Description
Travailler avec un nombre infini de cadres de conformité et de réglementations pour la gestion des risques liés aux tiers dans plusieurs zones géographiques peut être un véritable cauchemar. Comment gérer efficacement les risques liés aux tiers tout en restant conforme et sécurisé, sans perdre tout ce temps et cet argent en audits et en rapports ?
Dans ce webinaire, Bryan Littlefair, PDG de Cambridge Cyber Advisers et ancien directeur mondial de la sécurité informatique chez Vodafone Group et Aviva, examinera les réglementations les plus importantes en matière de gestion des risques liés aux tiers auxquelles vous devez prêter attention, ainsi que la direction à prendre pour en tirer le meilleur parti.
Bryan abordera les thèmes suivants :
- Exigences clés pour assurer la conformité en matière de gestion des risques liés aux tiers
- L'impact transfrontalier sur la confidentialité des données dans le RGPD, le CCPA et le NIST
- Comment combiner les exigences des réglementations les plus importantes afin d'éviter les maux de tête et de réduire le temps nécessaire pour rendre compte de la conformité
Inscrivez-vous à ce webinaire pour découvrir les réglementations en matière de gestion des risques liés aux tiers sur lesquelles vous et votre organisation devez vous concentrer, ainsi que la manière de les gérer.
Vous souhaitez savoir comment Prevalent peut vous aider ? Demandez une démonstration et un appel stratégique pour discuter de votre projet avec l'un de nos experts.
Intervenants
Bryan LittlefairCampbell
PDG de Cambridge Cyber Advisers et ancien RSSI mondial du groupe Vodafone et d'Aviva
Transcription
Amy : Bonjour à tous, nous sommes en direct. Bienvenue à tous. Pendant que vous vous installez pour le webinaire d'aujourd'hui, je vais vous poser une petite question. Si vous avez déjà participé à nos webinaires, vous savez que nous en posons généralement deux. La première question, pendant que vous attendez, est la suivante : qu'est-ce qui vous a incité à participer à notre webinaire aujourd'hui ? Peut-être est-ce purement par intérêt éducatif. Peut-être avez-vous un projet de gestion des risques tiers à venir et avez-vous des questions et souhaitez-vous entendre l'avis d'experts. Peut-être n'êtes-vous pas sûr de votre situation. Mais si vous souhaitez en savoir plus sur la conformité mondiale et les exigences, vous devriez rester avec nous. Ou peut-être êtes-vous déjà un client de Prevalent. Dans tous les cas, merci de vous joindre à nous. Prenez un moment pour répondre. Je vais passer en revue quelques points d'ordre administratif, puis je vous présenterai notre animateur. Vous verrez donc que Brian Littlefair animera la majeure partie de notre webinaire d'aujourd'hui, intitulé « Quelles exigences de conformité mondiale utiliser pour la gestion des risques liés aux tiers et comment ? ». Brian Littlefair est le PDG de Cambridge Cyber Advisors et ancien CISO mondial du groupe Vodafone et d'Aviva. Merci de vous joindre à nous. Brian, j'espère que vous passez une bonne journée jusqu'à présent.
Amy : Et voici un autre charmant monsieur, Scott Lang. Il est vice-président du marketing produit chez Prevalent. Vous en saurez plus à son sujet vers la fin de la présentation. Comme tout le monde le sait, nous souhaitons vraiment que cette présentation soit interactive. Vous êtes donc en mode silencieux et vos caméras sont éteintes, mais n'hésitez pas à nous poser vos questions à l'aide de la fonction Q&A en bas du webinaire ou de la fonction chat. Sachez que nous aurons un temps réservé aux questions à la fin. Si vous avez des questions, n'hésitez pas à me les envoyer. Je me chargerai de les transmettre à ces charmants messieurs. De plus, cette session est enregistrée, donc si vous devez partir et ne pouvez pas rester jusqu'à la fin, elle vous sera envoyée dans votre boîte mail demain matin à la première heure. Très bien, je pense n'avoir rien oublié, je vous laisse donc la parole, Brian. J'espère que vous passez une excellente journée. Vous aussi, Scott. Et merci à tous d'être présents.
Brian Littlefair : Super. Merci, Amy. Bonjour à tous. Je suis ravi de pouvoir m'adresser à nouveau à vous. J'espère que certains d'entre vous ont participé aux précédents webinaires que j'ai organisés. Je pense que celui-ci est vraiment intéressant car, comme vous le savez, la conformité ne va faire que s'accroître pour nous tous à l'échelle mondiale et je pense que vous savez que c'est quelque chose avec lequel nous devons nous familiariser. Nous savons tous à quel point la gestion de la chaîne d'approvisionnement peut être complexe, et lorsque vous ajoutez la conformité et la réglementation à la chaîne d'approvisionnement, cela devient un défi de plus en plus difficile à relever.allons essayer d'y voir un peu plus clair aujourd'hui et je vais vous faire part de mon expérience, des défis auxquels j'ai été confronté et de certaines choses que j'ai observées en consultant mes clients. Nous avons déjà fait les présentations, c'est parfait. Nous allons donc passer directement au vif du sujet. Comme je l'ai dit, je pense que la conformité ne peut aller que dans une seule direction. Vous savez, ces dernières années, je pense que les exigences mondiales en matière de conformité ont considérablement augmenté. Je conseille certaines grandes multinationales ainsi que des entreprises plus petites. Mais vous savez, si vous êtes une grande multinationale opérant dans plusieurs juridictions à travers le monde, vous allez devoir vous conformer à de nombreuses exigences réglementaires et de conformité, et cela ne va faire qu'augmenter. Cela ne va pas diminuer. Il y a quelques années, les équipes de sécurité, à mon avis, lorsqu'elles effectuaient des contrôles d'assurance de la chaîne d'approvisionnement, cochaient quelques cases, vérifiaient quelques politiques, obtenaient des données probantes pour s'assurer que les entreprises faisaient bien ce qu'elles disaient faire dans leurs politiques, et effectuaient quelques vérifications de base sur les propriétaires de l'entreprise et tous ces aspects. Aujourd'hui, je pense que nous devons mettre en place un processus très complexe. Il doit être quasi instantané. Nous devons nous éloigner du monde des feuilles de calcul et de Microsoft Excel. Excel a certainement un rôle à jouer dans le monde des affaires, mais à mon avis, ce n'est certainement pas dans le domaine de l'assurance par des tiers. Nous devons nous plonger dans les données.
Brian Littlefair : Nous devons être capables de le manipuler d'une manière qui n'est pas possible avec un tableur. Pour de nombreuses organisations, je pense que l'empreinte des fournisseurs est énorme et qu'elle ne cesse de croître. Vous savez, 1 000, 2 000, 4 000, 5 000 fournisseurs dans leur empreinte fournisseurs. Et vous savez que cela peut être assez intimidant de devoir les classer dans les niveaux classiques et comprendre où concentrer ce qui sera un niveau très limité de capacité budgétaire en ressources au sein de votre organisation pour atteindre cette panacée en or que tout le monde vise et comprendre de manière holistique le profil de risque que votre chaîne d'approvisionnement présente à l'organisation mère. Mais je vois encore beaucoup de gens utiliser des tableurs. C'est quelque chose que je vois assez fréquemment. Lorsque nous intervenons et que nous discutons de tiers et d'autres choses, le redoutable Microsoft Excel fait son apparition, avec plusieurs milliers de lignes et plusieurs centaines de colonnes, qui servent à résumer les informations recueillies dans le questionnaire annuel qui est distribué, et je pense quec'est en partie pour cela que nous sommes soumis à de nombreuses réglementations et exigences de conformité. Vous savez, la réglementation veut que nous intensifiions nos efforts, elle veut que nous renforcions la sécurité de nos organisations, et c'est pourquoi elle nous impose des règles. Elle nous dit que nous devons faire les choses de cette manière. Elle veut que nous soyons meilleurs. Elle veut que nous améliorions notre façon de faire. Je pense donc que nous devons développer cette capacité en interne. Nous devons accepter que nous devons prendre les devants dans ce domaine. Et je pense que nous devons tous comprendre pleinement la chaîne d'approvisionnement, mais nous devons la comprendre au quotidien, et pas seulement à travers un questionnaire annuel. Donc, d'après ce que je constate actuellement chez mes clients et les clients que je conseille, je pense que le changement le plus fondamental que j'ai observé au cours de la dernière décennie est le partage des meilleures pratiques et des connaissances entre les régulateurs. Auparavant, ils étaient très cloisonnés. Lorsque je dirigeais de grandes multinationales, ils ne communiquaient tout simplement pas entre eux. Il n'existait aucune relation intergouvernementale facilitant la communication et le partage d'informations entre les régulateurs sur la manière dont ils allaient réglementer leurs marchés individuels.
