Description
Si vous êtes responsable de la gestion des risques liés aux fournisseurs, vous avez beaucoup de responsabilités. Vous portez probablement les stigmates de longs processus d'évaluation manuels, mais ce n'est que le début. Si vous avez la chance de pouvoir collecter des données utiles, vous devez alors vous occuper de tout, de la notation et de la hiérarchisation des risques à la gestion du processus de remédiation et à la communication des résultats. Même les équipes bien dotées en personnel et en ressources financières peuvent rencontrer des difficultés avec la gestion des risques liés aux fournisseurs.
Heureusement, vous n'avez pas à faire cavalier seul. Rejoignez Keith Lichtenwalner, directeur principal de la gestion des risques de sécurité et de la gouvernance chez Pfizer, et Brenda Ferraro, vice-présidente des risques liés aux tiers chez Prevalent, qui vous présenteront des outils efficaces pour faire évoluer votre programme TPRM.
Au cours du webinaire, vous apprendrez comment :
- évaluer le niveau de maturité de votre programme
- diagnostiquer les profils et les niveaux d'évaluation
- Appliquer le protocole de traitement des risques pour l'échelle et la conformité
- suivre les progrès
- mesurer en continu les progrès réalisés
- suivre une thérapie avec l'aide de votre entourage
Intervenants
Keith Lichtenwalner
Responsable principal de la gestion des risques liés à la sécurité et de la gouvernance chez Pfizer
Brenda Ferraro
Vice-président chargé des risques liés aux tiers chez Prevalent
Transcription
Peter Schumacher : Bonjour à tous et merci de vous joindre à notre webinaire aujourd'hui. Guérir les blessures de la gestion des risques liés aux tiers, avec Keith Likton Walner. Keith est directeur principal de la gestion des risques de sécurité et de la gouvernance chez Fizer. Nous sommes également rejoints aujourd'hui par Brenda Ferraro, vice-présidente de Prevalent chargée des risques liés aux tiers. Je m'appelle Peter Schumacher. Je suis votre animateur pour ce webinaire. Avant de commencer officiellement, j'ai quelques points administratifs à aborder. Tout d'abord, je vous rappelle que toutes les lignes des participants sont mises en sourdine. Nous faisons cela afin de réduire les bruits de fond tels que les aboiements de chiens, les cris de vos enfants et, mon préféré, le bruit des chasses d'eau. Cependant, afin de rendre cette session interactive, nous vous invitons à soumettre vos questions à l'aide de la console Zoom. N'hésitez pas à le faire. Si le temps le permet. À la fin de l'heure, nous organiserons une séance de questions-réponses en direct. Le webinaire d'aujourd'hui est enregistré et nous prévoyons de vous envoyer cet enregistrement dans votre boîte de réception d'ici demain matin. Je sais que vous n'êtes pas venus pour voir mon visage ou entendre ma voix. Je voudrais donc maintenant passer la parole à Brenda et Keith. Merci beaucoup de vous être joints à nous aujourd'hui. Brenda, je vous laisse la parole.
Brenda Ferraro : Merci. Je suis sûre que nous sommes tous un peu excités et que nous essayons de trouver un nouvel équilibre entre vie professionnelle et vie privée. Avant de commencer, j'aimerais vous transmettre, ainsi que Keith, nos meilleurs vœux à tous. Le webinaire d'aujourd'hui va commencer. Peter, je pense que vousn'êtes pas en mode silencieux, vous voudrez peut-être mettre votre téléphone en mode silencieux, voilà. Le webinaire d'aujourd'hui s'adresse à ceux d'entre vous qui commencent à découvrir ou qui savent déjà que le risque lié aux tiers est une situation évolutive où beaucoup de choses ont changé au cours de l'année dernière. De nombreuses entreprises ont proposé des moyens d'aborder cette évolution et la maturité. Keith et moi avons donc décidé d'organiser ce webinaire, car j'ai travaillé dans le domaine des soins de santé et Keith travaille aujourd'hui dans le secteur pharmaceutique et des soins de santé. Nous avons choisi un thème lié aux soins de santé et nous allons parler des processus et des étapes logiques qui se déroulent normalement lorsque vous vous rendez à l'hôpital. Vous êtes trié. Vous recevez un diagnostic. Vous auriez ensuite des protocoles pour soigner ces situations, du soutien, euh, certains indicateurs et des machines qui vous diraient si vous êtes sur la bonne voie ou si vous devez vous réajuster. Mais je suis sûr que, comme Peter l'a dit au début, vous n'êtes pas ici pour l'écouter. Vous n'êtes pas non plus ici pour m'écouter autant que vous écoutez Keith. Nous allons donc passer rapidement aux présentations. Keith, vous connaissez beaucoup de monde, mais il y a probablement des personnes parmi les participants à cette conférence téléphonique qui ne vous connaissent pas. Pouvez-vous donc nous présenter brièvement votre parcours et votre carrière, ce que vous faites aujourd'hui chez Fiser, et peut-être nous raconter une anecdote amusante.
