon point, n'est-ce pas ? Honnêtement, je n'avais pas pensé à étendre cela à vos partenaires, vos consultants et toutes les personnes concernées. Êtes-vous prêt à le faire ? Qu'en pensent-ils ? Pouvez-vous faire en sorte que cela fonctionne avec eux ? Parce que si c'est trop difficile, vous ne devriez pas ou ne pouvez pas le faire.

Eric : et ça va tout simplement mourir. Tout ce que tu as fait, c'est gaspiller de l'argent la première année, n'est-ce pas ?

Mike : Oui. C'est trop d'inertie organisationnelle. Contre, donc, euh, vous savez, sur cette diapositive, vous avez mentionné le budget à plusieurs reprises, et je vais vous poser une question complémentaire, donc nous allons faire celle-ci, puis quelqu'un a posé une question en direct sur les KPI et les KIS, mais...

Mike : Je veux dire, les budgets sont les budgets, vous obtenez 5 % de plus, vous obtenez 10 % de moins, ils sont ce qu'ils sont . Mike : Comment obtenez-vous le financement d'un projet que vous jugez crucial et qui n'est pas financé ? Je veux dire, il y a des compromis à faire, n'est-ce pas ? Vous avez un certain nombre de coûts logiciels X, des coûts de personnel Y, des dépenses d'exploitation, des dépenses d'investissement, puis vous prenez des décisions en fonction des priorités et probablement de l'impact sur vous ou vos partenaires et de la réduction des risques que vous obtenez. Mike : Euh, Mike : mais vous savez, il y a toujours d'autres choses que vous aimeriez probablement faire ou que vous jugez essentielles. Comment cela se passe-t-il ?

Eric : Oui. Donc, une partie de cela sera discrétionnaire à mon niveau, n'est-ce pas ? Cela dépendra de ce que nous faisons et de l'ampleur du changement, si nous en avons un, n'est-ce pas ? Si c'était un besoin budgétaire supplémentaire qui se manifestait au cours d'une année, d'accord, qu'est-ce que je suis prêt à échanger en interne et je prendrai simplement la décision de gestion, ou y a-t-il un argument que je dois présenter à l'organisation financière ou au groupe exécutif au sens large pour dire que j'aimerais avoir plus et que je vais implicitement demander à quelqu'un d'autre de renoncer à quelque chose, et voici pourquoi. En général, je préfère contrôler ceux qui sont dans mon domaine plutôt que de devoir passer par la hiérarchie. Mais vous savez, cela fait aussi partie de mon travail, parfois il faut aller demander.

Eric : Euh, et puis comme je l'ai dit tout à l'heure, n'est-ce pas ? Étant donné que les budgets ne sont pas mathématiquement infinis, il y a une priorité. Donc, une partie de notre argumentation en faveur du TPRM ou du VRM, comme certains l'appellent, consistait simplement à dire : « Voici comment nous allons établir nos priorités dans ce domaine. Nous allons nous concentrer sur les systèmes critiques, les données sensibles, les nouveaux fournisseurs, d'accord ? Ainsi, je peux au moins démontrer à mes électeurs, à mes parties prenantes, que nous n'essayons pas de vider l'océan. Et donc, l'alignement se fera avec le temps. Les gens s'y habitueront. Je trouverai mes évangélistes au sein de l'organisation de manière organique et je pense que cela se fera de plusieurs façons, puis nous pourrons aller de l'avant. Euh, et nous l'avons fait, tout s'est plutôt bien passé. Donc, oui, je m'en contenterai volontiers, mais il y a aussi un peu de chance. Nous avions une organisation sœur qui traînait un peu les pieds pour faire certaines de ces choses, car elle considérait cela comme une tâche obligatoire. Elle a fini par engager un fournisseur qui n'a pas donné satisfaction pendant environ un an.

