Webinaire d'experts : le point de vue de deux praticiens sur la gestion des risques liés aux tiers

Ashley : Je m'appelle Ashley et je travaille dans le développement commercial chez Prevalent. Nous sommes aujourd'hui en compagnie d'invités très spéciaux. Samira Downer, responsable de la conformité chez Booking.com. Bonjour Samira.

Samira : Bonjour à tous. Je suis ravie d'être ici.

Ashley : Euh, Bob Wilkinson, PDG de Cyber Marathon Solutions. Comment ça va, Bob ?

Bob : Tout va très bien.

Ashley : Et enfin, notre vice-président du marketing produit, Scott Lang.

Scott : Bonjour Ashley. Juste une petite précision. Ce webinaire est enregistré et nous vous enverrons l'enregistrement ainsi que les diapositives de la présentation peu après le webinaire. Vous êtes tous actuellement en mode silencieux, mais nous apprécions votre participation. Veuillez donc poser vos questions dans notre boîte de questions-réponses et nous y répondrons à la fin du webinaire. Aujourd'hui, Samir, Bob et Scott vont nous faire part de leur point de vue sur la gestion des risques liés aux relations avec les fournisseurs (TPRM). Je vous laisse donc la parole.

Scott : Génial. Merci Ashley. Bonjour à tous, bienvenue. Comme Ashley l'a dit, j'espère que vous avez tous passé un excellent Thanksgiving si vous vivez ici aux États-Unis, que vous vous êtes remis de votre malaise post-dinde ou de votre malaise post-tryptophane, comme on l'appelle, et que vous êtes prêts à vous replonger dans le monde du travail. Comme Ashley l'a dit, nous avons deux invités très spéciaux avec nous aujourd'hui. Et vous savez, le format du webinaire d'aujourd'hui sera un format ouvert de questions-réponses, où nous poserons quelques questions et partagerons différents points de vue sur ces sujets particuliers et sur les risques liés aux tiers. Je pense que ce sera un webinaire animé et intéressant, qui retiendra votre attention et pour lequel il vaudra peut-être la peine de prendre quelques notes. Comme Ashley l'a mentionné, nous vous enverrons cette présentation dans l'enregistrement de ce webinaire demain, afin que vous puissiez y avoir accès et, vous savez, l'écouter à nouveau, la lire et obtenir des informations supplémentaires pour vous aider à développer et à gérer votre programme TPRM. Euh, sur ce, euh, je vais demander à Samira et Bob de se présenter très brièvement, euh, juste pour préparer le terrain pour la discussion d'aujourd'hui et, euh, vous savez, vous donner une raison de prêter attention à ces personnes vraiment intelligentes. Samira, vous commencez.

Samira : Bien sûr. Bonjour à tous. Euh, je suis ravie d'être ici. Je m'appelle Sama D. Je vis à Amsterdam, donc, comme vous pouvez le voir, il fait déjà nuit dehors. Je travaille pour une agence de voyage en ligne, Boogie.com, depuis environ cinq ans et demi. Je dirige le programme de gestion des risques liés aux tiers et de conformité en matière de criminalité financière. Avant de travailler pour une agence de voyages en ligne, j'ai travaillé dans plusieurs cabinets d'avocats où je conseillais de grandes entreprises sur les politiques de conformité et les meilleures pratiques en matière de gestion des risques liés aux tiers. Chez Booking.com, j'ai mis en place le programme de gestion des risques liés aux tiers à partir de zéro, ce qui est vraiment incroyable car cela offre une grande flexibilité dans la conception. Euh, actuellement, je dirige une équipe en pleine croissance, euh, et, euh, oui, pour ceux qui connaissent moins bien Booking.com, euh, nous sommes passés d'une petite start-up néerlandaise à l'une des plus grandes entreprises de commerce électronique au monde et nous investissons essentiellement dans les technologies numériques afin de faciliter les voyages. Nous avons donc commencé par proposer uniquement des hébergements, mais nous nous sommes maintenant étendus à tous les domaines de la planification de voyages, ce qui permet essentiellement à nos clients d'en faire plus sans avoir à passer par plusieurs plateformes ou prestataires de services. Les clients ont également la possibilité de réserver directement sur notre programme des transports terrestres, des locations de voitures, des attractions et des vols. Je suis donc ravi d'être ici et j'ai hâte de participer à cette table ronde très instructive.

Scott : Génial. Eh bien, bienvenue Sam. Euh Bob, à toi.

Bob : Merci Scott. Je m'appelle Bob Wilkinson. J'ai passé plus de temps que je ne peux m'en souvenir dans les services financiers, où j'ai occupé les fonctions de responsable de la sécurité des systèmes d'information, de responsable des risques opérationnels et diverses autres fonctions. Depuis huit ans, je suis consultant indépendant dans le domaine de la sécurité de l'information et des risques opérationnels, et je me concentre principalement sur la gestion des risques liés aux tiers. Je travaille dans ce domaine depuis ses débuts et j'ai hâte de participer à la conversation d'aujourd'hui avec Samira et Scott.

Scott : Génial. Génial. C'est formidable. Bienvenue Bob, bienvenue à vous deux et merci beaucoup de nous donner l'occasion d'avoir cette conversation qui, je pense, sera très instructive pour nos participants. Comme je l'ai mentionné précédemment, le format de la conférence téléphonique d'aujourd'hui consiste à aborder directement certaines questions. Il s'agit de sujets qui reviennent assez souvent dans les conversations avec les professionnels et les praticiens du risque tiers. Nous allons les résumer et vous présenter le point de vue de Samaran Bob sur ces sujets particuliers. Au fur et à mesure que nous avancerons dans la présentation d'aujourd'hui, je tiens à vous rappeler que si vous avez des questions, veuillez les saisir dans la fenêtre Q&A de l'application Zoom. Nous les trierons et les poserons à Samir et Bob au fur et à mesure de notre présentation. Très bien. Passons à la première question du jour. Commençons par une question importante. La réglementation. Il ne manque pas de réglementations dans ce secteur, en particulier en matière de risques liés aux tiers. Et cette dernière année, les régulateurs ont été très actifs avec de nouvelles exigences en matière de rapports sur la cybersécurité de la SEC, des directives interagences du secteur financier américain, plusieurs nouvelles réglementations sur l'IA et, bien sûr, vous savez, de multiples réglementations de type ESG qui émergent en Europe. Je suppose que ma question, Bob,commencerai par vous. Selon vous, quels sont les plus grands défis à relever ? Oups, je crois que j'ai sauté cette question, n'est-ce pas ? À votre avis, à quoi ressemblera le paysage des risques liés aux tiers au cours des 12 à 24 prochains mois ? Je veux dire, quels sont les domaines qui devraient nous préoccuper en tant que praticiens et comment hiérarchiser certains de ces changements qui interviendront au cours des deux prochaines années ?