Keith Likenwaller : Bien sûr. Je m'appelle Keith Likenwaller. J'ai passé environ 15 ans dans le domaine des infrastructures Fortune 500, au service de presque toutes les équipes imaginables dans toutes les entreprises, ou à la gestion de ces organisations. On m'a demandé de créer un département de gestion des risques dans une entreprise Fortune 500 en 2004, ce qui a marqué le début de ma carrière. L'un de mes premiers défis a été de mettre en place des contrôles des risques autour de nos tiers. Je travaille donc dans ce domaine depuis plus de 16 ans. Au cours de ce parcours, je pense que vous entendrez aujourd'hui beaucoup de choses qui, vous le savez, nous menons tous les mêmes combats. Ils ont été différents selon les secteurs et les entreprises dans lesquels j'ai travaillé au cours de ce parcours. J'espère que certaines des informations que nous partagerons aujourd'hui vous rassureront et vous montreront que vous menez le même combat que tout le monde. Je vous donnerai également quelques idées sur la manière d'aborder certains de ces défis difficiles tout en continuant à orienter votre programme et vos activités dans une direction positive. Pour l'anecdote, certaines de mes activités préférées sont les activités de plein air, en particulier dans les bois. J'ai donc passé beaucoup de temps avec les jeunes d'aujourd'hui dans le cadre du programme scout. Mais j'en ai aussi gardé des séquelles. J'ai été piqué des dizaines de fois, y compris le week-end dernier, par des frelons qui vivent dans les bois, et je vous assure qu'ils sont beaucoup plus puissants que ceux que l'on trouve dans votre communauté locale. Cela a donc été une blessure difficile à surmonter pour moi.
Brenda Ferraro : Très bien. Merci pour ces informations. Quant à moi, je me suis rapidement présentée au début. Je suis vice-présidente chargée des risques liés aux tiers chez Prevalent. J'ai travaillé chez Charles Schwab, eBay, PayPal, Etna et dans diverses communautés avec pour mission d'aider les entreprises à faire évoluer leur programme de gestion des risques liés aux tiers en mettant l'accent sur les décisions basées sur les données de risque et sur la manière de tirer parti de la plateforme Prevalent. Je suis en quelque sorte le lien entre le client et le produit, afin de faciliter la communication entre eux et de faire en sorte que tout se passe bien. Pour ce qui est d'une anecdote amusante à mon sujet, je suis moi aussi une personne qui aime la nature. Beaucoup de gens ne le croient pas, mais j'adore me promener et faire de la randonnée dans les arbres et dans la forêt ou le long des ruisseaux. Et je suis très allergique aux fourmis. Vous avez donc le problème des frelons, mais je peux rester debout à un endroit, ne pas regarder vers le bas, remarquer que j'entends une fourmi mourir, et tout peut alors partir en vrille. Donc, ce dont nous allons parler aujourd'hui, c'est des limites et de la proactivité, afin de nous assurer que si un incident se produit, nous sachions à l'avance ce que nous devons faire. Inutile de dire que, comme dans tout programme de gestion des risques, il y a toujours un risque d'être piqué. Nous allons donc vous donner quelques conseils et techniques à mettre en œuvre à l'avenir. Keith, la première chose, par exemple, comme nous l'avons vu pour l'hôpital, c'est que lorsque vous vous rendez à l'hôpital, ils procèdent à un triage pour déterminer le problème. Du moins, si vous n'avez pas besoin d'être opéré immédiatement. Quels sont les différents types de techniques de triage que vous avez utilisés pour votre programme de maturité afin de comprendre exactement ce dont vous aviez besoin pour évoluer ou mûrir du point de vue des talents, des outils ou des techniques ?