Eric : puis ils sont revenus et, en se basant sur ce que nous avions fait avec ce fournisseur, ils ont dit : « Ah, d'accord. Nous allons nous comporter mieux désormais. » N'est-ce pas ? Ce sont mes mots, pas les leurs. Mais c'est fondamentalement le sentiment qui prévaut, et maintenant, ils sont devenus un excellent partenaire qui dit : « Non, non, non. Cela représente une valeur ajoutée pour nous, car cela nous donne une visibilité que nous n'avions pas la dernière fois. Nous avons souffert d'une mauvaise relation. Donc, nous accepterons cela n'importe quel jour de la semaine. »

Mike : Vous savez, c'est drôle. J'ai entendu beaucoup de choses similaires et j'ai dû apprendre certaines de ces leçons à mes dépens, mais pour moi, il s'agit de communiquer ce que vous allez faire à l'équipe concernée, n'est-ce pas ? Ainsi, ils ne sont pas surpris, vous les aidez à comprendre les priorités, le budget, la manière dont vous allez procéder, et vous obtenez l'accord et l'adhésion de tout le monde, puis vous dites : « Écoutez, voici les sept choses que nous allons faire. » Et puis, invariablement, quelqu'un vient toujours vous voir, que ce soit un membre du conseil d'administration, un membre de l'équipe de direction ou, vous savez, un commercial qui dit toujours avoir vu quelque chose de nouveau et de brillant, et qui vous demande : « Pourquoi ne pouvons-nous pas faire ça ? Vous répondez : « Nous nous sommes mis d'accord sur ces sept choses.

Mike : En tant qu'organisation, n'est-ce pas ? C'est notre stratégie. Je suis prêt à changer, mais parmi ces sept choses, lesquelles pouvons-nous ou devons-nous arrêter de faire pour ajouter la huitième, puisque nous sommes d'accord là-dessus, n'est-ce pas ? Pour moi, c'est ce niveau de communication hyper élevé, Eric, qui fait que ça Mike : marche.

Eric : Oui, je suis d'accord.

Mike : Hum, parlons des indicateurs clés de performance, KISS. Nous avons reçu une question du public à ce sujet. Je veux dire, quels indicateurs clés de performance de Shirley, euh, sur quels indicateurs clés de performance une organisation devrait-elle se concentrer lorsqu'elle développe un programme TPRM à partir de zéro ? Et Shirley, nous avons fait beaucoup de choses à ce sujet. Je vais demander qu'on vous envoie quelques documents après la réunion, mais j'aimerais beaucoup savoir ce que vous en pensez, Eric.

Eric : Oui. Je vais certainement vous décevoir, je m'en excuse d'avance. Je vais m'abstenir de parler de ce que les autres organisations devraient faire, mais je serai ravi de vous présenter certaines des mesures clés sur lesquelles nous nous concentrons et qui, je l'espère, vous sembleront pertinentes. Nous tenons à jour les indicateurs de risque pour toutes les organisations qui ont suivi le processus TPR. Nous utilisons également Bitsite pour établir une sorte de cote de crédit externe, si vous voulez. Hum, donc nous conservons ces informations. Je n'ai pas trouvé cela très convaincant pour nos dirigeants, pour être honnête. Hum, tant que nous sommes en quelque sorte dans le coin supérieur droit, mieux que les groupes de pairs, c'est en quelque sorte le titre que les dirigeants veulent voir dans les journaux. Les informations plus significatives que je partage ou que je distribue sont celles qui concernent les types de risques et les responsables fonctionnels qui ont accepté ces risques. C'est donc là que réside notre culture de direction, ou plutôt la culture CC seuite, si vous voulez, qui repose sur la conviction profonde que nos responsables fonctionnels sont responsables des risques dans leurs départements fonctionnels. Il est donc important que nos vice-présidents, nos vice-présidents seniors et nos vice-présidents exécutifs sachent quels risques ont été pris par les responsables de leur organisation et si ces risques sont justifiés. C'est ce qu'ils veulent savoir et voir. Il s'agit donc vraiment de mesures d'acceptation des risques. Combien de travail avons-nous accompli avec les fournisseurs pour atténuer les conclusions potentielles lorsqu'ils sont venus nous dire qu'ils ne faisaient pas cela et que nous leur avons répondu qu'ils devraient probablement le faire en raison de leur collaboration avec nous. Ce sont donc ces éléments, le portefeuille de risques, les scores de risque, qui étaient les indicateurs les plus significatifs du programme TPRM de manière plus générale, mais nous suivons également d'autres éléments. Si quelqu'un veut savoir combien de temps a pris l'évaluation, même si c'est généralement le tiers qui prend tout le temps, nous avons ces informations. D'après mon expérience dans cette organisation, personne n'a vraiment voulu en parler. Ils veulent plutôt avoir une vue d'ensemble du catalogue dans leur département.