Bob : Eh bien, Scott, je pense que tout repose sur la mise en œuvre. Je pense que les régulateurs ont été très clairs sur le fait qu'ils s'intéressent à la mise en œuvre et à savoir si vous faites ce que vous dites faire. Comme vous l'avez mentionné, de nombreuses nouvelles réglementations ont été adoptées par différentes agences, et cela ne concerne pas seulement le secteur bancaire et financier. Vous savez, il faut toujours être conscient que dans le domaine de la santé, il existe des réglementations dans d'autres secteurs, mais du point de vue des services financiers, qui couvrent un vaste domaine, l'objectif réglementaire est vraiment de faire ce que vous dites que vous allez faire et d'être en mesure de démontrer que vous le faites. La mise à jour des directives interagences était intéressante, car il y avait de légères différences entre l'OC, la Réserve fédérale et la FDIC et les directives qu'elles proposaient. L'objectif principal de leurs réglementations était de normaliser. Mettons-nous donc tous d'accord et intégrons principalement les FAQ 2020 de l'O CC, qui étaient des directives supplémentaires fournies par l'OC à l'époque. Ce qui intéresse les régulateurs, et qui est parfois en contradiction avec ce que font les banques et les autres sociétés de services financiers, c'est que les régulateurs ne veulent pas voir la conformité. Ils veulent voir la gestion des risques. Et trop souvent, les services financiers se concentrent sur la conformité. Or, la conformité n'est pas nécessairement synonyme de gestion efficace des risques. Je pense donc que c'est vraiment la tendance clé que vous allez observer. Je ne sais pas dans quelle mesure la réglementation aux États-Unis, peut-être en ce qui concerne l'impact environnemental sur les sociétés de services financiers, va évoluer, mais c'est certainement un domaine qui va se développer. D'un point de vue européen, vous allez voir une attention continue portée à la législation environnementale et sociale. Vous savez, dans le prolongement de la diligence raisonnable de la chaîne d'approvisionnement allemande qui est entrée en vigueur en janvier de cette année. Oh, je crois que nous avons perdu Bob.

Scott : Oui, je pense que tu le sais.

Scott : Salut Bob. Salut Bob, on ne t'entend pas, mais toi tu nous entends. Très bien. Bon, on va faire une pause. Bob Simone, je te passe la parole. Donne-moi ton point de vue sur ce que tu observes dans l'Union européenne. Y a-t-il des types de non-conformités ou de risques sur lesquels les régulateurs se concentrent particulièrement ?

Samira : Oui, je pense que Bob a fait une belle transition tout à l'heure. Je m'entends parler.

Samira : Bonjour. Bonjour.

Scott : Oui, on vous comprend. Oui, on vous comprend. Je m'entends me répéter.

Samira : Réessaie.

Scott : On t'entend, Sam ? On peut faire un test ? Oui. Oui. Il y a toujours un écho. Je pense que tout le monde a un écho. Je pense que tout le monde en a un.

Bob : Bob, et toi ? On t'entend ? On t'entend ?

Samira : Samira, essaie encore.

Samira : Bonjour. Bonjour.

Samira : Je pense que je pense Oh, non. Non. Bonjour. Bonjour. Bonjour.

Bob : Je ne t'entends qu'une seule fois.

Scott : D'accord, Bob. Et je pense que.

Samira : C'est possible. Oui, je pense. Oui. Tout va bien.

Scott : Excellent.

Samira : Bon, je vais poursuivre sur la réglementation européenne. Je pense que Bob l'a déjà présentée, mais en effet, du côté de l'UE, nous constatons clairement des avancées autour de la directive sur la diligence raisonnable en matière de durabilité des entreprises. En gros, cette législation exige des entreprises concernées qu'elles fassent preuve de diligence raisonnable et assument leurs responsabilités en matière de droits humains des utilisateurs et de dommages environnementaux tout au long de leurs chaînes de valeur mondiales. Concrètement, cela signifie que tout repose sur la mise en œuvre et, pour les entreprises, cela implique de réfléchir à de nouvelles stratégies d'atténuation des risques en matière de durabilité, ce qui signifie que les programmes TPM ou les entreprises pourraient être tenus d'élaborer et de mettre en œuvre des mesures pour traiter les risques liés à la durabilité dans leurs chaînes d'approvisionnement. Ce qui, dans la pratique, signifie... Bon, je me répète encore une fois.

Scott : Je l'ai réparé.

Samira : Tout va bien.

Scott : Oui. Bien.

Samira : Les entreprises sont donc tenues de respecter des exigences accrues en matière de diligence raisonnable. Je m'entends encore répéter la même chose. Je ne sais pas pourquoi.

Scott : Oui, on dirait que chaque fois que Bob désactive le mode silencieux, on t'entend deux fois. Alors Bob, reste en mode silencieux si tu ne parles pas directement.

Samira : Je crois que Bob vient de partir. Mais je suis ravie de continuer.

Scott : Oui. Bien.

Samira : Donc, pensez à inclure, par exemple, des questions relatives à la durabilité dans vos questionnaires de diligence raisonnable ou à réaliser un audit afin de pouvoir évaluer leur conformité aux normes reconnues, mais aussi à les inclure dans vos obligations contractuelles et dans le code de conduite des fournisseurs. Cela permet de définir clairement les attentes et les exigences en matière de pratiques de durabilité, avec des conséquences en cas de non-respect, par exemple. Vous inclurez celles qui concernent les pratiques de travail équitables, la réduction des déchets, le contrôle des émissions, etc. dans votre code de conduite des fournisseurs et vos obligations contractuelles. C'est donc vraiment du côté pratique, mais je constate également, et ce n'est pas nécessairement le cas uniquement dans l'UE, mais vraiment à l'échelle mondiale, que de plus en plus de sanctions sont imposées en raison des nombreuses turbulences qui agitent le monde actuellement, n'est-ce pas ? Je veux dire, regardez la guerre en Ukraine ou maintenant en Israël. Le principe de « mask force », qui signifie en gros que chaque fois qu'il y a un conflit, davantage de sanctions sont imposées aux individus, aux entités et potentiellement aux régions, ce qui signifie en pratique qu'en tant qu'organisation, vous devez vous assurer que votre chaîne d'approvisionnement et les chaînes d'approvisionnement de vos fournisseurs tiers ne sont pas soumises à la liste croissante des régimes de sanctions. Je pense donc que le plus important, c'est que selon le secteur d'activité et le type de fournisseurs avec lesquels les entreprises travaillent, les réglementations nouvelles et existantes sont soit applicables, soit non applicables. Et il se peut très bien que, en tant qu'entreprise, vous deviez vous pencher sur davantage de réglementations en matière de cybersécurité ou de durabilité, en fonction du type de fournisseurs avec lesquels vous travaillez.

Scott : Oui. Excusez-moi. Je pense que... vous savez, j'allais vous poser une question. Je pense que vous y avez peut-être déjà répondu, mais j'allais vous demander s'il existe une sorte d'équilibre entre le cyberespace et le monde réel en matière d'application de la réglementation. Est-ce que le pendule a légèrement basculé d'une attention particulière portée aux contrôles de cybersécurité par des tiers vers quelque chose qui s'apparente davantage à des contrôles de la chaîne d'approvisionnement, ou à des contrôles de réputation, ou à des contrôles financiers, ce genre de choses ? Pensez-vous qu'il existe un équilibre vers lequel nous nous dirigeons lentement d'un point de vue industriel, où ces éléments vont peut-être finir par s'équilibrer un peu ?

Samira : Je pense que cela dépend vraiment du type d'organisation dont vous faites partie, du type de fournisseurs avec lesquels vous travaillez et des types de réglementations auxquelles vous devez vous conformer. Mais vous savez, ce qui est plus important, c'est que, disons, vous travaillez dans une organisation où 80 % de votre inventaire est constitué de sociétés de logiciels ou de technologies, mais 20 % concerne davantage, disons, des entreprises qui exercent des activités de lobbying. On ne peut pas dire que 80 % du portefeuille est axé sur les logiciels, ce qui signifie qu'on doit donner la priorité aux activités de gestion des risques liés à la cybersécurité par rapport aux 20 % restants, car cela dépend vraiment du type d'organisme de réglementation et de la façon dont il évalue le risque potentiel. Donc, oui, c'est toujours difficile, il n'y a pas vraiment de bonne réponse, c'est toujours difficile à évaluer.