Keith Likenwaller : Bien sûr. Merci Brenda. Je pense que le plus important dans le triage, c'est de s'entourer des bonnes compétences. Les compétences nécessaires pour y parvenir. Je vais vous donner quelques exemples très précis. Tout d'abord, pour moi, le triage signifie que si vous voulez comprendre votre maturité, vous devez d'abord vous entourer de personnes qui essaient d'atteindre et d'amener leur programme au niveau auquel vous rêvez d'arriver. Il est donc excellent de trouver quelqu'un dont le programme est plus solide que le vôtre. Trouver des personnes qui mènent les mêmes combats que vous, c'est excellent. Trouver des partenaires qui peuvent réellement vous aider à conquérir le canal qui a aidé d'autres personnes à mûrir. C'est également une excellente étape. Donc, à mon avis, si vous vous intéressez à la maturité et à la manière de trier votre programme, le premier objectif est de sortir et de trouver de bons partenaires et de bonnes personnes dans d'autres entreprises similaires, tant dans votre secteur qu'en dehors, avec lesquelles vous pouvez échanger des idées, discuter des défis et utiliser ces idées pour trier votre exemple. J'aime avoir des partenaires avec lesquels je peux partager les éléments reproductibles et qui ont mûri dans notre environnement, comme les collections de questionnaires, etc., et externaliser ces activités afin que je puisse concentrer mon personnel de base sur les activités qui vont nous transformer et nous amener à de nouveaux niveaux de maturité. Je pense qu'il est vraiment important de réfléchir à différentes façons d'aborder les choses, car sans changement, cet environnement est un environnement qui, selon moi, allait mûrir lorsque j'ai commencé à y travailler. Je pense qu'il en est encore à ses balbutiements dans de nombreux domaines et qu'il doit être stimulé. Les défis liés à la gestion des données, etc. continuent de se multiplier.
Brenda Ferraro : Oui. Je pense que l'un des aspects intéressants du triage, c'est que lorsque vous lancez un programme, que vous en soyez encore au stade embryonnaire ou au tout début, beaucoup d'entreprises utilisent des tableurs, ce qui peut devenir pénible. L'automatisation de cette collecte est donc une chose. J'ai apprécié votre remarque sur le fait que le fait d'entrer en contact avec d'autres pairs partageant les mêmes idées, qui peuvent vous aider à apprendre de ce qu'ils font par rapport à des choses auxquelles vous n'auriez peut-être pas pensé, est également un élément essentiel pour faire mûrir votre programme. Il est également important de réaliser des évaluations approfondies de votre programme afin de déterminer votre position au sein du secteur ou par rapport à vous-même, et ainsi identifier les domaines sur lesquels vous concentrer pour obtenir le meilleur retour sur investissement. Êtes-vous d'accord avec cela ?
Keith Likenwaller : Tout à fait, et j'ajouterais même une chose. Je pense qu'il existe une idée fausse selon laquelle il faut discuter avec des personnes de la même taille ou du même secteur que vous. En réalité, je pense qu'il est plus avantageux de faire le contraire. Je pense avoir appris le plus auprès de petites et moyennes entreprises qui rencontrent les mêmes difficultés que nous. Vous savez, quand on a le plaisir de travailler dans une grande entreprise, le défi est que l'automatisation devient encore plus cruciale. Parce qu'on parle de centaines de milliers d'engagements potentiels dont on doit s'assurer qu'ils correspondent à notre appétit pour le risque. Mais les défis dans une entreprise de taille moyenne ne sont pas différents. Elles n'ont peut-être qu'une centaine de fournisseurs, mais la réponse est qu'elles ont beaucoup moins de ressources. Hum, pour le faire. Tous ces mêmes facteurs sont donc nécessaires pour mettre en place un programme d'automatisation permettant de réévaluer vos scénarios, votre situation, et d'être vraiment en mesure de déterminer rapidement si c'est un domaine dans lequel je veux passer hum un peu de temps pour m'assurer que tout va bien ou si je veux me désengager. Dois-je approfondir la question ? Hum, parce que c'est important pour le succès de l'entreprise et les objectifs commerciaux, hum.