Brian Littlefair : Mais aujourd'hui, nous constatons qu'ils partagent leurs connaissances. Ils collaborent à l'échelle mondiale. Les plus expérimentés envoient leurs équipes dans les pays en développement dans ce domaine pour les conseiller et leur faire part de leurs meilleures pratiques. Vous savez, c'est ce que nous avons appris au cours de notre parcours. Voici comment nous vous recommandons d'aborder la question. Voici ce que nous vous recommandons de rechercher. Voici les résultats de nos tests. Toutes ces informations sont donc partagées. Et je pense que cela ne peut être que positif. Je pense que les organisations sont confrontées à cette vague de nouvelles réglementations alors qu'elles ne comprennent pas vraiment toutes leurs données. Et j'insiste un peu sur le « toutes », car souvent, lorsque je me rends dans des organisations, elles me disent : « Oh, nous avons toutes ces données structurées ». Mais ensuite, il y a ce qu'ils appellent les données non structurées, que personne n'ose toucher parce qu'elles sont trop complexes. Ils ne les comprennent pas. Elles n'ont pas pu être classées. Ils ne savent pas ce que c'est. Ils ne savent même pas s'ils doivent les posséder ou les conserver. Et je pense que c'est là le défi. Vous savez, la réglementation nous pousse à comprendre l'ensemble de nos données, pas seulement celles que nous avons pu classer à l'aide d'outils automatisés, mais vous devez en fait comprendre toutes les données que vous détenez. afin de savoir si vous pouvez vous conformer à la réglementation. Je pense que vous savez que la sécurité des tiers est considérée comme un processus essentiel par la plupart des organisations, mais honnêtement, ce n'est pas le cas de toutes. Nous voyons certaines organisations très matures qui ont investi dans les processus, les outils et les ressources appropriés pour pouvoir mener à bien ce processus de manière efficace, mais nous voyons aussi certaines organisations et entreprises assez importantes qui essaient de mettre en place un programme d'assurance tiers avec, vous savez, deux ou trois ETP, deux ou trois personnes, euh, et un tableur Microsoft Excel. Et cela ne vous permettra jamais de comprendre votre position en matière de risques dans la chaîne d'approvisionnement. Et vous savez, ce manque de ressources en termes de personnel et d'outils est une tendance qui, je l'espère, commencera à disparaître avec le temps.
Brian Littlefair : Et nous commençons à voir clairement ce que nous observons au sein de mon entreprise, nous commençons à voir les gens adopter les nouvelles technologies et capacités qui apparaissent dans ce domaine. C'est donc très positif. Et je pense que vous savez que cette diapositive met en évidence ce que nous commençons à observer en termes de convergence. Quand j'ai dit que lorsque j'ai commencé dans le domaine de la sécurité, vous aviez du mal à trouver des points communs entre les régulateurs ou les cadres de conformité. Partout dans le monde, ils étaient différents et chacun faisait les choses différemment. En fait, je pense qu'ils faisaient les choses différemment intentionnellement. Si un pays voulait un widget rouge, l'autre pays voulait un widget vert, n'est-ce pas ? Il était donc très difficile de savoir si vos programmes de conformité et vos programmes d'assurance tiers relevaient de la fonction sécurité ou de la fonction juridique. Cela ne fait pas vraiment de différence, mais en fin de compte, il était vraiment difficile de comprendre que je devais me conformer à cette législation alors que je dirigeais une entreprise mondiale. Comment faire dans un paysage réglementaire très complexe ? Cela créait des situations difficiles au sein des organisations, mais je pense que l'un des principaux moteurs est aujourd'hui les organisations multinationales mondiales et la prolifération de l'externalisation et de l'internalisation par certains pays et certaines régions, qui ont vraiment favorisé le début d'une convergence vers des réglementations similaires.
Brian Littlefair : et les cadres de conformité à travers le monde. J'en ai juste sélectionné quelques-uns ici. Je suppose que le public est principalement américain aujourd'hui. Il y a donc des réglementations comme le CCPA, puis en Europe, nous avons le RGPD, et fondamentalement, elles visent toutes le même objectif, ce qui est une bonne chose. Les citoyens veulent pouvoir comprendre où leurs données sont utilisées. Je pense que c'est tout à fait raisonnable et vous savez, l'une des raisons pour lesquelles ces régulateurs sont intervenus et ont commencé à appliquer certaines de ces règles est que, très honnêtement, les organisations ne leur donnaient pas cette possibilité. Vous savez, il était assez difficile de comprendre quelles données une organisation détenait à votre sujet. C'était un processus assez long et fastidieux. Et vous savez, les gens veulent avoir ce choix.
Brian Littlefair : Nous constatons cela de plus en plus souvent. Donc, vous savez, la réglementation entre en vigueur, elle s'applique à différents domaines et différentes régions. Elles ont toutes leurs propres nuances, mais il y a un chevauchement important qui redonne le pouvoir au citoyen et à l'individu, afin qu'ils puissent commencer à faire des choix concernant qui a accès à leurs données, comment ces données sont manipulées ou gérées, et ils ont le droit de refuser ou d'accepter certaines campagnes de marketing et autres initiatives qu'ils souhaitent ou non recevoir. Et l'une des choses que j'ai apprises en gérant la sécurité pour de grandes entreprises, c'est que lorsque l'on regarde à l'échelle mondiale, la confidentialité est très différente d'une culture à l'autre. Je ne vais pas citer de pays en particulier, mais dans certains pays, la confidentialité est prise très au sérieux, tandis que dans d'autres, elle l'est moins. Il s'agit donc d'un défi très géographique que nousdevons relever, mais le domaine clé sur lequel se concentrent les régulateurs est sans aucun doute celui des données. À mon avis, ils ont adopté une approche très sectorielle. Au Royaume-Uni et en Europe, c'est le secteur des services financiers qui a été le premier à être mis sous les feux de la rampe, avec un environnement réglementaire très strict, et cela s'étend à ce que nous appelons les infrastructures nationales critiques dans divers domaines, notamment les télécommunications, l'industrie pharmaceutique, l'énergie, les services publics et tous ces aspects qui obligent à renforcer la sécurité dans ces disciplines individuelles, et cela va évidemment se propager en se concentrant d'abord sur les grands acteurs, mais cela va finir par se répercuter sur les petites organisations. Donc, si vous travaillez pour une petite organisation et que vous pensez que cela ne vous concerne pas vraiment parce que vous n'avez pas 25 millions de dollars de chiffre d'affaires, etc., cela finira par vous concerner.
Brian Littlefair : J'en suis convaincu, mais ils doivent d'abord s'attaquer aux gros poissons, puis ils vont évidemment attendre de tout le monde qu'il se mette au niveau. Il y a bien sûr cette tendance mondiale à améliorer la sécurité des données, mais je pense que vous savez que partout dans le monde, et jeje vais vous montrer dans une minute une diapositive qui montre le niveau de maturité en matière de données. Je pense que beaucoup d'organisations, pardon, beaucoup de pays partent d'un niveau très bas, car la sécurité des données n'était pas une priorité, tout comme la confidentialité. Mais je pense que cela commence à changer avec la génération des milléniaux, qui succède aux générations X, Y et Z, et qui sont de grands consommateurs de données. Ils sont très habitués à consommer des données et à interagir avec elles. Ils sont donc beaucoup plus avertis et se disent : « Je ne suis pas à l'aise avec le fait que l'entreprise X ou l'entreprise Y fasse cela avec mes données. Je veux avoir le contrôle là-dessus. » Et c'est vraiment ce qui motive certains des changements que nous commençons à observer. Et je pense qu'on peut affirmer sans risque de se tromper que, du point de vue des entreprises, l'introduction de régimes de conformité tels que le RGPD ou le CCPA a constitué un changement assez fondamental pour les entreprises. Ce n'est pas quelque chose de facile et de rapide. Ce n'est pas une simple case à cocher où il suffit de dire « faites ceci et faites cela ». Il faut vraiment examiner votre organisation de bout en bout pour bien comprendre comment nous nous conformons à cela. Quels sont nos défis ? À quoi nous conformons-nous déjà ? Quelles sont les lacunes ? Et certaines de ces lacunes ont certainement pris beaucoup de temps à combler, du côté du RGPD. Cela a entraîné un changement fondamental dans le fonctionnement des entreprises.