Mike : Oui. Euh, j'ai travaillé avec un PDG il y a quelque temps, et il disait toujours, et c'était une bonne chose, qu'un bon chiffre ou un mauvais chiffre, que vous pouviez présenter à l'équipe de direction, c'était comme si vous aviez fait un million d'évaluations.

Eric : bien sûr

Mike : Exactement, et vous voulez qu'ils soient tous impressionnés par un million d'évaluations, vous vous demandez combien il en fallait, et la réponse pourrait être 10 millions, donc sans contexte ni référence, ces chiffres ne signifient rien pour beaucoup de gens, ce ne sont que des mots à la mode, surtout dans votre programme. Je suis d'accord avec vous sur le sujet du bitsite, regardez, c'est un scan osseux externe, n'est-ce pas ?Je pense que c'est utile pour les tests delta si vous l'avez configuré correctement et que quelque chose change, mais vous savez, c'est comme ça, n'est-ce pas ? Nous avons reçu une question de Pat : quel type de mesures spécifiques au TPRM mesurez-vous ? Pouvez-vous en citer trois ou quatre ? Melissa, passez à la diapositive suivante, s'il vous plaît.

Eric : Oui, c'est vraiment lié au catalogue des risques. Et je suis un peu évasif simplement parce que...

Mike : Non, non, pas de souci. On ne te demande pas de nous révéler tes secrets. Donc,

Eric : Oui. Oui. Oui. Eric : Euh, et je vais essayer de rendre cela significatif. Donc, le processus commercial général, c'est ça ? Les gens arrivent, un service trouve un nouvel outil ou un nouveau fournisseur qu'il souhaite utiliser. Super. Nous allons l'utiliser. Nous allons réaliser une enquête interne de profilage et de tarage afin d'obtenir un contexte commercial pour savoir comment ce partenaire particulier va être utilisé. Cette enquête, qui comporte je crois une douzaine de questions, est remplie par des collègues internes, puis nous nous rendons chez le fournisseur lui-même, généralement avec un SIG light, et nous obtenons en retour une centaine de questions, 36 ou quelque chose comme ça, et nous procédons au profilage. La première question que la plupart des partenaires commerciaux veulent poser à ce stade est la suivante : dans combien de temps pouvons-nous recruter ces personnes ? Car il est absolument essentiel sur le plan opérationnel de les recruter et de les engager dès aujourd'hui. Et bien que la cybersécurité ne soit pas une étape synchrone, nous n'autorisons ni ne refusons cette transaction. Nous jouons un rôle consultatif. Euh, ils veulent toujours savoir si nous pouvons surmonter les obstacles une fois que nous commençons à mettre en évidence les risques que nous rencontrons, et je parle ici de risques critiques que je soumettrais à un directeur ou à un vice-président pour en discuter. Êtes-vous d'accord pour accepter ce risque ? Je pense que ce n'est pas une bonne chose, mais je ne connais pas le contexte commercial. Pouvez-vous trouver un remplaçant suffisamment tôt ? Discutons-en. D'après mon expérience, ce cadre commence alors à se demander s'il ne va pas trop vite. Je vais en parler à l'équipe pour voir si nous devons reconsidérer la question. Et, au fait, pour en revenir aux questions sur les indicateurs, à quoi ressemble le reste de mon portefeuille ? Ainsi, lorsque nous faisons appel à des fournisseurs, nous les classons par catégorie organisationnelle afin que je puisse m'adresser à n'importe quel vice-président fonctionnel, vice-président senior ou vice-président exécutif et lui dire : « Les fournisseurs qui soutiennent les opérations cliniques sont ceux-ci, et voici leur score de risque. » Ensuite, j'ai une discussion autour de

Eric : y Eric : y a-t-il des domaines que nous considérons comme trop vulnérables ou non ? Ils ne connaissent pas les chiffres, mais l'indicateur qui peut être suivi est la note de risque globale attribuée au fournisseur par l'organisation, afin que je puisse discuter avec le responsable fonctionnel et qu'il puisse déterminer s'il est nécessaire de changer quelque chose, plutôt que de se baser sur les indicateurs de performance clés (KPI) et les indicateurs clés de succès (KIS) qui justifient d'une manière ou d'une autre mon programme de cybersécurité.