Brenda Ferraro : N'est-ce pas ? Je suis d'accord. Passons donc au scénario suivant. IO. Vous avez donc fait un excellent travail pour vous assurer de bien connaître la place de votre programme au sein de votre entreprise. Vous avez identifié certains domaines qui nécessiteraient des améliorations d'un point de vue global. Mais une fois que vous avez terminé ce triage de votre programme et de vos indicateurs de performance, comment déterminez-vous par quelles évaluations commencer, quels profils utiliser, quels niveaux établir ou ce qui présente réellement un risque ? Comment avez-vous procédé ?
Keith Likenwaller : C'est vraiment un parcours. Euh, mais ce que j'ai fait, c'est vraiment tirer parti des discussions avec mes pairs et mes partenaires d'autres secteurs pour leur demander quels sont les déclencheurs qu'ils utilisent pour identifier les risques. Je suis convaincu que si vous voulez définir vos niveaux de risque, vous devez vous asseoir avec l'entreprise, vous asseoir avec vos pairs, rassembler toutes les données que vous pouvez collecter pour dire : « Quelles listes avons-nous ? De quels déclencheurs disposons-nous pour obtenir des données ? Et ce que j'ai découvert au cours de ce parcours, en particulier ces dernières années, c'est que ce domaine a vraiment suscité beaucoup d'intérêt pour discuter de la suppression des différences linguistiques entre les entreprises. Il y a certainement quelques thèmes récurrents. Les thèmes qui me semblent vraiment utiles sont, tout d'abord, les journaux de votre pare-feu. Beaucoup d'entreprises ont différents programmes de pare-feu qui les relient à leurs partenaires, etc. Elles peuvent les appeler comme elles veulent, mais la réponse réside dans les règles qui relient deux entreprises entre elles. C'est un élément assez important pour suivre la connectivité et vérifier que le partenaire que vous laissez entrer dans votre entreprise opère dans un environnement sûr. Je constate donc que vous évaluez correctement ces éléments. Ce n'est qu'un exemple, mais nous avons pris des mesures pour nous asseoir avec une entreprise et déterminer quels sont les produits manufacturés que nous fabriquons qui génèrent le plus de revenus. Nous nous assurons de bien comprendre la chaîne d'approvisionnement, du début jusqu'à la réception du paiement. Nous examinons l'ensemble de la chaîne d'approvisionnement et tous les fournisseurs impliqués dans ces étapes critiques. Nous revenons également sur vos données dans votre programme DLP si vous disposez de capacités d'analyse du trafic externe. Examinez ce qui sort de votre système de messagerie électronique. Comprenez ce qui circule et voyez avec quelles entreprises vous interagissez probablement en grande quantité et/ou avec des informations hautement sensibles. Cela peut vraiment vous aider à comprendre clairement le niveau de risque auquel vous êtes confronté. Ce ne sont là que quelques exemples, mais j'ai constaté qu'il y a beaucoup de thèmes qui reviennent lorsque vous discutez avec d'autres personnes de ce qui les motive. Vous voyez des thèmes liés à la conformité. Mais quand tout le monde dit : « Quels sont mes principaux fournisseurs ? », certaines des autres choses que j'ai mentionnées sont, selon moi, d'excellents moyens d'obtenir des données, de prendre les listes, de les partager avec les bons interlocuteurs au sein de l'entreprise, d'en discuter, puis de lancer les capacités de votre programme contre celles qui ont du sens.