Brian Littlefair : Et vous savez, du point de vue du RGPD, lorsque les gens disaient qu'ils étaient conformes, ils ne l'étaient pas réellement. Vous savez, c'était un processus dans lequel ils étaient engagés, ils s'efforçaient d'être conformes et de faire le nécessaire. Et certainement du point de vue américain, lorsque nous examinons le RGPD, souvent, lorsque je vais sur un site web américain, une bannière s'affiche et dit : « Je vois que vousessayez d'accéder à ce site web depuis l'Europe, nous ne voulons pas nous conformer au RGPD, donc nous n'allons pas vous montrer notre site web ». Évidemment, aux États-Unis, je ne sais pas si vous êtes au courant que cela se produit réellement, mais c'est le cas. Et vous savez, ils préfèrent ne pas avoir ce visiteur sur leur site plutôt que d'avoir à se conformer au RGPD, ce qui est un véritable casse-tête. Évidemment, ce n'est pas le cas de toutes les organisations américaines, mais cela arrive. Vous savez, il est fréquent de voir cette bannière apparaître. Je pense donc que le thème clé qui commence à se dessiner est l'émergence de normes mondiales en matière de données. Vous savez, le droit des citoyens à contrôler les données que les entreprises détiennent à leur sujet. Le droit de décider ce qu'ils veulent en faire, et je pense que cela ne fera que se généraliser à mesure que nous avançons. Nous pouvons donc voir ici une petite partie des exigences mondiales en matière de conformité qui sont actuellement en vigueur, et la manière dont chaque pays d'une région s'y adapte et commence à commercer avec les citoyens de ce pays, alors évidemment, vousallez être soumis aux exigences réglementaires de ce pays. Si l'on reprend l'exemple du site web américain, celui-ci ne souhaite pas se conformer au règlement EGDPR et va donc simplement bloquer l'accès aux visiteurs de cette région. Cela peut convenir pour un site web, mais une grande multinationale qui souhaite vendre ses produits, ses services et interagir avec les citoyens de ces pays doit adopter une approche très différente. Elle doit respecter la lettre de la loi. Elle doit s'assurer qu'elle traite toutes les données conformément à ces réglementations. Mais, vous savez, j'ai un point de vue et je le comprends parfaitement.
Brian Littlefair : Tout le monde ici ne partage peut-être pas cet avis, mais je pense que la réglementation est une bonne chose, et nous y reviendrons plus en détail un peu plus tard. À mon avis, les organismes de réglementation répondent aux demandes des citoyens ou réagissent à des incidents ou à des infractions. Ils constatent quelque chose, ils ne sont pas satisfaits des progrès réalisés. Ils interviennent donc et réglementent. Ils disent : « Vous devez faire cela maintenant. Si vous voulez poursuivre vos activités, si vous voulez continuer à exercer votre métier, voici comment nous voulons que cela se passe. » Et comme je l'ai déjà dit, la réglementation n'est pas près de disparaître. Nous devons donc doter les organisations et nos propres équipes internes des capacités et des outils qui leur permettront de gérer efficacement cette exposition au risque au sein de leur entreprise, ce qui, par défaut, satisfera aux exigences réglementaires. Je constate trop souvent que les gens se contentent de respecter la lettre de la loi d'un point de vue réglementaire, mais à mon avis, et certainement dans les équipes que j'ai dirigées, nous avons considéré cela comme le strict minimum, vous savez quec'est le minimum que nous allons atteindre, mais il est évident que nous voulons faire ce qu'il faut pour nos clients. Nous voulons donc pouvoir nous appuyer sur cela et montrer que nous respectons strictement ces réglementations, et pas seulement le strict minimum. Vous pouvez donc voir ici le degré de maturité de certains types de pays à travers le monde. Vous pouvez voir, grâce à la couleur rouge, les pays où la réglementation est stricte. Vous pouvez voir toute l'Europe, l'Amérique du Nord, le Canada, la Chine et l'Australasie. Vous savez qu'ils ont mis en place des processus très rigoureux pour protéger les données de leurs citoyens. Cela n'a pas toujours été le cas, et vous savez certainement qu'avant l'entrée en vigueur du CCPA, du RGPD, etc., toute l'Europe aurait été représentée par des couleurs radicalement différentes, mais vous savez, avec une législation européenne, tout le monde devait se conformer, tout le monde a eu plusieurs années pour mettre en place ses organisations et s'assurer que les processus, la technologie, les rapports, la gouvernance, tout était en place. Je pense donc que cela commencera à devenir rouge à mesure que nous avancerons.
Brian Littlefair : Tout le monde se trouve à un point de départ différent en matière de confidentialité et de maturité. Le pays dans lequel j'exerce en tant que consultant et les entreprises avec lesquelles je travaille, même dans la région africaine où il n'y a actuellement rien de prévu, vous savez, à partir de l'Afrique du Sud et en mûrissant dans toute la région africaine, et je pense que vous savez que les amendes sont évidemment le facteur important quiincite les organisations à se conformer, mais en réalité, on constate de plus en plus une maturité dans les conseils d'administration, qui se disent que cela n'a rien d'étrange, que cela ne demande rien d'extraordinaire, que cela permet simplement de s'assurer que les organisations ont une gouvernance efficace de leurs données, qu'elles comprennent ce que sont leurs données et avec qui elles les partagent. Donc, logiquement, à mon avis, cela me semble tout à fait sensé. Hum, et si nous parlons du RGPD pendant quelques instants, vous savez, en vertu du RGPD, l'autorité peut imposer des amendes assez importantes. Vous savez, elles peuvent atteindre 20 millions d'euros, soit environ 20,5 millions de dollars ou 4 % du chiffre d'affaires mondial de cette organisation au cours de l'exercice financier précédent. C'est donc assez élevé. Cela peut avoir un impact considérable. Le RGPD est entré en vigueur avant le CCPA. Il est donc applicable depuis mai 2018. Depuis lors, environ 800 amendes ont été infligées dans toute la région européenne, comme vous pouvez le voir au centre, en rouge. Et même si le Royaume-Uni a effectivement quitté l'Europe dans le cadre du Brexit, nous sommes toujours soumis à cette législation RGPD. Si vous regardez certaines des amendes importantes qui ont été infligées, la plus importante à ce jour est celle infligée à Amazon. Il est évident que leur chiffre d'affaires était supérieur à 20 millions d'euros. Ils ont donc reçu une amende de 746 millions d'euros. Ils ont été sanctionnés pour avoir rendu difficile, voire impossible, le refus des cookies par les utilisateurs visitant leur site en Europe. Vous savez, ce n'était pas aussi transparent que cela aurait dû l'être. C'était difficile.
Brian Littlefair : Vous savez, vous avez cliqué sur « Refuser » sur le site des cookies et vous avez dû passer par de nombreux écrans complexes, tout simplement parce qu'Amazon s'efforce de collecter autant de données clients que possible et que si tout le monde refuse les cookies, il leur est plus difficile de se conformer à la réglementation. Cette amende leur a donc été infligée, mais je pense que vous savez que d'autres pays vont suivre le mouvement et que d'autres amendes vont être infligées, car comme je l'ai dit, ils sont simplement en train de mûrir et, comme je l'ai dit, je pense que cette carte va commencer à se colorer assez rapidement, donc j'ai le plaisir de consulter et de conseiller des organisations de différentes formes et tailles, comme je l'ai dit au début, et l'assurance par des tiers est, vous savez, l'un des principaux problèmes à l'ordre du jour. C'est souvent l'un des points clés dont nous discutons au sein des conseils d'administration. C'est l'une des principales préoccupations des équipes chargées de la sécurité et des équipes juridiques. Et cela pour une bonne raison, n'est-ce pas ? C'est l'un des risques les plus difficiles à quantifier et à gérer, selon le processus, les outils et les capacités des équipes dont vous disposez. Mais si vous reliez ces défis aux bulletins de sécurité, je lis tous les bulletins de sécurité publiés par les agences de sécurité. Que ce soit le GCHQ ici au Royaume-Uni ou la NSA aux États-Unis, des thèmes communs émergent, car nous luttons tous contre un adversaire commun en utilisant des outils similaires, des capacités similaires et des méthodes similaires à travers le monde. Ces messages et ces communications ont donc évidemment des points communs, que j'ai essayé de résumer dans cette diapositive. Nous ne pouvons pas faire de présentation cette fois-ci sans mentionner le mot redouté « COVID ». Je pense que vous savez que le COVID a non seulement changé la façon dont les entreprises fonctionnent, avec des mesures telles que le télétravail, mais qu'il a également entraîné une augmentation sans précédent des attaques de sécurité, et vous savez que c'est un thème clé qui ressort des messages.