Mike : Tout à fait. Euh, vous savez, nous allons probablement continuer encore cinq à sept minutes, Melissa Scott, puis nous passerons aux questions à la fin. Encore quelques questions, Eric, puis nous conclurons. Au fait, c'était génial. Dites-moi comment vous évaluez les fournisseurs de solutions. En général, quand vous examinez les choses et tout ce qui concerne la gestion des risques liés aux fournisseurs (TPRM), vous savez où nous avons bien fait et où nous avons mal fait, mais je voudrais savoir comment vous envisagez de les intégrer. Je sais que tout le monde utilise le mot « partenaires », mais comment les intégrer dans votre organisation ? Qu'est-ce qui est important pour vous ?

Eric : Oui, je vais passer sur beaucoup d'aspects commerciaux, car le partenaire n'est généralement pas une start-up, car nous n'avons pas l'appétit pour le risque qui caractérise généralement ce type d'entreprises. Donc, en supposant que le partenaire avec lequel nous travaillons est en fait une entreprise durable, rentable, qui existe depuis plus d'un an, nous pouvons maintenant passer à d'autres choses qui ont du sens. Pour moi, l'un des aspects les plus importants, en particulier dans le domaine des TPR, est la facilité d'utilisation. Je peux imposer une solution médiocre aux membres de mon équipe interne et leur dire simplement qu'il va falloir s'en accommoder, n'est-ce pas ? Les avantages particuliers que nous tirons de ce produit sont vraiment intéressants, même s'il s'agit d'un outil complexe, n'est-ce pas ? C'est ainsi que Cisco a survécu avec le système d'exploitation Catalyst il y a des années, ou que iOS est une interface utilisateur horrible, mais c'était pour les ingénieurs réseau. Il faut juste prendre son mal en patience et continuer à avancer. Mais quand on parle de quelque chose comme le TPRM, où l'on va soumettre des enquêtes à des collègues ou les envoyer à des fournisseurs, ce qui fait que cela fonctionne, c'est quand on obtient des réponses. Donc, si ce n'est pas facile à utiliser et largement intuitif, cela ne durera pas longtemps. C'est donc une dimension qui fait que l'on se dit : « Oui, je veux que ce soit facile à utiliser pour que nous obtenions l'engagement et donc la conformité. Y a-t-il quelque chose que le fournisseur en question a fait pour lancer le processus ? Parce que même si nous sommes tous uniques, il y a beaucoup de questions qui ne sont pas vraiment... Ce n'est peut-être pas la façon dont je poserais la question, ce n'est pas nécessairement la façon dont je la formulerais si j'étais ingénieur logiciel, mais cela n'a pas vraiment d'importance, n'est-ce pas ? Et ces 9 dollars vous permettent d'acheter une tasse de café chez Starbucks.

Eric : Donc, ce n'est qu'une opinion. Y a-t-il des éléments qui nous permettent de démarrer rapidement afin de faire avancer le programme sans avoir à tout repenser et à essayer de le faire avancer ? Dans ce cas particulier, l'une des choses que nous avons examinées était de savoir s'il existait des services complémentaires qui, si nous voulions externaliser un élément du TPR et du programme à quelqu'un comme Prevalent pour le faire en notre nom afin de trouver un fournisseur, nous pourrions alors le faire. Existe-t-il des catalogues de données préexistantes, existe-t-il des possibilités d'externalisation où nous pouvons payer quelqu'un pour intervenir uniquement afin d'assurer l'évolutivité ? Ce sont donc des choses, mais cette simplicité a été l'une des premières qui a été la plus significative pour nous.

Mike : Et je vais... En fait, nous recevons beaucoup de questions, donc je voudrais compléter ce que vous avez dit, mais laissez-moi d'abord mettre cela en place. Je pense que nous devrions faire une pause ici et laisser Scott parler pendant quelques minutes. Que tous ceux qui veulent poser une question le fassent. Mais nous avons déjà cinq questions ici. Donc, je voudrais faire cela, puis nous pourrons rester pour répondre aux questions. Eric, la dernière chose que vous avez dite, c'est que lorsqu'on démarre un programme comme celui-ci, il faut commencer par ramper, puis marcher, puis courir, et je sais que c'est un cliché. Je comprends cela, mais vous savez, nous avons vu toutes ces personnes et nous avons réalisé des centaines de mises en œuvre. Elles disent : « J'ai 500 fournisseurs de niveau ». Je commence par ce qui est consommable. Je construis un programme. C'est une question de mémoire musculaire, mes amis. Surtout avec le programme TPRM, ce n'est pas toujours facile et ce n'est pas toujours intuitif. C'était la comparaison avec les flocons de neige, n'est-ce pas ? Tout le monde pense qu'ils sont différents, mais ce n'est pas nécessairement le cas.