Brenda Ferraro : Oui. J'ai remarqué que lorsque notre collaboration a commencé, vous disposiez d'un modèle de classification des informations, d'une approche de tarage et de contrôles clés qui étaient vraiment importants pour votre organisation. Trouvez-vous que ces éléments changent d'une manière ou d'une autre en ce qui concerne la manière dont nous devons concilier vie professionnelle et vie privée et travailler à domicile, ou avez-vous constaté que les contrôles que vous aviez mis en place sont toujours d'actualité et que vous en ajoutez quelques-uns supplémentaires afin de faciliter ces mécanismes de gestion et d'atténuation des risques pour ces autres éléments ?
Keith Likenwaller : Ce que je constate, c'est qu'à mesure que nous mûrissons, nous comprenons vraiment les risques qui sont importants pour notre activité actuelle. Cela change les fournisseurs que je souhaite examiner, mais les contrôles résistent à l'épreuve du temps. Je pense que les contrôles de base ou l'hygiène, c'est-à-dire les contrôles qui consistent à bien faire les choses fondamentales et à être prêt à réagir en cas d'incident, restent une philosophie qui, selon moi, s'impose comme une bonne pratique pour les entreprises.qui les appliquent, elles seront en bonne position, et je souhaite m'associer à des entreprises qui appliquent les meilleures pratiques du secteur, restent fidèles à ces contrôles de base et sont prêtes à réagir en cas d'incident ou dans l'éventualité où tout le monde sera confronté à un incident à un moment donné. La manière dont vous réagissez est vraiment importante.
Brenda Ferraro : Et pour vos contrôles clés, avez-vous utilisé un questionnaire standard ou utilisez-vous plusieurs questionnaires et des informations sur les menaces pour identifier les risques ?
Keith Likenwaller : Nous avons commencé par un questionnaire clé qui est courant dans notre secteur. Je pense que c'est un excellent point de départ. Mais je pense qu'avec le temps, nous gagnons en maturité et nous nous efforçons de pouvoir traiter plusieurs questionnaires, car vous travaillez avec tellement de fournisseurs, tellement de partenaires, et je les considère comme synonymes. S'ils ont, par exemple, rempli un questionnaire SIG, l'important pour l'entreprise est de savoir quels contrôles méritent d'être discutés et lesquels ne valent pas la peine d'être discutés, car ils semblent solides. Plus vite vous le comprenez, plus vous pouvez aider votre entreprise à atteindre l'objectif qu'elle s'est fixé. Donc, pour moi, il faut prendre tous les questionnaires possibles, mais il faut être capable de savoir qu'il n'y a que certains questionnaires que vous êtes prêt à analyser et à examiner rapidement. Mais si le fournisseur ou le partenaire dispose d'un SIG ou d'un autre outil similaire, et que vous le connaissez bien, utilisez-le, faites-leur gagner du temps, identifiez rapidement les contrôles dont nous devons discuter dans le cadre de cette mission, qui présentent un risque pour votre entreprise.
Brenda Ferraro : Oui. Donc, des contrôles compensatoires consistant à accepter la collecte d'informations provenant d'autres normes ayant un contexte appliqué à ces éléments pour une pertinence significative. Je suis tout à fait d'accord avec cela. Donc, je pense que Keith, à ce stade, nous allions demander aux auditeurs s'ils utilisaient des techniques dans ce domaine particulier où ils excellent ou qui commence à devenir leur point fort, et dont nous pourrions discuter. Donc, dans votre boîte de discussion, si Peter, cela ne vous dérange pas, regardez si quelqu'un entre d'autres techniques qu'il a utilisées pour l'évaluation des profils, la détermination des niveaux, en utilisant des approches compensatoires pour les contrôles tels que la collecte de questionnaires ou la collecte d'informations et en s'assurant que les éléments sont significatifs et pertinents pour le type de diligence raisonnable approprié. Alors, Peter, faites-nous savoir si vous recevez quelque chose dans les prochaines minutes, mais Keith et moi allons réfléchir à la question. D'ici là, si vous avez besoin de nous.
Peter Schumacher : Oui.