Brian Littlefair : Le niveau d'attaque, la sophistication des attaques, tout a augmenté de manière exponentielle et les organisations ont vu leur infrastructure analysée, leur infrastructure sondée et, bien sûr, leurs télétravailleurs victimes de phishing, de smishing ou de visishing, peu importe le nom que vous leur donnez, mais vous savez, les attaquants ont eu le champ libre simplement parce que les organisations avaient radicalement changé, leurs politiques n'étaient plus vraiment pertinentes, car tout le monde travaillait à domicile. De nouvelles technologies ont été rapidement introduites. Des messages confus mais authentiques ont été envoyés aux employés pour leur dire qu'ils devaient utiliser de nouveaux logiciels. Veuillez modifier ce processus, etc. Et c'était un peu la fête pour les attaquants, car ils pouvaient en tirer profit et, vous savez, ils pouvaient intégrer leurs propres messages et dire « nous voulons que vous fassiez ceci », et vous savez, les employés étaient plus réceptifs à ces messages manipulateurs au début du télétravail, et il y avait certainement beaucoup plus d'e-mails de phishing et d'autres choses qui circulaient sur Internet à cause de cela. Mais en fin de compte, ce qu'ils veulent faire, je dis souvent que la cible de chaque attaque, ce sont les données. En fin de compte, ils veulent peut-être monétiser ces données ou vous demander une rançon ou une amende pour les récupérer. Mais même avec les logiciels malveillants de type CryptoLocker qui se propagent actuellement dans les organisations, le mode opératoire consiste à voler les données d'abord, puis à les crypter, car ils ont découvert que les organisations sont beaucoup plus disposées à payer si, évidemment, vous détenez leurs données en otage et que vous ne les avez pas simplement cryptées, et aussi en raison de la menace de divulgation. Je pense que la tendance que jeobserve et que je lis dans la presse spécialisée et autres sources similaires est que la tendance des organisations mères à être ciblées par leur chaîne d'approvisionnement va se maintenir et même s'accentuer. Je pense que la perception, qui me semble valable, est la suivante : pourquoi essayer de pirater l'organisation mère pour obtenir les données des clients alors qu'il existe des organisations beaucoup plus petites qui disposent probablement de moins d'outils et de capacités de sécurité, mais qui détiennent les mêmes données ?
Brian Littlefair : À mon avis, cette logique est tout à fait sensée. Si vous voulez pirater une organisation, que ce soit par le biais de son personnel ou de sa technologie, et contourner ses contrôles de sécurité, pourquoi s'attaquer à cette grande entreprise qui dépense 100 millions de dollars par an en sécurité alors que vous pouvez cibler une organisation plus petite qui ne dépense pas autant, qui n'a pas une équipe de sécurité aussi importante, qui n'a peut-être pas mis en place les mesures de surveillance ou de gouvernance adéquates, mais qui détient les données de cette entreprise. C'est donc ce que nous commençons à observer : des piratages au sein de la chaîne d'approvisionnement pour accéder aux données de l'organisation mère, et je pense que cela va se développer de manière exponentielle à l'avenir. C'est là que nous, professionnels de la sécurité ou du droit, et tous les participants à cette conférence téléphonique, avons besoin d'une vision approfondie des risques et des menaces qui pèsent sur notre chaîne d'approvisionnement étendue, et celle-ci doit être actualisée en temps quasi réel. Comme je l'ai dit, lorsque j'ai commencé à travailler dans le domaine de la sécurité, les feuilles de calcul Excel, les enquêtes et questionnaires annuels, les outils tels que Prevalent n'existaient pas. Je trahis mon âge. Je n'ai que 44 ans, mais vous savez, les choses ont évolué de manière exponentielle pendant cette période. Et je pense que nous devons être en mesure d'analyser les données, et les feuilles de calcul ne nous offrent tout simplement pas ce niveau de fonctionnalité. Nous avons besoin d'autant d'informations que possible. Elles doivent être aussi riches que possible. Nous voulons voir les scores de risque sur notre chaîne d'approvisionnement. Nous voulons comprendre les informations relatives aux violations des politiques techniques. Nous ont-ils dit lors de nos évaluations qu'ils corrigeaient les vulnérabilités critiques externes dans les 24 heures ? Mais vous savez, nous disposons d'outils et de capacités qui nous permettent de voir qu'ils ont une vulnérabilité externe qui date de 4 jours. Ce type d'informations est vraiment utile pour mettre en contexte : respectent-ils leurs engagements en matière de politiques ou devons-nous accorder un peu plus d'attention à cette entreprise ? Disposent-ils des capacités nécessaires pour détecter les vulnérabilités et les atténuer ? Nous voulons que toutes ces informations open source nous soient transmises. Et nous avons besoin qu'elles soient analysées pour notre compte et présentées à nos analystes sous une forme exploitable.
Brian Littlefair : Ils n'ont évidemment pas le temps de rassembler toutes ces informations et de les analyser eux-mêmes. Cela doit fonctionner comme une chaussette ou une couture à certains égards. L'analyse est effectuée par la plateforme et l'outil, qui présentent ensuite une liste d'informations exploitables. Un analyste tiers et un tableur Microsoft Excel ne peuvent pas faire cela pour vous. Je pense que nous sommes assez clairs à ce sujet. Et je pense que trop d'organisations que je vois continuent à utiliser ce que j'appelle des processus hérités. Elles n'adoptent pas les avancées technologiques, les processus et les capacités dont je viens de parler et qui existent. Vous pouvez réellement les utiliser. Et ce que je vois, c'est une équipe d'assurance tierce très stressée dans une organisation assez grande. Vous savez, découragée par l'ampleur des organisations qu'elle doit couvrir d'une manière ou d'une autre et qui obtient ces informations sans utiliser les outils qui sont à sa disposition. Mais comme je viens de le souligner, il existe une autre façon de faire. Il existe une autre approche. Et vous savez, je suis un fervent défenseur des organisations qui recherchent des outils comme Prevalent qui peuvent réellement les aider. Vous savez, non pas pour ajouter à leurs données. En fait, cela réduit leurs données. Cela les aide en fait à se concentrer sur les éléments qu'ils doivent réellement examiner, à détecter les problèmes en temps quasi réel et à les atténuer ou à les contourner. Et il ne s'agit pas toujours d'un incident cybernétique. Vous savez, nous avons constaté de nombreux problèmes liés à la chaîne d'approvisionnement ici au Royaume-Uni qui ne sont pas liés à la cybersécurité. Ils sont dus à diverses raisons, qu'il s'agisse du Brexit ou de l'impact du COVID, etc. Mais parfois, lorsque nous allons au supermarché, certains rayons sont vides, n'est-ce pas ? Les organisations sont confrontées à des problèmes liés à la chaîne d'approvisionnement. Nous venons de rencontrer de réelles difficultés pour nous approvisionner en carburant. Les gens font la queue pendant des heures dans les stations-service. Ce sont là autant de défis liés à la chaîne d'approvisionnement qui doivent faire l'objet d'une évaluation des risques. Les organisations peuvent-elles les atténuer et les modéliser avant qu'ils ne deviennent une réalité et aient un impact sur elles ? Un autre événement majeur que nous avons observé en Europe a été le blocage du canal d'évacuation des eaux usées. Les navires ne pouvaient plus passer.
Brian Littlefair : Les porte-conteneurs ne pouvaient pas s'y rendre. Il y avait des denrées périssables à bord, entre autres. Il faut donc réfléchir à la gestion des risques dans la chaîne d'approvisionnement. Il ne s'agit pas toujours de cyberrisques. On peut modéliser de nombreuses situations et de nombreux problèmes afin de comprendre ce qui a réellement un impact sur notre organisation, en sachant que plusieurs personnes issues de différents secteurs, etc. participent à cette conférence téléphonique. Qu'est-ce qui pourrait avoir un impact sur la livraison de nos produits et services à nos clients et comment comprendre si cela représente un risque pour notre chaîne d'approvisionnement si nous ne pouvons pas obtenir nos produits auprès du client du fournisseur XYZ ? Quel est notre plan A, quel est notre plan B et quel est notre plan C ? Comment atténuer ce risque ? Je pense que c'est vraiment ainsi que vous commencez à vous faire une idée du risque. Examinons donc certains des composantes fondamentales qui, selon moi, constituent les pierres angulaires d'un programme tiers efficace, capable de fonctionner dans le monde très complexe de la réglementation et de la conformité dans lequel nous évoluons. Tout d'abord, je pense que vous devez connaître vos données. Si vous examinez n'importe quel cadre de conformité ou de réglementation, vous constaterez qu'ils exigent tous que vous compreniez parfaitement vos ensembles de données. Vous devez être capable de les classer, de les découper et de les analyser en fonction de nombreux domaines et scénarios différents. Vivent-ils en Europe ? Sont-ils concernés par le RGPD ? Sont-ils citoyens californiens ? Sont-ils concernés par le CCPA ? Ont-ils fixé des seuils pour l'utilisation de leurs données afin que nous ne puissions pas les utiliser ? Ont-ils donné leur accord ? Ont-ils refusé ? Vous ne pouvez donc pas vous conformer efficacement, vous échouerez à un audit ou vous devrez procéder à des modifications importantes sans comprendre pleinement vos données. Et je pense qu'on ne peut pas se contenter de faire le plus facile. Nous en avons parlé tout à l'heure, mais je vois trop souvent des gens dire qu'ils comprennent leurs données. Qu'ils les ont entièrement classées. Qu'ils comprennent la gestion du cycle de vie, etc. C'est très bien, mais cela ne concerne que les données classées. Dans certains cas, il y a des pétaoctets et des pétaoctets de données qui se trouvent dans des silos de données non classées.