Mike : N'est-ce pas ? Je pense qu'il s'agit encore une fois du principe 80/20. 90 à 85 % de la solution a déjà été trouvée. Déterminez vos 15 % restants au fur et à mesure que vous avancez, et faites-le dans un environnement sûr. Et Eric, encore une fois, dites-moi que je raconte n'importe quoi si vous le souhaitez, mais quelle est votre opinion à ce sujet ?

Eric : Non. Donc, je suis globalement d'accord. Je voudrais juste développer un peu plus l'idée de « ramper, marcher, courir ». Je veux que nos processus commencent par ramper, puis avancent rapidement. Je veux que nos contrôles commencent par ramper. Je n'ai pas besoin que le logiciel commence par ramper.

Eric : N'est-ce pas ? Donc, les différents aspects commencent à différents stades de maturité. Au final , Eric : ou nous pourrions finalement changer certaines choses. à mesure que nous découvrons des choses, mais ce que je ne fais pas vraiment dans la plupart des organisations, ou plutôt, lorsque j'acquiers des technologies ou des plateformes de contrôle des processus, il y a des choses qui rendent Cytokinetics unique par rapport à d'autres sociétés pharmaceutiques, et il y a des choses qui rendent les sociétés pharmaceutiques uniques par rapport à d'autres secteurs, comme la vente au détail, la fabrication, la vente en gros, etc. C'est à la périphérie de ces plateformes, qui sont plus larges que cela. Nous pouvons donc apporter des changements, mais je ne pense pas que nous allons le faire dans les cinq premiers jours d'une technologie, n'est-ce pas ? Nous allons attendre un an, deux ans, et nous dirons : « Oh, vous savez quoi ? Il y a une optimisation qui a du sens pour nous. » Et nous sommes en train de vivre un peu cela en ce moment avec

Eric : dans un monde où la confidentialité est de plus en plus importante, nous allons apporter quelques modifications mineures pour dire que nous devons poser davantage de questions à ce sujet en raison des marchés sur lesquels nous pourrions choisir d'opérer. Mais il s'agit là d'un ajustement. Nous n'avons pas commencé cela dès le premier jour. Nous avons commencé après deux ans d'activité. Vous ne pouvez pas comparer ce que vous n'avez pas. Vous ne savez pas. Et ce n'est pas grave de se tromper. Écoutez, nous faisons cela depuis un certain temps. J'aimerais pouvoir dire que j'ai commis toutes les erreurs possibles. Bon, très bien, passons à Melissa. La question revient-elle à vous ou à Scott ? Je devrais le savoir, mais ce n'est pas le cas.

Melissa : Nous allons passer la parole à Scott. Voyons voir. Waouh, il y a pas mal de questions. C'est parti. Euh, Scott, c'est à toi maintenant.