Peter Schumacher : D'accord, je vous tiendrai au courant.
Keith Likenwaller : Oui, Brenda, j'ajouterai un autre espace que nous avons trouvé très utile pour trouver des données pendant que les gens réfléchissent et proposent des idées. Beaucoup ne réalisent pas à quel point votre système de commande, qu'il s'agisse d'Oraba ou d'un autre grand nom, contient des données précieuses. Si vous utilisez un système de commande ou si votre service des achats effectue un suivi pour les petites entreprises, examinez-le de près. Il y a beaucoup d'éléments de données sur le type de matériel fourni par une entreprise. De nos jours, les grands systèmes sont très standardisés, ce qui peut vraiment vous aider à trouver des mots-clés pour ces deux entreprises. Cela ne vaut pas la peine de s'y attarder. La valeur réelle d'un risque cybernétique par rapport, disons, au service de tonte de pelouse n'est pas là. Mais de la même manière, j'ai trouvé dans certaines de ces analyses de bons de commande d'excellentes informations sur les zones de notre entreprise où je peux trouver la liste des fournisseurs dont l'entreprise ne se rend même pas compte qu'elle dispose. La recherche de ces données peut donc être très utile. Nous avons également constaté en examinant ces données que je ne suis pas un grand partisan de l'approche strictement basée sur le montant dépensé. En effet, parfois, la plus petite entreprise avec un petit contrat peut présenter un risque énorme. Mais parfois, il faut faire des coupes pour cette année. N'ayez donc pas peur de dire que vous allez d'abord vous intéresser aux montants élevés, puis approfondir certains autres critères plus tard. Je pense que pour vraiment mettre en place un programme de triage, il faut l'adapter chaque année et s'assurer que vous examinez réellement votre entreprise sous différents angles. Nous suivons donc attentivement les analyses que nous avons effectuées et la manière dont nous les avons déclenchées, afin de pouvoir vraiment déterminer quelles sont les données que nous n'avons pas examinées et qui pourraient nous apporter une zone d'application que nous n'avons pas vraiment surveillée. Il s'agit donc de trouver les 10 ou 20 % de vos fournisseurs et partenaires qui sont vraiment importants pour le succès de votre entreprise.
Brenda Ferraro : Oui, Peter, avons-nous reçu quelque chose ?
Peter Schumacher : Bon, on dirait que notre public est plutôt calme ce matin. Ce qui est surprenant, car nous sommes nombreux ici, mais bon, personne ne souhaite partager d'exemples sur la manière dont ils identifient leurs fournisseurs critiques. Pas de souci, nous avons beaucoup de choses à aborder. Nous aurons d'autres occasions, espérons-le, au cours de cette journée. Les autres sujets dont nous devons parler sont bien sûr les protocoles de traitement. Beaucoup de nos clients, ou ceux à qui j'ai parlé, accordent une grande importance à l'évolutivité et à la conformité. Peter, comment... Non, Peter, vous nous aidez avec les questions, mais Keith, comment gérez-vous et suivez-vous la manière dont l'entreprise conserve ou comprend comment faire évoluer tout le travail qui doit être fait ? Parce qu'il y en a beaucoup.