Brian Littlefair : Et je pense que la réglementation existe parce que cela existe et que les organisations doivent vraiment comprendre que, si les données ne sont pas classées et qu'elles n'en savent pas beaucoup à leur sujet, alors elles ne gèrent pas leur cycle de vie. Elles ne s'en débarrassent pas quand elles auraient dû le faire. Elles les conservent trop longtemps, plus longtemps qu'elles ne le devraient dans certains cas, ce qui peut entraîner des amendes si vous conservez des données trop longtemps alors que les clients sont partis, etc. Cela peut entraîner des amendes tout aussi importantes du point de vue du RGPD. Vous devez donc vraiment vous pencher sur cet ensemble de données non classées pour identifier les problèmes et vous devez comprendre vos relations globales avec les fournisseurs. Je mets donc l'accent sur la dimension mondiale, car je constate trop souvent que les organisations ne comprennent pas l'impact mondial d'un fournisseur sur leur activité. Ainsi, un fournisseur qui peut sembler très petit en Inde peut être le plus grand fournisseur aux États-Unis. Cela a évidemment un impact sur le niveau d'attention et la hiérarchisation dont ils doivent faire l'objet. Vous devez donc comprendre la situation du point de vue du fournisseur et non de celui de votre organisation mère. Dans quelle mesure ce fournisseur est-il essentiel pour nous ? Que fournissent-ils dans différents endroits ? Vous pouvez évidemment tirer parti de cela non seulement du point de vue des coûts, mais aussi du point de vue des risques, et comprendre comment gérer efficacement le risque lié à ce fournisseur au sein de votre organisation. Le défi réside dans le contrat qui existait entre la société mère et votre chaîne d'approvisionnement avant l'introduction de certaines de ces conformités et réglementations. Il est peu probable qu'il soit adapté à l'avenir. Il faudra en fin de compte le renégocier en tenant compte des nouvelles exigences. Vous savez qu'il y a des rôles, des exigences et des clauses spécifiques qui doivent être insérés dans le contrat. Qui est le propriétaire des données ? Qui est le responsable du traitement des données ? Quelles sont les exigences imposées à chacun en fonction du rôle qu'il occupe ? Vous savez ce qui se passe d'un point de vue contractuel en termes d'amendes punitives si ces responsabilités ne sont pas respectées, et il y a beaucoup d'autres éléments qui doivent être pris en compte dans ces contrats.
Brian Littlefair : Je sais que c'est un défi, mais ces contrats doivent être réexaminés chaque fois qu'un nouvel élément de conformité entre dans le champ d'application de votre organisation. Mais pour pouvoir faire tout cela efficacement, vous devez comprendre quelle est votre exposition réelle aux cadres réglementaires et de conformité et si cela relève de la fonction juridique, de la fonction risque, de la fonction conformité ou de la fonction sécurité. Peu importe, mais vous devez comprendre où votre entreprise opère. Dans quels types de secteurs opérons-nous et, par conséquent, dans quel domaine suis-je concerné ? Et nous devons obtenir des conseils de la part de l'entreprise. Cela ne devrait pas être une organisation ou un processus de sécurité cloisonné qui est mis en œuvre dans toute l'entreprise. Si tous ces domaines existent au sein de votre entreprise, vous devriez discuter avec le service juridique, le service de conformité des risques, le service de sécurité, le service informatique et le service financier. Il s'agit d'un problème commercial. Ce n'est pas un défi en matière de sécurité ou d'informatique. Il s'agit de savoir comment l'entreprise se conforme à ces exigences. Il est donc absolument nécessaire de sortir du silo de sécurité que certaines organisations considèrent comme un processus de sécurité. Ce n'est pas le cas. Il s'agit d'un processus commercial. Et je pense que, trop souvent, je vois des organisations assez importantes qui n'ont pas nommé de délégué à la protection des données. Et, vous savez, à mon avis, cela est plus fréquent au niveau des États, car peu de réglementations l'imposent réellement, et je pense que, corrigez-moi si je me trompe dans les commentaires, mais le CCPApas exiger la nomination d'un DPD, contrairement au RGPD. Je pense que le DPD, le délégué à la protection des données, joue un rôle essentiel en tant que champion ou gardien des données au sein de votre organisation. Il a son mot à dire sur la circulation des données, leur manipulation, leur utilisation, leur vente, etc. Quelqu'un doit avoir pour mission à plein temps de comprendre les données au sein de votre organisation. Nous disons souvent qu'elles sont le moteur de l'entreprise. Il est donc important de désigner quelqu'un pour les protéger et s'assurer que nous les utilisons à bon escient. Mais je pense que cela peut très vite devenir complexe. Vous savez, une grande entreprise qui opère dans peut-être 60, 70 ou 80 pays à travers le monde peut être exposée à des risques de non-conformité très importants.
Brian Littlefair : Alors, comment gérez-vous cela ? J'ai travaillé dans des organisations qui avaient cette empreinte et, vous savez, c'est assez difficile en termes de travail. Mais j'impose clairement une approche qui consiste à simplifier les choses. Elles doivent être efficaces, mais elles doivent aussi être simples. Je dis souvent que la complexité est l'ennemie de la sécurité. Si quelque chose est complètement complexe, il sera difficile de le sécuriser. Et je pense que la structure que j'impose aux organisations de sécurité est la suivante : nous avons nos politiques de sécurité, nos directives de sécurité, nos normes de sécurité, et tout cela se traduit dans notre environnement de contrôle. Et c'est cet environnement de contrôle que nous voulons essayer de normaliser autant que possible à travers le monde. Vous ne voulez pas mettre en place des contrôles différents, car les contrôles sont audités. Si vous avez un environnement de contrôle différent dans différents pays et que vous devez disposer de personnes capables d'auditer cet environnement de contrôle dans ce pays, cela devient très complexe lorsque vous multipliez cela par 60, 70 ou 80 pays. Donc, dans un monde idéal, votre objectif final est que cet environnement de contrôle réponde à vos exigences de conformité mondiales. Ainsi, que vous opériez à Singapour, en Chine, aux États-Unis, au Royaume-Uni, en France, en Allemagne, etc. et dans des endroits situés à l'intérieur et à l'extérieur de ces régions géographiques, votre environnement de contrôle répondrait aux exigences de ces environnements législatifs et de ces réglementations et contrôles. Permettez-moi d'expliquer ce que je veux dire ici à l'aide d'une diapositive pour illustrer mon propos. J'ai travaillé dans des organisations qui, lorsque j'y suis entré, avaient de nombreuses politiques et normes de sécurité différentes et contradictoires, ce qui se traduisait par de nombreux cadres de contrôle différents, ce qui n'est pas une bonne chose. Ainsi, lorsque vous déployez des initiatives mondiales, vous savez que quelque chose d'aussi simple, dans mon cas, c'était quelque chose d'aussi simple que la vidéoconférence ou les applications de messagerie, vous vous heurtez rapidement à une politique de sécurité qui restreint cela ou qui empêche de le faire de telle ou telle manière dans tel ou tel pays, etc.
Brian Littlefair : Il est donc impossible d'opérer dans un monde où chaque pays a sa propre politique. Ce que je commence à constater, c'est que les organisations les plus matures sont celles qui ont une politique mondiale standard. Les deux seuls changements autorisés concernent la langue, afin que le texte puisse être traduit dans la langue locale. Et s'il existe un élément absolument unique d'un point de vue législatif ou réglementaire qui ne peut être globalisé, celui-ci peut être ajouté à la politique nationale. Mais cela ne concernera qu'un ou deux éléments. Tout le reste est standardisé à l'échelle mondiale. Donc, l'approche que les gens adoptent, à mon avis, et certainement le client que je conseille, c'est de savoir où cela peut être réalisé et où cela n'entraînera pas de frais généraux importants, là où celapas d'incidence significative sur les coûts et que cela est judicieux sur le plan commercial, nous allons standardiser ce processus mondial unique. Un exemple qui me vient à l'esprit est la rapidité avec laquelle vous devez notifier l'autorité de régulation d'une violation dans un pays par rapport à un autre. Cela varie considérablement si vous regardez la carte : à Singapour, vous avez 24 heures, dans d'autres pays, vous avez 48 heures, etc. Alors, comment allez-vous gérer votre activité mondiale ? Vous devez vous assurer que vous respectez cette réglementation mondiale, car vous pourriez avoir les données d'un résident singapourien dans un autre pays et cette violation pourrait se produire dans ce pays. Vous devez donc être en mesure de vous y conformer. Ainsi, si vous amenez tous vos environnements de contrôle au niveau le plus strict et que vous les déployez dans l'ensemble de votre entreprise à travers le monde, vous ne faites qu'une seule chose.