Scott : Génial. Merci, Melissa. Euh, passez à l'écran suivant. Vous savez, un peu comme ce que nous avons entendu, enfin pas si loin que ça, mais à l'écran précédent ... Scott : Oui, ce que nous avons entendu d'Eric au cours de la conversation d'aujourd'hui, c'est vraiment qu'il s'agit de prendre un ensemble cohérent de décisions fondées sur des faitssur des données factuelles concernant les tiers tout au long du cycle de vie. C'est ce que je retiens de la conversation d'aujourd'hui. Quels sont les critères que vous utilisez pour prendre ces bonnes décisions ou quel type de données utilisez-vous qui correspondent à ce que beaucoup de nos clients nous disent vouloir vraiment obtenir de leur programme de gestion des risques liés aux tiers ? Fournissez-leur les données qui les aident à prendre de bonnes décisions. Aidez-les à accroître l'efficacité de leur équipe et à éliminer les cloisonnements qui séparent les équipes, les services et les outils utilisés pour prendre ces bonnes décisions. Et troisièmement, préparez le programme à évoluer et à s'adapter à mesure que leurs besoins en matière d'évaluation des risques liés aux fournisseurs et prestataires tiers changent au fil du temps. Ces trois éléments correspondent généralement à ce que nous entendons de la part de nos clients et à ce qu'ils souhaitent vivre. Diapositive suivante, s'il vous plaît. Melissa, vous pouvez développer cela une fois de plus. Voilà. Notre approche consiste à vous aider à accomplir ces trois choses à chaque étape du cycle de vie de la gestion des risques liés aux tiers. Nous ne considérons pas le risque uniquement du point de vue de la vérification des fournisseurs et de votre intégration, puis de votre départ. Il s'agit plutôt d'analyser et de remédier aux risques à chaque étape où des problèmes peuvent survenir. Et cela commence par la recherche et la sélection. Vous savez, il s'agit de disposer d'une bonne automatisation et d'une bonne intelligence pour prendre de bonnes décisions fondées sur les risques concernant un nouveau fournisseur ou prestataire potentiel, de la même manière que vous décidez si ce fournisseur ou prestataire convient à votre entreprise ou à vos besoins. Deuxièmement, en matière d'intégration et d'accueil, il s'agit de vous fournir une source unique d'informations fiables sur les profils de risque des fournisseurs, les processus d'intégration, les contrats et les workflows d'accueil, afin que vous puissiez étendre ce concept fondamental de gestion des relations avec les tiers à tous les différents services de l'entreprise qui sont concernés par les risques liés aux tiers, non seulement la sécurité, mais aussi les achats, la gestion des risques, les aspects juridiques, la conformité, etc. Troisièmement, une fois que vous avez sélectionné un fournisseur qui correspond à votre profil de risque et à vos besoins, et que vous savez que vous avez conclu certains contrats et procédé à l'intégration, comment obtenir une première image du risque que ce fournisseur particulier fait peser sur votre environnement afin non seulement de procéder à un triage initial, mais aussi de définir la stratégie d'évaluation continue à partir de ce moment-là. Pour ce faire, nous utilisons des informations basées sur les données afin de calculer un score de risque inhérent. Une fois que l'exercice de hiérarchisation, de profilage et de catégorisation est terminé, nous vous aidons à automatiser le processus de diligence raisonnable et d'évaluation continue de vos tiers dans toute une série de domaines de risque différents : sécurité, infos, cyber, données personnelles, conformité à de multiples réglementations, tant en matière de sécurité que de non-sécuritéliés à la sécurité, à la corruption, à l'ESG, aux finances, etc. Nous consolidons ensuite ces informations dans une source unique et fiable, sous la forme d'un profil unique, afin de vous aider à prendre les bonnes décisions. Vous disposez ainsi d'un registre des risques que vous pouvez utiliser pour prendre les bonnes décisions quant aux mesures à prendre pour remédier aux problèmes qui se situent en dessous d'un seuil de risque, et quant aux mesures à renforcer avec le fournisseur. Cela nous amène à l'étape de surveillance et de validation du cycle de vie. Une fois encore, nous constatons que de nombreuses entreprises utilisent un outil cyber, un outil financier, un outil d'actualités commerciales ou de mise à jour opérationnelle, ou un outil ESG, un outil de réputation, et tout cela produit de bonnes informations, mais il est très rare que tout cela soit harmonisé. Notre spécialité consiste à travailler avec vos solutions existantes ou à fournir nos propres solutions, dans lesquelles nous pouvons harmoniser ces différentes données de risque en une seule solution, afin que tous les membres de l'entreprise aient une vision des données dont ils ont besoin, en fonction des risques qui les concernent. En parlant des risques qui leur importent, nous avons mentionné les KPI et les KIS, mais nous avons également la capacité d'extraire les données KPI et KRI des contrats chargés dans la plateforme et de vous aider à attribuer la propriété et la mesure de ces données tout au long du processus contractuel. Et en parlant de processus contractuel, vous savez que toute relation prend fin à un moment donné, comme l'a dit Neil Sodaka, « rompre est difficile ».

Mike : J'allais dire « D'accord, je connais celle-là. Oui. »