Keith Likenwaller : Il y en a beaucoup, c'est certain. Et c'est un problème qui préoccupe toutes les personnes avec lesquelles je discute, qu'elles travaillent dans des petites, moyennes ou grandes entreprises. Je pense qu'il y a deux éléments fondamentaux pour la réussite d'un programme que vous souhaitez aligner avec votre direction. Le premier est vraiment de maintenir la responsabilité de l'entreprise. En fin de compte, les risques liés à la cybersécurité et les évaluations des fournisseurs et des partenaires visent vraiment à aider l'entreprise à prendre de bonnes décisions. J'aime toujours dire que la cybersécurité est l'un des 18 risques qui doivent être gérés avec un bon partenaire ou un tiers. Et parfois, la bonne décision pour l'entreprise est de dire qu'elle va prendre certains risques en matière de cybersécurité parce que les fournisseurs sont tout simplement uniques et excellents dans les autres domaines dont elle a besoin. C'est pourquoi cela doit vraiment relever de la responsabilité de l'entreprise. Il faut donc commencer par établir cela, y réfléchir et le définir avec vos dirigeants. Dans cette optique, je pense qu'il est essentiel d'essayer de rendre tout cela aussi réutilisable que possible. Nous évaluons les fournisseurs au cas par cas. Euh, puis nous appliquons cette évaluation à plusieurs missions que nous pouvons avoir avec le même fournisseur ou partenaire. Euh, ce qui signifie que s'ils échouent, nous avons un indicateur avancé d'une question selon laquelle ils échouent à un certain contrôle que nous estimons probablement inadéquat euh par rapport à nos attentes normales. Euh, cela ne s'applique peut-être pas à la première mission avec ce fournisseur et ce n'est pas grave, mais nous montrerons tout de même ce contrôle comme une lacune euh comme un risque qui existe. Cela ne s'appliquera pas à la mission en cours, mais lors de la prochaine mission, ils devront se poser la même question. Ont-ils échoué sur ce point particulier ? C'est un moyen d'examiner réellement l'évolutivité et de s'assurer que vous êtes en conformité avec les missions et les activités en cours. que vous examinez spécifiquement à ce moment-là.
Brenda Ferraro : Oui, je pense que lorsque nous envisageons la collecte d'informations dans une perspective d'audit, nous voulons faire en sorte qu'elles soient visibles par différents services. Par exemple, si le service des achats souhaite vérifier si j'évalue cinq tiers différents les uns par rapport aux autres dans le cadre d'un processus de sélection, je veux pouvoir voir ce que j'ai besoin de savoir sur le travail lourd après avoir sélectionné ce tiers particulier, s'il y a un travail lourd à faire. pour les aider à amener leur posture de sécurité au niveau de maturité de votre entreprise. L'autre élément concerne les accords de niveau de service. Il faut donc disposer d'indicateurs de performance clés et d'indicateurs de risque pour savoir combien de temps il faut pour recueillir des informations ou à quelle vitesse ils atténuent leurs risques. Ce sont des éléments que nous devons également examiner pour nous assurer de la conformité. Mais la responsabilité dont vous avez parlé en ce qui concerne les unités commerciales n'existe pas dans toutes les entreprises. Leur équipe de gestion des risques tiers continue d'assumer cette responsabilité et de suivre cette voie. Vous et moi avons eu de la chance dans certaines des entreprises pour lesquelles nous avons travaillé, car les unités opérationnelles avaient déjà pris conscience qu'elles devaient assumer leurs responsabilités pour aider à cette lourde tâche, s'il y en avait une, en matière de sécurité et d'atténuation des risques, mais certaines ne le font pas. Quelle technique avez-vous donc utilisée pour changer la culture des unités opérationnelles et/ou des services d'approvisionnement afin qu'ils assument leurs responsabilités en matière de sélection ou d'atténuation des risques ?
Keith Likenwaller : Oui, Brenda, c'est tout à fait vrai. Il y a une technique que j'ai en quelque sorte découverte par hasard et dont j'aimerais que d'autres puissent bénéficier. Cette technique concerne la gestion des risques liés aux tiers. Je m'assure d'intégrer à mon programme et à ma boîte à outils des personnes issues du monde des affaires, qui ont une expérience dans ce domaine. Ironiquement, j'ai moi-même une expérience assez variée, ayant géré des restaurants et aidé ma femme à gérer des pompes funèbres dans le passé. Mais cette expérience dans le monde des affaires m'a permis d'adopter une approche différente lorsque je présente ou que mon organisation présente une évaluation des risques. Il ne s'agit pas simplement de dire que ce contrôle est défaillant. Nous passons vraiment à l'étape suivante, où nous affirmons que ce contrôle semble inadéquat par rapport à nos normes. Voici comment ce contrôle pourrait se traduire par un problème non seulement en termes de conformité, mais aussi sur le plan opérationnel. Et ce que j'ai découvert au fil du temps en expliquant à l'entreprise, à l'aide d'exemples même les plus simples, que cette entreprise manque d'un programme solide de gestion du changement et comment cela pourrait lui nuire sur le plan opérationnel. Cela signifie qu'elle est plus susceptible d'apporter un changement qui entraînerait en fait une panne. Elle est plus susceptible d'être hors service pendant une période plus longue, car elle ne dispose pas d'un journal permettant de voir quelles ont été les trois dernières modifications apportées. Tout à coup, l'entreprise s'intéresse à ces contrôles cybernétiques et commence à s'engager. Même si vous n'avez pas l'engagement que l'entreprise est responsable, parfois, la manière dont vous répondez aux risques peut les aider à se sentir plus impliqués et engagés. C'est là que vous pouvez commencer à faire évoluer la culture et qu'ils prendront davantage de responsabilités en matière de leadership, car ils se sentent vraiment en danger.