Scott : Oui, oui. Hum, cela nous amène naturellement à la question suivante. Hum, et Samir, celle-ci vous concerne également. Vous savez, l'une des choses que vous devez démontrer aux auditeurs, c'est que vous disposez d'un programme TPRM à un certain niveau qui vous permet d'exercer un certain contrôle sur vos fournisseurs et vos prestataires. Vous établissez des rapports réguliers, etc. Lorsque vous élaborez votre programme, par exemple le programme Booking.com ou d'autres programmes par le passé, quels ont été vos défis et comment les avez-vous relevés ?

Scott : vous savez, en mettant en place une sorte de programme de démarrage durable ici ? Quels ont été les plus grands défis ? Comment les avez-vous surmontés ?

Samira : Oui. Euh, eh bien, oui, en effet, la mise en place d'un programme TPRM durable implique de relever divers défis, n'est-ce pas ? Et euh, pour garantir son efficacité à long terme. Euh, mais je pense que vous savez, l'une des premières choses qui me vient à l'esprit, c'est la complexité et les compétences requises. Je pense que vous savez que la gestion des relations avec les tiers peut être complexe, en particulier pour les organisations qui ont un grand nombre de fournisseurs ou une chaîne d'approvisionnement diversifiée. Soit vous ne savez pas quel niveau d'évaluation des risques ou de diligence raisonnable vous souhaitez leur appliquer, soit vous ne savez même pas où se situent les tiers dans votre organisation, et vous avez peut-être même cinq canaux d'intégration. Cela ne relève pas vraiment d'une fonction centralisée. Vous ne savez donc pas vraiment où se situent ces tiers. Vous devez donc réfléchir à une approche systématique en classant les fournisseurs en fonction des niveaux de risque, en donnant la priorité aux efforts de diligence raisonnable pour les fournisseurs à haut risque, mais aussi, par exemple, en utilisant l'automatisation technologique pour rationaliser les processus et gérer efficacement de grands ensembles de données. Je pense que de nombreuses entreprises sont également confrontées à des contraintes en matière de ressources. Des ressources limitées, notamment en termes de personnel et de technologie, peuvent certainement nuire à l'efficacité de la gestion des risques liés aux tiers. Il est donc toujours bon de tirer parti de la technologie si vous en disposez. Mais ce que je constate souvent, et ce que j'ai constaté par le passé, c'est qu'il faut trouver un équilibre entre l'atténuation des risques et la réalisation des objectifs commerciaux. C'est le cas de la plupart des entreprises.

Samira : pour gagner de l'argent, mais n'oubliez pas que le non-respect des TPRM vous coûtera de l'argent. Il est donc important d'aligner vos objectifs TPRM sur les objectifs généraux de votre entreprise. Réalisez une évaluation des risques qui tienne compte à la fois des risques et des avantages. Assurez-vous que les mesures de gestion des risques n'entravent pas inutilement les opérations commerciales. Réfléchissez bien, d'accord, donnez la priorité aux clients et essayez de trouver un équilibre avec la gestion des risques autant que possible.

Scott : Oui, c'est un excellent point de départ. Cette opposition entre l'impact commercial et la conformité, ou entre l'impact commercial et la durabilité, ou encore entre l'impact commercial et, disons, les bons processus à mettre en place pour mesurer les risques. C'est un excellent point d'équilibre à trouver. Bob, avez-vous constaté la même chose lorsque vous avez mis en place vos programmes TPRM ? Cela correspond-il aux défis auxquels vous avez été confronté ?

Bob : Euh, tu es en mode silencieux en ce moment.

Scott : Toujours en mode silencieux.

Bob : D'accord. Vous m'entendez maintenant ? Désolé.

Scott : Je t'entends maintenant. Voilà.

Bob : D'accord. Oui, j'ai eu un petit problème technique. Mais oui, tout ce que Samira a dit est tout à fait pertinent, en particulier l'équilibre entre les objectifs commerciaux et l'atténuation des risques. J'ajouterais à cela qu'il est important d'avoir un niveau adéquat d'engagement et de soutien de la part de la direction. La manière dont le risque lié au recours à des tiers est communiqué à la direction est pour moi un aspect essentiel. Il faut s'impliquer. Il faut comprendre qui sont les parties prenantes. Et quand je considère les parties prenantes, j'adopte une vision très large. Il ne s'agit pas seulement de la direction immédiate. Il s'agit de la haute direction, des unités commerciales, du conseil d'administration et de toute une liste de parties avec lesquelles il faut coordonner. Le plus important, de mon point de vue, c'est d'être les organisations d'approvisionnement et de tirer parti de l'organisation de gestion des risques d'entreprise qui est présente.

Bob : Cela dit, l'autre aspect sur lequel je me concentrerais est de bien gérer votre inventaire dès le début. Et quand je parle d'inventaire, je ne suis plus très fan du terme « tiers ». Je préfère de loin le terme « chaîne d'approvisionnement », car si vous ne savez pas qui sont vos quatrième et cinquième parties, beaucoup des problèmes qui surviennent dans ce domaine, avec les acteurs malveillants, les piratages et autres, sont le résultat d'une compromission des troisième et quatrième parties. Et si vous ne vous penchez pas sur cette chaîne d'approvisionnement pour identifier les processus métier que vous avez définis comme critiques, ce qui est essentiel, puis que vous ne comprenez pas l'ensemble de la chaîne d'approvisionnement, c'est une chose vraiment importante que vous devez faire dans ce domaine.

Scott : Et je pense que cela nous amène naturellement à la question suivante, Bob. Je vais vous la poser également. Vous savez, cela commence par une sorte d'exercice de profilage et de catégorisation visant à comprendre qui sont vos fournisseurs, puis à les classer dans différentes catégories afin de pouvoir les trier de manière appropriée. Mais quel est le rôle du profilage des risques et comment passe-t-on de là à la gestion des risques ? Comment procédez-vous concrètement ?

Bob : Eh bien, vous devez comprendre ce qui est important pour votre entreprise, et cela varie selon les secteurs. Nous devons donc être très clairs à ce sujet. Trop souvent, dans ces conversations, nous nous concentrons sur les services financiers et les soins de santé. La raison en est que ce sont les secteurs les plus réglementés. Ce sont également les secteurs qui ont tendance à avoir les meilleures pratiques en matière de sécurité en raison de la réglementation. Car sans réglementation, il est parfois difficile de justifier l'allocation des ressources. Mais quand je pense à la criticité, cela se résume généralement à trois choses pour moi. Les informations sensibles, l'accès à mon infrastructure et la gestion par un tiers de certaines de mes fonctions de contrôle interne critiques. Je citerai Octa comme exemple et certaines des choses qui s'y sont passées. Mais si vous utilisez ces définitions de la criticité, cela vous aidera à réduire le nombre de choses sur lesquelles vous devez vous concentrer. Une autre façon de procéder consiste à discuter avec vos informaticiens, c'est-à-dire les personnes responsables de la continuité des activités et de la reprise après sinistre, car ils savent quels sont les fournisseurs critiques dont vous avez besoin pour continuer à fournir vos services commerciaux.

Scott : C'est génial. Samir, est-ce que cela correspond à votre point de vue sur le profilage ? Comment voyez-vous cela de votre point de vue ?

Samira : Oh, au fait, tu es toujours en mode silencieux.

Scott : Je suis en mode silencieux.

Samira : Je faisais juste attention.

Scott : Compris. D'accord.