Scott : Euh, mais si vous mettez fin à cette relation commerciale, nous vous fournissons une sorte de liste de contrôle pour vous séparer de ce fournisseur en toute sécurité, afin que vous sachiez que vous clôturez les éléments hors ligne, que vous percevez les derniers paiements et que vous vous assurez que l'accès est correctement résilié. En fin de compte, les trois éléments au bas de l'écran sont ceux que nous vous aidons à réaliser. Accélérez et simplifiez le processus d'intégration grâce à une source unique d'informations et à un processus unique. Rationalisez ce processus pour l'évaluation des risques, le cycle de vie et comblez les lacunes en matière de couverture, puis unifiez ces équipes tout au long du cycle de vie. Slides suivante, s'il vous plaît, Melissa. Euh, et euh, vous savez, nous y parvenons grâce à l'expertise de nos collaborateurs, qui se chargent pour vous du travail fastidieux d'intégration, d'évaluation, de correction et de gestion de toutes les différentes sources de données que nous avons mentionnées précédemment, toutes hébergées sur la plateforme qui automatise le flux de travail, le reporting et l'analyse pour vous aider à contrôler ces actifs tiers. Euh, diapositive suivante, s'il vous plaît, Melissa. Euh, nous traitons plusieurs types de risques différents. J'en ai répertorié six ici, dans des domaines généraux, des domaines couverts par notre plateforme, soit par le biais de questionnaires, soit par une surveillance continue. Mais l'important, c'est que ces informations sont corrélées dans un profil de risque opérationnel unique pour vous aider à prendre de bonnes décisions en matière de risque. Slides suivante, s'il vous plaît, Melissa. C'est ma dernière. Je vous rappelle que notre objectif final est de vous fournir les informations nécessaires pour rendre votre organisation plus intelligente dans son approche de la gestion des risques liés aux tiers. Nous unifions les équipes, les systèmes et les processus, puis nous vous fournissons des conseils prescriptifs pour faire évoluer la relation avec le fournisseur ou la gestion des risques liés à cette relation tout au long du cycle de vie. Voilà notre point de vue.

Melissa : Je te redonne la parole, Mike... Euh, Eric, c'est l'heure des questions.

Melissa : Euh, oui, je vais lancer notre deuxième sondage. Très rapidement. Vous verrez sur votre écran que cela ne fonctionne apparemment pas de mon côté. C'est génial. Euh, donnez-moi deux secondes. Je dois peut-être mettre fin au premier sondage. C'est très capricieux aujourd'hui. Quoi qu'il en soit, je suis curieuse de savoir si vous envisagez de renforcer ou de mettre en place un programme TPRM dans les prochains mois. Soyez honnêtes, s'il vous plaît. C'est quelque chose que nous suivons de près. Vous recevrez un appel ou un e-mail de ma part. Alors, répondez-moi, s'il vous plaît. Mais je veux vraiment savoir si c'est le cas, et si vous n'êtes pas sûrs, dites-le aussi. Mais en attendant, je sais que nous avons quelques questions. Alors Eric, si cela ne te dérange pas, réponds à quelques-unes d'entre elles. Je sais qu'il y en a beaucoup et comme il ne nous reste plus que cinq minutes, veux-tu en choisir une ou deux qui te semblent plus importantes que les autres ?