Brian Littlefair : Vous renforcez votre sécurité pour répondre aux exigences les plus strictes, et je pense que c'est vraiment facile à vendre en interne, car c'estc'est la bonne chose à faire pour vos clients. Et je pense que vous en êtes de plus en plus conscient. Si je regarde comment les grandes organisations sont structurées, je pense que c'est la seule façon de procéder. Vous savez, la plupart des grandes organisations ont créé des centres de services partagés, dans des régions à forte main-d'œuvre qualifiée et à faibles coûts salariaux, si l'on peut les appeler ainsi, ou des captives, qui gèrent les processus métier clés, les opérations financières, la sécurité des centres de données, etc. Mais ce sont fondamentalement vos clients internationaux ou vos systèmes d'exploitation qui traitent les données. Vous devez donc vous assurer que ces installations répondent aux exigences des citoyens locaux. Vous devez donc être en mesure d'élever tout cela au niveau le plus strict et de gérer votre activité mondiale de cette manière. Et je pense que c'est ce que font les organisations les plus matures pour simplifier les choses et éliminer une grande partie de la complexité liée à la gestion d'un programme de conformité mondial. Et je pense que vous savez, en examinant trois des erreurs courantes que je vois les gens commettre, nous en avons un peu parlé. Je pense qu'il faut aller au-delà du minimum. Les RSSI, les directeurs des achats et les personnes avec lesquelles je discute considèrent toujours la réglementation comme le minimum. C'est la barre basse, le point bas auquel vous devez vous aligner, et vous vous efforcez constamment de vous améliorer et de dépasser ce niveau, car je pense que c'est la bonne chose à faire pour le client. Si le client était présent dans la pièce lorsque vous prenez la décision et que vous dites que vous allez vous contenter d'un niveau bas, sans aller plus loin, serait-il satisfait ? Ou serait-il plus satisfait d'entendre : « D'accord, nous considérons la réglementation comme un point bas, mais nous allons investir et nous allons nous assurer de constamment progresser au-delà de ce niveau. » Je pense que vos clients seraient plus satisfaits de cette déclaration que de l'autre. Et je pense que la réglementation s'étend à l'endroit où les données circulent. C'est un point vraiment important. C'est pourquoi nous avons parlé de revoir les contrats.
Brian Littlefair : Il est très important de comprendre si les personnes que vous avez engagées pour effectuer un travail ont elles-mêmes sous-traité ce travail. Y a-t-il donc une quatrième et une cinquième partie en jeu ? Quelles sont leurs capacités en matière de sécurité ? Disposent-elles de contrôles satisfaisants ? En tant qu'organisation mère, avez-vous entièrement mis en place votre responsable du traitement des données et existe-t-il une couverture contractuelle d'un point de vue financier ? Nous devons donc suivre les données. C'est un peu comme une rivière. Vous devez comprendre d'où viennent tous les affluents, où elle coule, etc. Vous devez être capable de visualiser cela, de le comprendre et de l'intégrer dans votre chaîne d'approvisionnement afin de vous assurer que vous disposez d'une gouvernance et de processus adéquats. Et bien sûr, avant l'apparition des outils dont nous parlons aujourd'hui, tout était trop manuel. Scott vous en dira un peu plus dans une minute, mais avant que ces outils ne soient disponibles, les audits manuels étaient la norme et vous pouviez paralyser une équipe opérationnelle en lui annonçant : « Bon, vous avez votre audit ISO aujourd'hui, vous avez votre 2701, vousvous avez votre audit PCI la semaine prochaine, vous avez un audit interne qui arrive pour examiner le cadre de contrôle, puis vous avez PCI SS et vous avez le RGPD, etc. Cela ne cesse de croître. Diriger une grande multinationale mondiale, vous savez, avec six ou sept niveaux et quatre centres de données, peut être un véritable défi pour les équipes opérationnelles qui doivent faire face à ce niveau d'audit. Il est beaucoup plus facile de cliquer sur un bouton et de comprendre, du point de vue du fournisseur, où nous en sommes en matière de gouvernance. C'est là où nous en sommes du point de vue de l'assurance. C'est ce que nous savons déjà. Et si vous avez besoin d'approfondir un peu plus, c'est très bien, mais les outils peuvent vous fournir beaucoup d'informations que vous allez déjà chercher.
Brian Littlefair : Associer ces informations à vos plateformes GRC internes devient alors vraiment très puissant. Je pense que vous savez qu'il existe une certaine diversité en matière de réglementation. Vous savez pourquoi nous avons des réglementations et des normes de conformité. Certaines personnes pensent qu'elles sont insuffisantes, d'autres pensent qu'trop importantes, vous savez, la mort par réglementation, la mort par mille coupures, etc. Vous savez, cela peut être trop oppressant. À mon avis, il faut réfléchir à la raison pour laquelle cette réglementation particulière a été mise en place au départ. J'ai vu plusieurs équipes de sécurité d'organisations lutter pour obtenir un budget, lutter pour obtenir les ressources nécessaires pour pouvoir gérer efficacement les risques qu'elles ont sous leur responsabilité. Et honnêtement, la réglementation aide. Du point de vue d'un RSSI, il est beaucoup plus facile d'aller voir le conseil d'administration et de dire : « Nous avons besoin d'un budget XYZ, car cette réglementation stipule que si nous ne le faisons pas, nous ne pourrons pas faire fonctionner l'entreprise. » Cela ne devrait pas être le cas, mais c'est ainsi. La réglementation peut donc contribuer à concentrer l'attention sur l'amélioration du niveau de sécurité dans certains secteurs ou dans certains pays ou régions, selon la nature de la réglementation. Au fil du temps, le renforcement de la réglementation a donc conduit à une amélioration du niveau de sécurité. Les organisations sont toujours confrontées à des défis et à des problèmes, bien sûr, nous le lisons tous les jours dans les journaux et les magazines, mais vous savez, la situation s'est nettement améliorée au cours de la période que j'ai observée. Mais je pense qu'il doit y avoir une limite, et par là, je veux dire qu'une entreprise parfaitement conforme dans un secteur fortement réglementé peut toujours être vulnérable à une cyberattaque, et vous savez, la réglementation doit donc fixer une limite quelque part. Nous devons trouver un équilibre et je me réjouis de la collaboration mondiale entre les régulateurs et les organismes de conformité, car je pense que l'harmonisation de ces exigences à l'échelle mondiale ne fera que faciliter leur respect pour nous tous. Permettez-moi de résumer quelques-uns des messages clés avant de passer la parole à Scott, qui vous parlera un peu de la plateforme prévalente.
Brian Littlefair : Je pense que nous sommes tous d'accord, en tout cas je le suis, et vous pouvez me contredire dans vos questions, mais que nous gérions la chaîne d'approvisionnement pour des raisons de sécurité ou pour des raisons de conformité ou d'exigences réglementaires, notre objectif est de réduire notre exposition au risque, qu'il s'agisse d'une cyberattaque ou d'autres exemples que je cite, comme le canal d'égouts, du point de vue de la continuité des activités, mais fondamentalement, ilquestion de réduction des risques, mais vous savez, c'est un autre domaine de la sécurité qui ne sera jamais achevé. Nous disons souvent dans le domaine de la sécurité que le travail n'est jamais terminé. Le cheminement n'est pas terminé. Il y a une évolution et un renouvellement constants au sein de l'empreinte des fournisseurs. Nous devons donc continuer à mener ces processus et à nous assurer qu'ils sont menés à bien. Nous devons donc continuer à nous concentrer sur cette exposition au risque. Nous devons continuer à réduire le tarage de nos fournisseurs et nous assurer que nous disposons d'une gouvernance et de capacités globales, mais nous devons ménager nos équipes en investissant dans les capacités, les outils et les processus appropriés. Nous pouvons désormais automatiser une grande partie de ces processus et présenter, vous savez, analyser les résultats à nos équipes sans qu'elles aient à utiliser des tableurs et Microsoft Excel. Nous devons donc être capables d'adopter les technologies qui sont à notre disposition et travailler plus étroitement avec nos fournisseurs. Je comprends mieux que quiconque le défi que cela représente, car nous avons affaire à des milliers et des milliers de fournisseurs. Mais il y a fournisseur et fournisseur. Il y a des gens qui sont manifestement très importants pour votre entreprise, qu'ils gèrent votre centre de données ou interagissent avec vos clients, etc. Et nous devons transformer ces fournisseurs en partenaires, n'est-ce pas ? Nous devons comprendre parfaitement leur activité. Ils doivent comprendre parfaitement la nôtre. Et vous savez, le contrat peut y contribuer, mais ensuite, le contrat doit disparaître. Si le contrat est évoqué à chaque interaction et chaque réunion, nous avons un petit problème. Nous devons toutefois faire mûrir cette relation, afin de pouvoir avoir des conversations sensées sur la manière dont nous pouvons améliorer les capacités communes au sein de nos différentes organisations.