Samira : Je suis d'accord. En tant que professionnelle de la conformité, je dirais toujours qu'il faut intégrer la conformité comme un domaine de risque à prendre en compte, mais il existe peut-être d'autres domaines plus pertinents pour votre organisation. De manière générale, vous devez vous assurer de gérer les risques liés à la sécurité, à la confidentialité et à la conformité, mais cela dépend du type de tiers avec lesquels vous travaillez et des outils dont vous disposez pour intégrer davantage de domaines de risque dans votre champ d'évaluation. Je pense que vous savez si votre organisation travaille avec 10, 1 000 ou même 10 000 tiers, le problème sera toujours le même, n'est-ce pas ? Vous disposez toujours de ressources limitées, vous devez donc réfléchir à la manière de les déployer le plus efficacement possible. D'une manière générale, je suis convaincu que la gestion des risques liés aux tiers consiste avant tout à utiliser de manière intelligente les ressources limitées de votre entreprise, et que les différentes équipes chargées des risques se concentrent sur les différents tiers et risques qui ont le plus d'impact sur votre organisation, et sur les tactiques qui aideront votre entreprise à être plus proactive dans la gestion des risques liés aux tiers. Hum, vous savez, comment pouvez-vous optimiser votre programme TPM pour prendre de meilleures décisions pour votre entreprise ? Hum, donc oui, je pense que ce sont là des questions clés que vous devez poser à une organisation. Hum, et réfléchissez vraiment à quels sont les fournisseurs qui présentent le plus de risques en matière de conformité, de réglementation et de réputation pour votre entreprise, et en fonction de cela, élaborez un programme de gestion des risques autour de cela. Oui, c'est un excellent point et je pense que ce que vous et Bob avez tous deux souligné, c'est qu'en fin de compte, tout repose sur le concept de résilience ou de continuité opérationnelle, et vous savez que c'est ce que vous devez garantir en tant qu'organisation, mais aussi lorsque vous travaillez avec des fournisseurs et des prestataires tiers, vous devez comprendre leurs processus opérationnels, leur résilience et leur continuité afin de ne pas avoir d'impact en aval sur la prestation de services, la livraison des produits, la disponibilité ou tout autre aspect de ce type. Et cela influence grandement les décisions en matière de profilage. Je pense en tout cas que vous avez tout à fait raison sur ce point. Hum, Bob, je vais revenir là-dessus, car c'est vous qui avez soulevé cette question. Savez-vous à quel point il est important de regarder au-delà de vos tiers ? Si vous y pensez comme à un cercle concentrique, vous avez votre organisation ici, puis vos tiers et vos quatrièmes parties, puis votre chaîne d'approvisionnement étendue et tout le reste, et cela s'étend à l'infini. Comment abordez-vous cela ? Comment considérez-vous votre chaîne d'approvisionnement ou votre paysage de fournisseurs ?

Bob : Eh bien, vous savez, c'est une question fascinante. Euh, tout d'abord, quand vous pensez à vos tiers, comment savez-vous que vous disposez de l'inventaire complet de vos tiers ? Comment savez-vous que toutes vos unités commerciales suivent une pratique commune ? Euh, pour l'intégration. Une façon d'aborder ce problème est de revenir en arrière et de récupérer vos données comptables des deux dernières années. Vous verrez alors tous ceux à qui vous avez versé des paiements, ce qui constituera un très bon point de départ pour comprendre qui sont vos tiers. Mais ensuite, pour comprendre vos quatrièmes et cinquièmes parties, vous pouvez demander contractuellement à tous vos tiers de divulguer les quatrièmes ou cinquièmes parties qu'ils utilisent dans le cadre de la relation. C'est une étape essentielle, tout comme l'inclusion d'une clause stipulant que tout changement concernant les parties ayant accès à des informations sensibles doit faire l'objet d'une notification écrite préalable de la part du tiers. Cela vous aide à comprendre, comme vous l'avez dit Scott, à mesure que vous élargissez ces cercles concentriques. Mais ce qu'il faut retenir dans ce domaine, c'est que la plupart des piratages qui touchent les organisations commencent par des tiers. Et ce que les gens ne comprennent pas vraiment, c'est que beaucoup de ces attaques commencent par des quatrièmes et cinquièmes parties, car tout comme vous faites tous ces efforts dans votre programme tiers pour que vos tiers se protègent correctement et protègent vos informations et vos relations commerciales. Les mauvais acteurs, les acteurs malveillants, savent exactement ce que vous faites. Ils se disent donc : « D'accord, où est-ce ? Où sont les points faibles que je peux attaquer ? » Eh bien, les points faibles sont très souvent ces quatrièmes et cinquièmes parties. Donc, si vous avez une définition de la criticité, de ce qui est vraiment important pour vous, vous pouvez vous concentrer sur ces relations avec les tiers, les quatrièmes et les cinquièmes parties afin de vraiment comprendre quelle est l'exposition potentielle. Et cela nous ramène au point soulevé précédemment par Samira, à savoir que nous disposons de ressources limitées et que nous devons décider de la meilleure façon de les allouer afin d'atténuer les risques les plus importants pour nos entreprises.

Scott : Et Samira, je vais peut-être vous passer la parole aussi. De votre point de vue, avez-vous réussi à exiger de vos tiers qu'ils divulguent leurs propres tiers afin d'avoir une vue d'ensemble de votre chaîne d'approvisionnement ? Je comprends que le contrat dicte le comportement, mais disposez-vous d'autres moyens incitatifs ou dissuasifs pour obtenir ces informations ?

Samira : C'est donc un défi de taille, et ce qui peut aider, et qui aide souvent, c'est que dans vos achats ou votre logiciel de gestion des fournisseurs, vous pouvez souvent demander dans leur profil s'ils souhaitent divulguer cette information ou s'ils travaillent avec d'autres sous-traitants, et ils se sentent alors plus à l'aise pour répondre à cette question lorsqu'elle fait partie de leur profil de risque ou de leur profil dans l'outil de gestion des fournisseurs. Cela pourrait donc être l'un des moyens d'obtenir ces informations, mais c'est toujours difficile et, euh, vous voyez, je vois une question à l'écran sur les risques liés au fait d'ignorer cela, et il y a absolument des risques qui en découlent, euh, du point de vue de la conformité réglementaire, euh, vous savez, si, si, s'il y a des risques liés à cela, alors, euh, si vous ignorez votre chaîne d'approvisionnement étendue, cela peut entraîner une non-conformité, ce qui est tout à fait exact. Et les clients, vous savez, s'il y a une violation ou une attaque, les clients s'adressent à vous en tant qu'organisation et non à votre chaîne d'approvisionnement étendue, et c'est très important.

Scott : Oui.

Bob : Oui. Tu dois avoir la réponse. Tu es toujours responsable du risque, même si tu as mis fin à cette relation. C'est vrai.

Samira : Exactement.

Samira : Mais cela reste un défi pour de nombreuses organisations. Je pense toutefois que l'intégrer à vos obligations contractuelles et l'inscrire dans votre code de conduite des fournisseurs est un très bon point de départ. Surtout si vous avez un organisme de réglementation qui vous surveille, vous pouvez montrer que vous prenez votre programme au sérieux, et je pense que c'est l'un des exercices que vous pouvez faire.