Eric : Oui, je vais passer en revue toutes les questions. C'était une bonne chose que Scott fasse la présentation, car cela m'a donné le temps de réfléchir aux questions. Tout d'abord, merci pour vos aimables paroles. Je vais répondre à la question de Karen, puis je passerai aux autres. Karen, pour notre part, quoi que vous en pensiez, Prevalent dira que nous intégrons Bitsite à Prevalent. Bitsite fournit donc une sorte de vue extérieure sur la cote de crédit technique. Mais nous utilisons également les capacités VRM de Prevalent pour obtenir une vue d'ensemble des activités d'une organisation externe. Mais Bitside s'intègre bien. Vous pouvez en fait voir les scores Bitside dans le tableau de bord Prevalent. Il y a une intégration dont ils peuvent vous parler plus en détail. Hum, je n'ai pas à répondre à la question du transfert ou du changement d'outils TPRM. Je n'ai pas cette expérience particulière. Je pourrais vous dire comment j'aborderais généralement le problème si un régulateur voulait intervenir et poser des questions ou si un organisme d'inspection voulait poser des questions. Mon approche générale serait la suivante : ce qui régit notre gestion des risques liés aux tiers, ce n'est pas l'outil. Ce qui régit notre gestion des risques liés aux tiers, c'est un ensemble de politiques, de processus, de procédures et de contrôles. Ceux-ci sont pris en charge par un outil. Concentrons-nous donc sur les procédures opérationnelles standard et les contrôles, et automatisons-les d'une manière qui soit significative pour nous en tant qu'entreprise. Voici comment nous gérons les risques. Voici qui est habilité à approuver les risques. Voici qui peut accepter les risques. C'est donc la discussion que j'aurais généralement avec n'importe quel organisme d'inspection s'il s'intéresse autant à un ensemble d'outils particulier. En ce qui concerne la question des registres de risques, nous nous concentrons sur ce point et cela a été soulevé à plusieurs reprises, mais notre approche consiste à surveiller et à gérer les tiers. Il ne s'agit pas de gérer un service. Il ne s'agit pas de gérer un ensemble d'outils. Nous nous intéressons donc aux tiers. Si je dois répondre à la question de savoir si un fournisseur fournit deux services au sein de l'organisation, comment devons-nous envisager cela du point de vue de la gestion des risques ? En général, si une partie de l'organisation gère des données moins sensibles et une autre partie des données plus sensibles, nous les classons simplement au niveau supérieur. Ainsi, si c'est le cas, nous leur attribuons les spécifications opérationnelles les plus sensibles, nous leur attribuons la classification de données la plus sensible et nous les gérons au niveau du fournisseur, et non au niveau du service. Euh, et ensuite, en ce qui concerne les registres des risques, nous avons des niveaux de validation officiels qui sont euh décrits dans une procédure opérationnelle standard. Nous avons donc plusieurs registres des risques euh que nous traitons. L'un concerne le profilage et le tarage, et nous avons ensuite le registre principal dans lequel sont consignés presque tous les risques pré-évalués. Euh, puis notre SOP dicte qui peut approuver ou qui doit approuver et accepter un risque. Euh, et nous effectuons un suivi à travers les actions et les tâches au sein de la plateforme pour euh le faire. Euh, j'espère que cela répond à chacune de ces questions. Je peux fournir plus de détails si les gens le souhaitent, mais je pense que cela vous donne une idée générale.

Melissa : Parfait. Et je crois que j'en ai vu une autre apparaître il y a environ quatre secondes. Euh, vous la voyez ? Les fournisseurs de sociétés non cotées en bourse. En quoi cela modifie-t-il votre DD ? Je ne sais pas si vous souhaitez répondre à cette question.

Eric : Les fournisseurs de sociétés non cotées en bourse. Hum, laissez-moi réfléchir un instant. Je ne connais pas l'acronyme, je ne peux pas le contextualiser, mais je ne peux pas... Je pense que je comprends l'essentiel de la question... Hum, bien sûr, avec les sociétés non cotées en bourse, en fin de compte, nous n'avons pas accès à... Nous n'avons pas accès à tout ce quice qui est accessible au public, mais il y a des choses que vous pouvez rechercher si vous le souhaitez, oh, la diligence raisonnable, merci, j'apprécie, euh, oui, donc une partie de cela est l'évaluation elle-même, n'est-ce pas, donc nous demandons à l'entreprise de certifier, nous ne faisons pas d'inspection, nous ne faisons pas d'audit, donc nous travaillons avec les entreprises et nous leur donnons la possibilité de s'auto-certifier et de parler de ce qu'elles font et de la façon dont nous vérifions. Euh, mais à ce stade, nous les croyons sur parole. Il y aura d'autres clauses contractuelles qui traiteront de l'application. Nous n'en sommes pas encore au stade où nous effectuons des audits et des inspections pour confirmer ce qu'ils essaient de... ce qu'ils essaient de faire. Donc, pour les informations non publiques, nous continuons à adopter la même approche. Nous pouvons demander un certificat d'assurance supplémentaire pour, vous savez, la cyber-responsabilité ou la responsabilité civile générale, afin de nous assurer que tout est en ordre, car nous laissons les compagnies d'assurance effectuer une partie de cette diligence raisonnable pour nous, mais c'est généralement ainsi que nous procédons à l'heure actuelle.

Melissa : Parfait. Eh bien, merci de m'avoir accordé votre temps, Eric. Je sais que vous êtes très occupé, et merci beaucoup à Mike et Scott. Et surtout, merci à tous ceux qui ont posé des questions. Cette session se voulait très interactive, et nous sommes déjà à l'heure pile selon mon horloge. J'ai donc pris l'initiative de saisir mon adresse e-mail au cas où vous auriez des questions. Je sais qu'il existe une adresse [email protected], mais celle-ci est mon adresse directe si vous avez des questions après cela. J'espère vous revoir tous lors d'un prochain webinaire et prenez soin de vous. Merci.

Mike : Merci Eric.

Scott : Prenez soin de vous, les gars.