Brian Littlefair : Et je pense que nous avons déjà établi que cela dépasse le cadre des équipes informatiques et de sécurité, des services juridiques, des services de gestion des risques et des services d'approvisionnement. J'ai consacré tout un webinaire à la manière dont les services d'approvisionnement sont les meilleurs alliés des RSSI. Je vous invite à le consulter, car je pense qu'il existe de nombreux points communs et qu'il est important de considérer l'ensemble de ce domaine comme un risque commercial plutôt que comme un risque informatique. Je constate trop souvent que les gens considèrent cela comme un problème CESOS, mais ce n'est pas le cas. Il s'agit d'un pur problème commercial et nous devons sortir de ce silo de sécurité et adopter ces fonctions plus larges au sein de l'entreprise. Et puis, je le répète, car il faut vraiment insister sur ce point, car vous savez que si vous ne connaissez pas vos données, vous ne pourrez pas vous conformer à ces réglementations et à ces exigences de conformité. Il faut donc aller au-delà des données structurées, ce qui est généralement ce que les régulateurs vous demandent de faire, puis adopter le processus « montrez-moi, ne me dites pas ». Trop souvent dans le passé, on disait « oui, c'est vrai, nous faisons cela, vous n'avez pas besoin de regarder nos processus, nous...nous gérons efficacement nos vulnérabilités, vous n'avez pas besoin de venir voir comment nous procédons. Aujourd'hui, les entreprises plus matures adoptent l'approche suivante : je ne veux pas que vous me disiez, je veux que vous me montriez. Je veux des preuves. Je veux des garanties. Je veux que cela soit téléchargé sur ma plateforme afin que nous puissions réellement voir que ces processus et procédures sont respectés. Je pense donc que l'approche à adopter est « chat échaudé craint l'eau froide ». Vous ne voulez pas qu'on vous dise, vous voulez qu'on vous montre et voir la preuve que cela se passe réellement. Bon, je vais passer la parole à Scott qui va vous parler un peu de la plateforme dominante, puis nous serons bien sûr ravis de répondre à vos questions à la fin. Merci beaucoup Scott. À vous.
Scott Lang: Uh cheers Brian. Thank you. Um that last comment on Brian’s last slide there I think is the perfect segue into a little bit about what I want to share uh with you about prevalent and it’s the show me don’t tell me and you know the process of gathering information and evidence and policies and procedures and due diligence from your suppliers and partners and third parties. I mean I’m not I’m not going to paint a rosy picture here. It’s soul crushing. I understand that. And uh it can quickly spiral an already over um stretched team down into oblivion without the right help. And if you’ve got to prove uh that your third parties have policies in place, security related, data protection related or others, you have to find a way to automate uh the collection of that information, the analysis of that information, and then the presentation of it both to your internal auditors as well as the external folks are going to want to ask questions about it as well. And frankly, That’s what we specialize in. Um our uh the prevalent thirdparty risk management platform is a solution that helps you um centrally assess all of your third parties according to the specific requirements you have to you know assess them against and report against as well. Collect that information through the completion of you know their assessments and the uploading of supporting evidence. Um the review of that information and then ultimately the the re recommended remediations to get them to a place that you’re comfortable from a risk perspective. You know, you’re never going to eliminate all the risk. We know that risk never equals zero. But to get somebody down to an acceptable level of residual risk is the objective of the exercise. And then we can help you, you know, take the time and the manual labor and, you know, the sweat and more, you know, out of that process uh by taking it on on your behalf. We address third-party risk at every stage of the vendor life cycle, not just uh, you know, the the collection of compliance evidence to support uh some sort of a you know, regulatory conclusion, but you know, we help companies uh get intelligence on their potential vendors in the sourcing and selection phase. Um, as you intake and onboard a vendor, we can give you visibility into their existing risk profile as well as some real-time risk insights. Give you some inherent risk visibility against whatever metrics you’re trying to measure against, execute those full and complete assessments. I think we’ve got 75 questionnaire templates built in the platform that you can leverage now from a GDPR assessment to a CCPA or CP assessment. Um, you know, HIPPO related assessments. There’s a NIST framework or so and then some in there. There’s ISO ISO questionnaires. It you I mean the platform’s got a library of them to draw from that you can pick and choose. You can be flexible with, you can build a custom one. We’ve even got a standard survey that you can ask and then map the answers back to whatever requirements you need to on the other end. So the whole process is meant to simplify that excruciating process of collecting that that uh that due diligence and just make it easier to to to manage. Next step is monitor and validate. Once you have the information in the answers from your suppliers and partners, you’ve done a bit of review and now it’s time to really do some controls validation. Uh you know we can leverage some existing cyber business reputational financial monitoring and then have our experts get in there and just do like a controls validation exercise to make sure that you know that uh that their reported controls uh you know map to your requirements you know measuring performance and SLAs’s you know Brian mentioned earlier on in his presentation excuse me that not every risk is a cyber security risk you know the the uh the Suez Canal blockage being a great example of that you may have suppliers that have um some reputational challenges you know maybe they’re not living up to their expectations from an environmental social or governance perspective and you need to have some visibility in that because those can be risks to their ability to deliver to you which is your ability to deliver to ultimately your customers if that’s the case. So managing SLAs’s and performance metrics goes handinhand with with security. And then finally the last piece of the equation that is way too often overlooked is um is offboarding. You know every relationship is going to come to an end and it can’t just be simply flipping a switch and walking away. There’s quite a bit of checklisting and processes and data destruction and and you know offboarding or terminating of of assets and whatnot that have to be uh followed through. And you know one of the values of our platform is that we can help provide that process that automated workflow-based process to guide you through that that uh that that workflow so that when you know that relationship ends you know you you have greater levels of assurance that um uh you know that the right steps have been taken. Uh next step please Brian. Um you know we offer several benefits at every one of the kind of the stage of the of the sales cycle that I mentioned there uh which you can kind of easily understand from from um uh from the previous slide, but I’ll leave you with this this piece down at the end. You know, third-party risk management isn’t just for the cyber security team. You know, Brian talked about that. You know, we talked about it a second ago on the previous slide. It’s also about managing risks throughout the the the vendor ecosystem that might be, you know, reputational, business related, financial related, their ability to deliver, you know, whatever. Which means Third-party risk is going to be important to all kinds of different teams throughout your enterprise. You know, if you’re in the security team, great. If you’re in the, you know, the risk management or or the compliance internal compliance and audit team, great. Um, procurement’s going to want a hand in this as well. And one of the significant values that we deliver as a solution set is that, you know, we can bring together all of these uh different teams under a single pane of glass. Everybody’s looking at the same data, getting the reporting that matters to them, and can take the actions uh uh you know act on that data accordingly. Next slide please. Um you know I think this is the last one. What uh you know we address use cases um from procurement to IT security to legal to compliance to frameworks. Uh you know each one of these items on this uh screen represents a specific uh assessment or questionnaire that we have built into our platform which then maps to a compliance report that you know you can provide. to your internal teams, external teams, external auditors, whatever, uh, to help demonstrate the the the progress toward um, you know, achieving whatever compliance, you know, objective you need to. And on that right hand side, we’ve got all of our threeletter acronyms and even a few four-letter acronyms uh, cooked in there as well. But just a just an idea of, you know, how we specifically help you um, show uh, not just tell uh, of of, you know, the current security posture of your of your third parties. Awesome. Um, and then just a wrap-up slide on on our approach here. Everything I I hope you learned just now was that, you know, our goal is to help make you smarter in thirdparty risk with all of the data that we have in the platform. Help you unify not just yourselves but your internal teams to to to, you know, uh, coordinate action and look at all the same data. And then finally, be very prescriptive uh, in your process. That’s it. Great. Thanks, Scott.
Amy : Très bien. Merci, Scott, et merci, Brian. Quelques questions ont été soulevées tout au long de la présentation. Il y a beaucoup d'acronymes, et nous avons quelques questions à ce sujet. J'ai fait de mon mieux pour répondre à certaines d'entre elles, mais j'ai dit que je transmettrais les questions à l'expert pour m'assurer que nous avions raison. La première question est donc : que signifie POI A ? Que signifie-t-il ? Et de quel pays provient-il ?
Brian Littlefair : Je ne me souviens plus exactement de la signification de cet acronyme, mais en substance, la POPIA est l'équivalent de la CCPA et du RGPD en Afrique. Il s'agit donc d'un pays d'Afrique du Sud, n'est-ce pas ? Donc...
Amy : D'accord. J'ai fait une recherche rapide sur Google et j'ai trouvé la loi sur la protection des informations personnelles. Il semblait que...
Brian Littlefair : c'est celui-là. Oui.
Amy : Très bien. Nous avons quelques questions. Je vais vous poser notre dernière question du sondage, au cas où vous devriez partir. Nous sommes très curieux de savoir si vous envisagez de renforcer ou de mettre en place un programme de gestion des risques tiers dans les mois à venir. Oui, non, je ne sais pas. Nous sommes là pour vous aider. Comme Scott l'a mentionné, un peu. Je vais donc laisser cela en suspens pendant que nous continuons avec quelques questions. La question suivante concerne la diapositive numéro sept. Je suis sûre que cela vous vient immédiatement à l'esprit, Brian. En ce qui concerne les processus qui nécessitent une gouvernance en temps quasi réel, je pense que c'était l'avant-dernier point. Ils recherchent des exemples clairs.