Scott : Oui. Euh, oui, bonne transition vers la question suivante, qui me semble très pertinente pour un système EOS étendu. Et tu sais, Bob, je vais peut-être commencer par toi sur ce sujet. Euh, les fournisseurs de logiciels tiers, tu sais, Bob, tu en as parlé il y a quelques minutes, Samar, tu en as parlé aussi, tu sais, nous avons vu beaucoup de violations de logiciels tiers et quatrièmes parties qui se sont produites au cours des dernières années, qui concernent des noms très connus, que tu connais, qui sont des noms familiers. Plus récemment, cette année, il y a eu la violation Move It, qui a touché des milliers d'organisations. J'ai lu un article publié en début de semaine ou la semaine dernière sur le nombre de milliers d'organisations qui ont été touchées par cette violation du logiciel Move It. Comment gérez-vous cela ? Que se passe-t-il lorsque ce logiciel tiers devient un problème tiers ?

Bob : Eh bien, c'est certainement le cas. Et je pense que c'est probablement l'un des plus gros problèmes que nous ayons rencontrés au cours de l'année dernière. Vous savez, cela remonte à Solar Winds, Log 4J et maintenant, plus récemment, aux compromissions importantes de logiciels tiers qui ont eu un impact considérable sur les organisations. Et franchement, ce n'est pas un sujet sur lequel les gens se sont beaucoup concentrés, ce qui nous amène à l'idée d'avoir une vision globale du fonctionnement de votre organisation et de l'identité réelle de vos parties prenantes. Et l'intérêt de pouvoir contacter vos responsables de la sécurité, vos responsables du renseignement sur les cybermenaces, et en particulier, sur le sujet des logiciels, d'interagir avec vos équipes d'architecture logicielle pour comprendre qui sont les fournisseurs de logiciels tiers essentiels afin de vous assurer que vous disposez d'un bon inventaire et, dans la mesure du possible, de faire correspondre cet inventaire de logiciels tiers à votre inventaire de tiers. La première chose qui se passe lors d'un incident de sécurité, c'est que tout le monde veut savoir si quelqu'un dans votre entreprise utilise ce logiciel tiers. C'est la première question. La deuxième question est de savoir si l'un de nos tiers utilise également ce logiciel, en particulier les tiers qui ont accès à nos données, à notre infrastructure, car c'est ainsi que la faiblesse de ce tiers peut être exploitée par un pirate informatique pour compromettre votre organisation. Je pense donc que, dans un certain sens, il s'agit d'un rappel à l'ordre et d'un signal d'alarme pour les gens, qui ne peuvent pas se contenter de surveiller leurs fournisseurs tiers s'ils ne savent pas où se trouve leur inventaire de logiciels tiers, où il est utilisé dans leur entreprise, et s'ils ne disposent pas d'un processus leur permettant de déterminer facilement où ce logiciel tiers est utilisé, au moins par leurs tiers critiques. Vous avez un vrai problème.

Scott : Tout à fait. Sam, je te redonne la parole. As-tu d'autres réflexions à partager à ce sujet, d'après ton expérience dans ce domaine ?

Samira : Oui, je veux dire, je pense que ce qui me vient à l'esprit, c'est que vous pouvez réfléchir à des moyens d'exiger de vos fournisseurs tiers qu'ils fournissent des rapports transparents sur leur utilisation des logiciels, par exemple les logiciels à quatre parties, afin que vous puissiez régulièrement évaluer oume vient à l'esprit, c'est que vous pouvez réfléchir à des moyens d'exiger de vos fournisseurs tiers qu'ils fournissent des rapports transparents sur leur utilisation des logiciels, par exemple les logiciels à quatre parties, afin que vous puissiez régulièrement évaluer ou contrôler cet aspect de la gestion des risques, ou examiner le type de planification de réponse aux incidents dont disposent les organisations, afin de déterminer clairement quels sont les processus mis en place par ces entreprises, qui sont les parties prenantes impliquées dans ces processus, et quelles sont les règles et responsabilités clairement définies. Cela vous rassure également sur ce qu'ils font en cas de violation, par exemple, et cela est également intégré dans leurs clauses contractuelles, où vous savez que s'ils ne gèrent pas cela efficacement, vous pouvez même dire « d'accord, nous résilierons votre contrat ou imposerons des mesures correctives si vous atteignez ces clauses ».

Scott : Oui. Je veux dire, c'est tellement difficile de simplement dresser un inventaire de base. Vous savez, c'est vous savez quoi,

Bob : Tu sais, Scott, je dirais que Samira a tout à fait raison en ce qui concerne les obligations contractuelles et que le contrat initial devrait mentionner non seulement les quatrièmes parties utilisées, mais aussi tous les logiciels autres que ceux des tiers qu'ils utilisent pour fournir le service. En d'autres termes, tu sais, tout ce concept de ce qu'ils appellent le « sbomb », la nomenclature logicielle, une divulgation détaillée de tous les différents composants logiciels utilisés pour fournir le service à ton organisation, est un très bon moyen d'y parvenir.

Scott : Oui, c'est un excellent point. Excellent point, les amis. Hum, vous savez, la question suivante porte sur... Hum, et nous allons commencer par vous, Samira, car je pense qu'elle tombe à point nommé, et vous savez, c'est en quelque sorte la bonne formule pour évaluer les fournisseurs.

Scott : vous savez, est-ce que c'est en partie une évaluation, est-ce que c'est en partie un suivi, est-ce que c'est les deux, qu'est-ce qui vient en premier, qu'est-ce qui vient en second, vous savez, à quoi ça ressemble pour vous ?

Samira : Oui, je dirais que d'après ce que j'ai pu observer ces dernières années, la gestion des risques liés aux tiers et la diligence raisonnable passent généralement au second plan une fois que le tiers a été intégré. Mais vous savez, la gestion des risques liés aux tiers ne s'arrête pas à l'intégration, ce qui fait que les organisations ne sont tout simplement pas conscientes des risques futurs liés aux tiers, qui, s'ils ne sont pas atténués, peuvent entraîner des problèmes critiques susceptibles d'affecter considérablement la réputation de votre organisation. Et peu importe si les responsabilités se trouvent du côté du tiers, car vous savez qu'en fin de compte, c'est l'entreprise qui engage les tiers qui est tenue responsable par les régulateurs et les clients de ne pas avoir identifié et traité le problème. Je dirais donc sans hésiter qu'un processus TPRM efficace suit un cycle de vie continu pour toutes les relations et comprend différentes phases. Vous devez donc mettre en place des contrôles pour gérer ce risque tout au long du cycle de vie de la gestion des risques liés aux tiers. Euh, euh, mais cela signifie que vous devez également penser à mettre en œuvre plusieurs éléments, n'est-ce pas ? Je dirais donc que vous devez effectuer une surveillance plus fréquente tout au long de la relation avec le tiers, mais chaque pilier de risque individuel effectuera probablement son propre classement des risques pour chaque engagement avec un fournisseur. Et ce niveau de risque guidera ensuite le niveau approprié de surveillance continue du pilier de risque et la fréquence de réévaluation des contrôles. N'est-ce pas ? Je pense donc que le facteur de réussite le plus important est de structurer et de formaliser des activités de surveillance continue en fonction du niveau de risque. Vous savez alors que les tiers classés comme présentant un risque élevé doivent être surveillés de plus près, mais vous devez également réfléchir à un système automatisé qui permettrait aux entreprises de le faire efficacement. Vous pouvez envisager de tirer parti de sources externes. Vous disposez donc de toutes vos évaluations internes, de vos évaluations des risques liés à l'intégration, etc. Tout cela est essentiel, mais il est également important de recueillir des informations à l'extérieur de l'organisation. Pensez donc à tirer parti de sources de données externes telles que les notations de crédit, les listes de sanctions, les médias défavorables ou les vérifications des informations négatives, qui peuvent vous fournir une évaluation complète des risques liés aux tiers, notamment les risques liés à la position politique, les risques de corruption privée ou les mesures coercitives. Tirez donc pleinement parti de cette technologie pour surveiller en temps réel les indicateurs de risque clés. Et bien sûr, il est également très important que vous établissiez des canaux de communication clairs pour traiter rapidement les risques émergents, car vous savez que demain, quelque chose concernant un tiers avec lequel vous travaillez pourrait faire l'objet d'une alerte. Vous devez donc mettre en place un processus afin de pouvoir escalader ces questions et les traiter.

Scott : Euh, oui. Oui, vous savez, nous avons mené une étude. Nous réalisons chaque année une étude indépendante sur la gestion des risques. Prevalent le fait. Et euh, c'est une étude agnostique. Elle ne promeut pas la prévalence ou quoi que ce soit d'autre. C'est juste une étude objective des pratiques sur le marché. Et l'un des éléments les plus intéressants qui a été communiqué dans l'étude de l'année dernière était la prévalence de l'évaluation et du suivi à différentes étapes du cycle de vie. C'était stupéfiant, et cela suivait cette courbe où tout le monde évalue au moment de l'approvisionnement, de la sélection et de l'intégration. Et puis, une fois l'intégration terminée, la baisse est assez spectaculaire. Et les faits montrent que la prochaine fois qu'une évaluation appropriée est effectuée, c'est lorsqu'il y a un événement déclencheur externe, qu'il s'agisse d'une perturbation, d'une violation ou autre. Et tout le monde se dit alors : « Il faut recommencer », puis à intervalles réguliers à des fins de conformité. Je pense que l'idéal serait d'avoir un rythme régulier et harmonieux pour mener cette activité tout au long du cycle de vie. Êtes-vous d'accord avec cela ?

Samira : Oui. Et je pense que ce qui effraie également les organisations, c'est la composante manuelle. C'est pourquoi je pense qu'il est très important de trouver des moyens de tirer parti de la technologie afin de supprimer ce fardeau que représente la composante manuelle. Mais je suis très curieuse de savoir ce que Bob constate dans son organisation à ce sujet.

Bob : Eh bien, je pense qu'il faut commencer à surveiller en permanence dès le jour où vous décidez de contacter un fournisseur jusqu'au jour où vous mettez fin à votre relation avec lui. Donc, au départ, comme l'a mentionné Samira, de nombreuses organisations ont différents piliers qui effectuent des évaluations avant que vous puissiez intégrer efficacement le fournisseur. C'est à la fois une bénédiction et une malédiction, car l'un des plus gros problèmes que je vois, c'est que je pense que nous avons encore perdu Bob.

Scott : Bob, tu dois être en train de diffuser depuis l'Antarctique sans.

Bob : Je t'entends maintenant.

Scott : Tu m'entends maintenant ?

Bob : Je t'entends maintenant.

Scott : D'accord. Je ne sais pas ce qui s'est passé là-bas, Scott. C'était bizarre. Quoi qu'il en soit, ce que je voulais dire, c'est que vous surveillez dès le premier jour. Vous surveillez tout au long du cycle de vie et vous devez vraiment, vraiment vous assurer que vous surveillez en permanence toutes les relations critiques, dans tous les domaines liés aux risques. Il ne s'agit donc pas seulement de sécurité, ni seulement de continuité des activités, mais aussi de finances, de pratiques opérationnelles, de conformité, d'ESG. Vous devez avoir une vision holistique et cela doit être continu si vous voulez gérer efficacement les risques. L'autre élément qui va de pair avec cela est l'intégration initiale avec tous les différents piliers qui examinent les risques, ce qui ralentit l'ensemble du processus d'intégration. Une façon de prendre une longueur d'avance est de commencer votre surveillance continue dès que vous décidez de travailler avec un fournisseur. Voyez ce que vous pouvez apprendre sur ce fournisseur à l'aide des outils et des processus que vous utilisez avant même d'établir la relation, car cela pourrait vous donner de très bonnes informations et vous suggérer plusieurs points à aborder contractuellement avant d'aller de l'avant.

Scott : Très bonne remarque. Continuons notre conversation. Je vais aborder le sujet qui fâche. La question à un million de dollars du jour. À qui incombe la gestion des risques liés aux tiers ? Vous savez, j'ai mentionné cette étude que nous réalisons chaque année, au printemps, et dont les résultats indiquent que la sécurité est invariablement responsable de la majeure partie du processus d'évaluation, mais que c'est le service des achats qui gère les relations. Ce n'est pas très clair, vous savez, et je peux imaginer quelques désaccords au sein de l'organisation quant aux priorités et autres. Je vais commencer par Samira. Que pensez-vous de cela ? À qui revient cette responsabilité ? Je pense que nous avons peut-être répondu à cette question dans la diapositive, mais j'aimerais connaître votre opinion à ce sujet.

Samira : Oui. Je veux dire, je pense que c'est toujours un sujet très controversé et je ne pense pas qu'il y ait une seule bonne réponse à cette question, mais ce que je crois, c'est que la place de la gestion des risques liés aux tiers au sein d'une organisation peut varier, et que l'emplacement optimal dépend souvent des priorités de la structure organisationnelle et du cadre de gestion des risques, et cela peut certainement relever de différents départements, chacun apportant, je dirais, sa perspective et son expertise uniques, donc vous savez, l'une des questions fondamentales que les organisations peuvent se poser est la suivante : qui a une visibilité sur la gestion des risques liés aux tiers, dont le nom figure sur le contrat, s'agit-il d'un risque commercial ? Et je pense que, selon l'endroit où vous placez la gestion des risques liés aux tiers, il y a des avantages et des inconvénients. Vous pouvez réfléchir, par exemple, au service juridique et à la conformité. Vous aurez peut-être davantage une approche TPM qui sera davantage axée sur le respect de la réglementation, les obligations contractuelles et les risques juridiques associés aux tiers. Mais l'inconvénient est que cela pourrait ne pas répondre entièrement aux risques opérationnels ou stratégiques et vous pourriez passer à côté du contexte plus large de la gestion des risques. Ce que vous pouvez faire, c'est placer l'UKM sous la rubrique « achats », qui met l'accent sur les aspects opérationnels et stratégiques des relations avec les tiers. Vous devez également tenir compte de facteurs tels que la performance, la fiabilité et le coût, mais vous risquez alors de sous-estimer les risques non opérationnels ou la conformité en matière de cybersécurité s'ils ne sont pas correctement intégrés. Mais je dirais que, d'après mon expérience, mon conseil serait toujours de privilégier une responsabilité partagée, c'est-à-dire une approche transversale, où les responsabilités en matière de TPR sont réparties entre plusieurs fonctions et où une approche holistique est adoptée, qui tient compte des différentes dimensions du risque. Je pense donc que la coordination et la communication sont essentielles. Et mettre en place une gouvernance efficace autour de cela. Je pense que, quelle que soit la décision prise par l'organisation, il est essentiel de définir clairement les rôles et les responsabilités. Et de mettre en place une gouvernance efficace autour de cela.

Scott : En effet. Oui. Bob Bob, tu penses la même chose ?

Bob : Euh, je suis tout à fait d'accord. Je pense qu'il est important que la personne qui a une vue d'ensemble des relations avec les fournisseurs soit celle qui occupe le poste le plus logique au sein de l'organisation, et cela varie d'une organisation à l'autre. Il peut s'agir du service des achats, du PDG, du service juridique, du service de conformité ou du service de sécurité, mais la personne qui a vraiment la vision et la compréhension les plus globales de l'ensemble de la relation, où qu'elle se trouve, est la mieux placée pour s'en occuper.