Brian Littlefair : Tant d'organisations qui gèrent des processus complexes ont besoin d'une gouvernance en temps quasi réel. Eh bien, de mon point de vue, cela concerne les menaces. Donc, si vous examinez une organisation qui est assez critique pour votre processus. Vous savez, si vous utilisez ce que j'appellerais un processus traditionnel basé sur des feuilles de calcul et que vous ne prenez pas en compte l'angle des menaces. Vous seriez donc pris au dépourvu si l'une de vos organisations apparaissait sur CNN ou Sky News parce qu'elle a subi une violation de données. Ainsi, en superposant ces informations sur les menaces à ces processus, vous pouvez obtenir ces informations beaucoup plus rapidement et être en mesure, vous savez, de pivoter en interne du point de vue de votre organisation pour réellement mener cela à bien. C'est ce que j'entends par « en temps quasi réel ». Vous voulez donc être en mesure de comprendre ce qui se passe dans votre chaîne d'approvisionnement en temps quasi réel. Cela ne sera jamais en temps réel. Il est évident que quelqu'un a un problème, etc. Mais vous savez, si d'autres clients en ont connaissance, vous voulez également en être informé. Vous ne voulez pas que la communication passe par un chargé de relations, puis par son supérieur, puis par toute la chaîne hiérarchique, pour que vous finissiez par être au courant. Vous voulez être informé en temps quasi réel. Et je pense que c'est ce que vous permettent ces outils et la superposition avec les renseignements sur les menaces, n'est-ce pas ? Soyez au courant de ce qui se passe dans votre chaîne d'approvisionnement.
Amy : Je comprends. Merci, Ryan. Très bien. Question suivante. Existe-t-il des certifications GDP ou CCPA pour les produits informatiques ou les fournisseurs informatiques tiers afin de reconfirmer leur conformité de base, telle que le chiffrement des données confidentielles au repos, en transit, etc. ?
Brian Littlefair : Oui. Je pense que vous le savez parfaitement du point de vue des logiciels, et c'est certainement là que vous allez commencer à voir le monde évoluer. Donc, si une entreprise doit se conformer, vous savez qu'il y aura des accréditations pour les individus, qu'il y aura une conformité pour les logiciels et que vous connaissez les solutions que les entreprises peuvent utiliser. C'est donc une évolution naturelle que nous avons observée au fil du temps. Et c'est ce que les entreprises exigeront. Vous savez, si je dois me conformer au RGPD, j'ai besoin de personnes au sein de mon organisation qui puissent être certifiées non seulement pour s'assurer que nous nous y conformons, mais aussi pour effectuer les évaluations et les audits, car vous ne voulez pas découvrir que vous n'êtes pas en conformité lorsque le régulateur vient effectuer son audit, vous voulez vous tester vous-même. Vous avez donc besoin de personnes et de logiciels capables de vous donner ce niveau d'assurance pour pouvoir affirmer que vous êtes en conformité. Et bien sûr, du point de vue du cryptage, vous savez que cela doit s'étendre à votre chaîne d'approvisionnement. Si votre position est que vous allez crypter toutes vos données de bout en bout tout au long de votre processus, etc., vous devez être en mesure de vérifier que cela est bien le cas. Il existe désormais sur le marché des solutions qui peuvent vous aider à vérifier cela, même au sein des ensembles de données cryptées, sans avoir à les décrypter. Vous voyez, cela va devenir un peu plus passionnant.
Amy : Merci Brian. Très bien, une dernière question que je vois ici. Que pensez-vous de l'identification et de l'évaluation des exigences réglementaires lors d'un audit Sock 2 pour une organisation mondiale, étant donné que la confidentialité est l'un des principes de service fiable dans le processus d'audit ?
Brian Littlefair : Oui, je pense que c'est une très bonne question et je pense que, du point de vue de Sock 2, cela démontre votre capacité à d'autres organisations à prendre au sérieux la sécurité et tous ces aspects, et je pense que vous savez quec'est là que la réglementation peut réellement vous aider, vous savez, être capable d'adopter pleinement et de vivre des choses comme l'ISO, le RGPD, etc. et vous connaissez divers autres régimes de conformité qui pourraient vous impliquer que c'est un rapport Sock 2 beaucoup plus puissant, si vous voulez, plutôt que l'évaluation pour pouvoir réellement présenter à des clients potentiels et dire : « Regardez, c'est à quel point nous prenons la sécurité au sérieux ». Si vous regardez, vous savez, un rapport Amazon ou Google ou ISU Sock, vous savez, c'est assez impressionnant en termes de respect de la lettre de la loi en matière de conformité et de réglementation, mais comme je l'ai dit, ils sont allés plus loin. Ainsi, vous ne voyez pas seulement la case à cocher, vous voyez jusqu'où ils sont allés pour vous assurer qu'ils sont le meilleur fournisseur de services cloud pour stocker vos données, etc. Et je pense que cela va devenir un facteur de différenciation pour les personnes qui utilisent leurs rapports SOP 2 pour dire : « Regardez, nous ne nous sommes pas contentés de respecter la norme, nous sommes allés au-delà, et je pense que cela va devenir un critère de choix pour les clients qui souhaitent savoir où ils veulent stocker leurs données. » Exactement.
Amy : D'accord. Merci Brian. Hum, un dernier commentaire vient d'arriver. En ce qui concerne les tiers, je sais que nous nous concentrons beaucoup sur leur omniprésence et sur le fait qu'il s'agit d'un webinaire très répandu. Hum, mais ils disent que les organisations GRC ont beaucoup plus de composantes, hum, y compris la gestion des politiques, etc. Hum, ce n'est pas vraiment une question, mais juste un commentaire que je voulais m'assurer de vous transmettre.
Brian Littlefair : Oui, je pense que c'est tout à fait vrai, et je pense que Prevalent sera le premier à l'admettre, tout comme d'autres acteurs du secteur, car il s'agit d'une augmentation des informations.il s'agit d'une augmentation des informations. Vous savez, bon nombre des clients avec lesquels Prevalent va discuter disposeront d'une solution Archer ou d'une solution similaire dans le cadre de leur plateforme GRC, et vous savez que cela restera la plateforme principale pour gérer les risques, mais vous savez aussi que les risques liés aux tiers constituent une partie des risques que vous gérez réellement, et cela peut vraiment aider à augmenter ces données et à automatiser les flux de travail entre elles. Je suis sûr que vous constatez cela tout le temps avec vos clients, n'est-ce pas, Scott ?
Scott Lang : Oui, tout à fait. Tout à fait. Vous savez, nous avons des clients qui exploitent l'une de ces grandes plateformes GRC qui sont très larges mais peu approfondies, et euh, vous savez, ils utilisent Prevalent lorsqu'ils ont besoin d'une expertise au niveau du domaine dans euh la gestion des risques tiers pour augmenter, vous savez, leur GRC global, vous savez, beaucoup de ces plateformes GRC sont excellentes pour gérer les risques au niveau de l'entreprise, mais de par leur nature même, elles ne peuvent tout simplement pas aller, vous savez, un ou deux niveaux plus loin dans des domaines spécifiques, et c'est pourquoi les gens choisissent Prevalent. Exactement. Ça rend
Amy : sens. Euh, en plus de ce commentaire, s'ils utilisent Archer, ont-ils tout ce qu'il faut ou ont-ils encore besoin de Prevalent ? Je sais que vous avez un peu abordé ce sujet. Stop. Vous avez autre chose à ajouter ?
Scott Lang : Oui. Oui, vous avez besoin d'une solution répandue. Absolument. Oui. Non, vous savez, Archer est une solution exceptionnelle pour la gestion des risques d'entreprise. Elle est sur le marché depuis toujours. Mais, comme je l'ai dit, il s'agit de capacités spécifiques de gestion des risques liés aux tiers. Très bien. Mais, vous savez, nous sommes des experts dans ce domaine et nous avons développé une solution à partir de zéro qui, soit dit en passant, s'intègre à Archer. Donc, si cela vous préoccupe, n'hésitez pas à nous contacter et nous serons heureux de vous expliquer comment cela fonctionne.
Amy : Génial. Oui. Eh bien merci. Je pense que c'est tout pour les questions. Je sais que nous avons dépassé légèrement l'heure prévue, mais si vous avez d'autres questions ou si vous souhaitez discuter avec un expert de Prevalent, vous pouvez envoyer un e-mail à info prevalent.net. Suivez-nous sur LinkedIn, suivez-nous sur Twitter. Nous publions de nombreux blogs et webinaires qui pourraient vous être utiles. Merci beaucoup Scott. Merci beaucoup Brian. J'ai beaucoup appris. J'ai moi-même appris un peu plus sur les acronymes. Pour rappel, cette discussion est enregistrée et vous sera envoyée demain matin. Très bien. Merci à vous deux. Je vous souhaite une excellente journée. Merci à tous d'avoir participé.
Scott Lang : Merci à tous. Passez une bonne journée. Au revoir.
Brian Littlefair : Merci. Au revoir.
©2026 Mitratech, Inc. Tous droits réservés.
©2026 Mitratech, Inc. Tous droits réservés.