Bob : Vous savez, je constate que cela se produit de plus en plus souvent dans les organisations chargées des achats et de l'approvisionnement, mais elles doivent tenir compte de tous les facteurs mentionnés par Samira. C'est pourquoi il est important de comprendre vos parties prenantes et d'avoir une vision globale de qui elles sont. Quand je pense aux parties prenantes en matière de sécurité de l'information, je pense au domaine juridique. Je pense à la conformité. Je pense à la vie privée. Et vous savez, en fin de compte, qui est responsable de la relation ? Eh bien, la personne responsable est celle dont le nom figure sur le contrat. En fin de compte, c'est elle qui a la responsabilité ultime. Et même si elle peut externaliser certaines fonctions, elle ne peut pas externaliser sa responsabilité ou son obligation de rendre compte de la relation.

Scott : Oui, oui. Excellente perspective. Et, vous savez, j'adore ce concept d'équipe interfonctionnelle, Samir, que vous avez mentionné, comme vous le savez, et Bob, pour en quelque sorte fusionner votre approche afin d'avoir un président de ce comité dont le nom figure sur le contrat, de sorte que tout le monde mette la main à la pâte et puisse orienter la direction du domaine.

Bob : Il n'y a qu'une seule personne qui pousse cette charrue, et c'est celle dont le nom figure sur le contrat.

Scott : C'est exact.

Scott : Euh, vous savez, juste quelques questions supplémentaires ici, euh, alors que nous approchons de la fin. L'heure prévue dans notre temps alloué. Tu sais, jouons un peu à être reine ou roi d'un jour. Et tu sais, si on te donnait carte blanche pour créer un programme TPRM à partir de zéro, tu aurais un curseur clignotant, un document Word vierge, un tableur vide, tu vois ce que je veux dire ? OK, Samira. OK, Bob, quelles sont les trois choses que tu ferais immédiatement ?

Scott : Sam, nous allons commencer par toi.

Samira : Oui, je peux commencer. Eh bien, la première chose qui me vient à l'esprit, c'est que tu dois le faire.

Samira : moi aussi.

Scott : Oui, vas-y Sam. Tu es prêt.

Samira : Définissez votre vision et votre stratégie dès le début lorsque vous élaborez votre programme TPM. Réfléchissez à votre objectif principal et travaillez dans ce sens. Si votre objectif est de mettre en place un cadre intégré et coordonné pour gérer efficacement les risques et prévenir ou atténuer les conséquences négatives telles que les pertes financières, l'atteinte à la réputation ou les poursuites judiciaires. Assurez-vous d'intégrer ces points de contrôle. Est-ce que vous le faites réellement ? Ce que je fais est-il vraiment nécessaire ? Mais, vous vous demandez, vous avez une feuille blanche et vous vous demandez quelles sont les trois priorités qui vous viennent à l'esprit ? Je commencerais toujours par la gouvernance. Et la gouvernance, c'est assez vaste, n'est-ce pas ? Mais je pense à des rôles et des responsabilités clairs. Euh, vous savez, construisez votre argumentaire pour obtenir l'adhésion de la direction, car comme je l'ai dit tout à l'heure, vous savez, qui fait le travail et où créez-vous la responsabilité, et vous savez, l'entreprise est là pour gagner de l'argent et vous savez, pour signer autant de contrats que possible. Il doit donc y avoir un avantage pour l'entreprise. Je pense que vous avez certainement besoin d'un certain soutien, mais pensez également à créer des groupes de travail et des comités afin de mettre en œuvre votre programme. Je pense que c'est très important. Quel est votre modèle opérationnel ? Comment définissez-vous votre capacité TPM ? Et comment interagira-t-elle avec vos parties prenantes ? Vous pouvez vous demander si vous voulez un programme centralisé, décentralisé ou hybride. Je pense qu'il est essentiel de définir tout cela en premier lieu, puis de définir votre champ d'application et de comprendre le paysage de vos fournisseurs. Euh, parce que vous savez, nous en avons beaucoup parlé au cours de cette heure, vous savez que votre paysage de fournisseurs est absolument important à connaître afin de définir, euh, vous savez, quels sont les risques pour votre organisation, euh, vous savez, qui peuvent découler de vos relations avec des tiers, euh, et qui, vous le savez, aident également à l'allocation des ressources pour vos efforts de gestion des risques, parce que vous ne pouvez pas tout faire, euh, et troisièmement, je dirais, vous savez, pensez à ce que vous avez déjà, pouvez-vous tirer parti de quelque chose que vous connaissez, est-ce que vous savez ce quifonctionne et ce qui ne fonctionne pas, et de construire un programme autour de cela. Vous pouvez peut-être envisager d'utiliser des outils ou des processus existants pour assurer une intégration transparente au sein de l'organisation. Parfois, cela facilite l'intégration de ces éléments dans les tâches quotidiennes des parties prenantes, ou cela évite les processus cloisonnés, et cela améliore fondamentalement la collaboration au sein du département. Voilà donc les trois choses par lesquelles je commencerais.

Scott : C'est génial. Bob, comment cela s'inscrit-il dans vos trois priorités ?

Bob : Euh, il y a clairement un chevauchement. Hum, la gouvernance est un facteur important dont vous devez tenir compte. Vous devez comprendre quelle est la portée de votre programme. Savez-vous ce que vous allez examiner ? Où allez-vous concentrer vos efforts ? Au début, vous disposerez de ressources limitées. Il est important de réfléchir à la technologie et à l'automatisation en raison du volume de données que vous pourriez avoir à traiter de manière continue. De nombreux processus ne suffiront pas. L'automatisation est donc un aspect important dont vous devez tenir compte. Mais si vous envisagez l'automatisation et les outils, vous devez vous assurer de bien comprendre comment ils s'intégreront dans vos processus opérationnels existants. Si vous n'y avez pas réfléchi, vos outils et vos logiciels finiront au fond d'un tiroir. Ils ne seront pas utilisés efficacement. L'autre chose que je ferais, c'est commencer à établir des rapports de gestion dès le début du programme. Et j'utiliserais un cadre très simple pour cela. Un rapport de quatre pages. Page un, ce que j'ai fait au cours de la dernière période de reporting. Page suivante, ce que je vais faire. Troisièmement, les obstacles à ma réussite. La direction. Voici ce que vous devez faire pour m'aider. Car c'est l'engagement de la direction qui va créer le mouvement et vous empêcher de vous retrouver dans ce que j'appelle « démarré mais bloqué ». Vous avez donc besoin de cet engagement. Et enfin, de quoi devez-vous informer votre direction ?

Bob : Si vous faites ce rapport, il sera difficile pour les gens de s'enfuir. Vous pourriez dire : « Que puis-je rapporter au début ? Tout ce que vous rapportez, ce sont des zéros. » Eh bien, vous savez quoi ? Cela envoie un message. Je ne fais aucun progrès. Et si la direction examine cela et ne fait rien, eh bien, c'est le moment de commencer à chercher un autre emploi, car vous n'obtiendrez jamais le soutien nécessaire pour accomplir votre travail dans cet endroit.

Scott : Oui.

Bob : Cela responsabilise tout le monde, y compris votre direction, et je pense que c'est vraiment important car il y a beaucoup de travail à faire.

Scott : Absolument. C'est l'art de gérer ses supérieurs.

Bob : Exactement.

Scott : C'est exact.

Bob : Et c'est un domaine où, si vous ne gérez pas bien vos relations avec vos supérieurs, vous allez avoir des problèmes. Vous ne pourrez pas atteindre vos objectifs. C'est aussi simple que cela.

Scott : Oui, oui. J'ai une dernière question à vous poser à tous les deux. Selon vous, quelles sont les plus grosses erreurs que commettent généralement les organisations en matière de risques liés aux tiers ? Que négligent-elles et comment peuvent-elles y remédier ? Je pense que c'est une bonne question qui fait suite à la précédente, où nous avons parlé de vos trois priorités, mais qui offre une perspective différente. Quelles sont les trois erreurs commises par les organisations et comment les résoudriez-vous ? Bob, je vais commencer par vous.

Bob : Euh, la conformité par rapport au risque est toujours la priorité numéro un.

Scott : Oui.

Bob : Donc, vous savez, si vous mettez en œuvre votre programme uniquement pour vous conformer à certaines directives ou réglementations, c'est une perte de temps. Trop souvent, les gens disent : « J'ai fait mon évaluation des risques, mon travail est terminé. » Or, l'évaluation des risques est une condition préalable au véritable travail, qui consiste à remédier aux problèmes identifiés, car c'est seulement ainsi que vous réduisez réellement les risques.

Bob : La deuxième chose dont je voudrais parler est ce que j'appelle la croissance effrénée du nombre de tiers utilisés par les entreprises. Trop souvent, les entreprises ne prennent pas le temps de se demander : « Avons-nous déjà un tiers qui fournit ce service ? » Dans ce processus, le moyen le plus simple de réduire les risques et votre budget consiste à limiter le nombre de fournisseurs auxquels vous autorisez l'accès à vos informations et à vos réseaux. C'est aussi simple que cela. Car si vous autorisez sans cesse l'ajout de nouveaux tiers, vous ne faites que vous créer du travail supplémentaire, vous n'aidez pas votre entreprise et vous augmentez considérablement votre profil de risque. Ce sont là les aspects sur lesquels je me concentre.

Scott : Oui, Sam, est-ce que cela correspond également à tes préoccupations ?

Samira : Oui. Non, je suis tout à fait d'accord. Euh, vous savez, je vois beaucoup d'organisations qui se demandent quel niveau d'évaluation des risques et de diligence raisonnable elles doivent appliquer, vous savez, en effectuant une diligence raisonnable approfondie sur une entreprise de nettoyage. C'est quelque chose que j'ai observé et qui, à mon avis, ne permet pas d'utiliser au mieux les ressources. Mais peut-être aussi, d'un point de vue légèrement différent, l'un des défis que j'ai observés est que les entreprises, souvent, et peut-être dans tous les secteurs, manquent d'une certaine standardisation. Il est donc assez difficile pour les entreprises d'évaluer leurs efforts en matière de TPR et de partager les meilleures pratiques. Je pense donc qu'il est toujours bon de se réunir avec ses pairs pour comprendre ce que chacun fait et évaluer ses processus. Je pense que c'est très important et que tout le monde devrait s'y intéresser pour gagner en efficacité, car beaucoup d'entreprises savent qu'elles peuvent faire mieux ou agir de manière plus efficace ou plus efficiente. Oui, tout à fait, je suis tout à fait d'accord avec ce que dit Bob. C'est exactement ce que j'ai constaté ces dernières années.

Scott : Génial. Super équipe. Bon, nous arrivons bientôt à la fin de notre temps ensemble aujourd'hui. Mais je voudrais m'assurer que nous prenions le temps de répondre aux questions. Euh, en fait, je ne sais pas si vous voulez trier quelques questions ici euh et poser quelques-unes de celles que nous avons accumulées euh euh pendant que vous faites cela, je vais juste mettre une seule diapositive et parcourir un peu ici comment la prévalence peut aider. Donc, juste un aperçu très rapide. Vous savez, ce que nous faisons du point de vue de la gestion des risques liés aux tiers, c'est vous aider à fournir les informations, l'automatisation et, en fin de compte, le retour sur investissement et les résultats dont vous avez besoin pour démontrer le succès des tiers tout au long du cycle de vie de la gestion des risques liés aux tiers. Et nous le faisons grâce à notre expertise, grâce aux données dont nous disposons sur notre plateforme, grâce aux évaluations et aux contributions réalisées, ainsi qu'aux automatisations et aux flux de travail intégrés à notre plateforme. Bon, en fait, je vais vous renvoyer la balle. Je sais que nous sommes à l'heure pile. Je ne sais pas si nous pouvons caser des questions ici, à l'heure pile.

Ashley : Oui, bien sûr. Euh, j'ai lancé notre deuxième sondage pendant que vous parliez. Scott, nous voulons simplement savoir si vous êtes intéressés par l'amélioration ou la mise en place d'un programme TPRM dans les prochains mois. Et soyez honnêtes, car nous ferons un suivi avec vous. Mais oui, passons à quelques-unes de ces questions. Quelqu'un a demandé : « Recommandez-vous d'utiliser une technologie d'alerte ou de surveillance pour vos tiers ? »

Samira : Euh, je veux dire, je suis plus qu'heureuse de répondre à cette question, du moins du point de vue de la conformité. Euh, oui. Euh, mais cela dépend aussi du type de surveillance ou de surveillance continue que l'organisation souhaite mettre en place, je pense. Je veux dire, l'une des exigences de base ou minimales, vous savez, c'est que vous devez toujours effectuer un contrôle des sanctions de vos tiers de manière continue, vous savez, et si, euh, s'ils figurent sur la liste des sanctions, vous savez, vous recevez une alerte ou vous vous assurez de ne pas payer ou de ne pas passer de contrat avec une personne sanctionnée dans une juridiction restreinte, par exemple. Je pense que ce sont là les exigences minimales que vous devez inclure dans votre programme. Mais vous pouvez toujours adopter une approche fondée sur le risque et dire : « Je travaille avec des parties qui présentent un risque plus élevé en matière de corruption. Je souhaite donc effectuer un contrôle plus approfondi de ces tiers. Je ne pense pas nécessairement que cela doive passer par une surveillance continue. Je pense que vous pouvez décider de procéder à un contrôle annuel ou semestriel et à une diligence raisonnable approfondie sur ces tiers, ou de les contrôler par rapport aux listes de personnes politiquement exposées afin d'atténuer ces risques. Merci, Sam. Et puis Bob, une dernière question. Comment géreriez-vous les fournisseurs tiers qui sont influencés politiquement ?

Bob : Je ne suis pas sûr de comprendre le contexte de « influencé politiquement ». Je ne sais pas si quelqu'un peut m'expliquer cela plus en détail. C'est une expression étrange. Euh...

Ashley : nous allons leur laisser le temps de développer dans le chat et passer à un Oui,

Ashley : question.

Ashley : Euh, avez-vous trouvé un bon moyen de suivre et d'utiliser le SBOM pour l'analyse des risques et le suivi ?

Bob : Hum, je pense que c'est quelque chose qui préoccupe beaucoup de gens en ce moment. Je n'ai moi-même encore vu personne le faire particulièrement bien, mais c'est un domaine émergent. Il faut s'en occuper. Je pense que c'est l'un des plus grands risques que nous ne traitons pas correctement. Il est donc important de comprendre les logiciels, les interfaces API, tout ce que les gens peuvent utiliser, mais je n'ai pas encore trouvé de bonne façon de le faire. Ma première idée est de toujours se concentrer sur les contrats, et si vous pouvez l'inclure dans le contrat, c'est la meilleure façon de commencer.

Ashley : Excellent. Merci, Bob. Malheureusement, nous sommes arrivés à la fin de l'heure. Merci à Samira, Bob, Scott et à tous les participants pour toutes vos questions. Elles nous ont apporté beaucoup d'informations intéressantes aujourd'hui. J'espère vous revoir tous dans votre boîte mail ou lors d'un prochain webinaire.