Brenda Ferraro : Oui, je pense que vous avez tout à fait raison quand vous dites que la connaissance est source de pouvoir et qu'il faut présenter les risques sous une forme digeste, par exemple dans un rapport de synthèse des risques, pour leur dire : « Voici ce que nous avons constaté et voici ce que nous allons mettre en place pour atténuer les risques », puis commencer à rendre compte à ces unités commerciales pour leur dire : « Vous savez, nous avons tous ces différents fournisseurs qui vous fournissent des services. Voici leurs points faibles. Voici leurs points forts. Voici les domaines dans lesquels vous avez beaucoup trop de fournisseurs qui offrent le même service, certains d'entre eux ayant une posture de sécurité mature et d'autres non. Ces rapports et ces indicateurs sont donc vraiment importants. Parlons maintenant du suivi de la réussite, des Kri et des KPI. Quels sont les éléments que vous examinez chez Fizer pour savoir si vous devez modifier ou améliorer votre programme ou si vos risques semblent s'aggraver et ne pas être pris en compte ?
Keith Likenwaller : Oui. Il y a plusieurs choses que j'aimerais vraiment souligner à ce sujet. Euh, surveiller la santé de l'organisation, euh, du programme et son fonctionnement. Hum, tout d'abord, je pense que tout programme de mesure devient beaucoup plus simple à mettre en place quand on commence vraiment à dire : « D'accord, tout le monde dit qu'il faut avoir des SLA, vous les avez, mais pensez aussi au fait que vous avez besoin de mesures qui vous aident à la fois dans vos activités opérationnelles, vous savez combien de demandes vous recevez, est-ce que nous recevons les demandes, euh, collectées dans un délai de deux semaines au moins 50 % du temps. Il est nécessaire de fixer ces objectifs et de comprendre comment les mesurer au niveau opérationnel. Mais vous devez également prendre du recul et réfléchir à ce que vous pouvez faire pour vous assurer que vous vous concentrez davantage sur le niveau stratégique, que vous partagerez avec vos cadres supérieurs ou même votre conseil d'administration. Certaines de ces mesures peuvent être assez simples, comme vérifier si nous réussissons à obtenir au moins 90 % des réponses lorsque nous avons 400 fournisseurs présentant un niveau de risque qui justifie un examen. L'une des choses que j'ai apprises au cours de mon parcours, et peu importe l'entreprise avec laquelle j'ai discuté ou les entreprises dans lesquelles j'ai mis en place le programme, c'est qu'il est difficile d'obtenir une réponse des fournisseurs. C'est une tâche ardue. Les contacts de l'entreprise avec ce fournisseur changent constamment. Les contacts du fournisseur changent constamment. Les engagements dans lesquels nous sommes impliqués avec une entreprise donnée changent chaque jour. Et le nombre de cas particuliers que vous pouvez rencontrer est tout simplement infini. Il faut donc fixer des attentes réalistes avec la direction en disant : « Bon, je vais dire que j'ai 400 cas à examiner, mais je n'en aurai peut-être que 300. » Et il y aura des dizaines de raisons pour les 100 autres. Vous pouvez consacrer toutes vos ressources à suivre et à rechercher ces 100 derniers cas et à cocher la case « conformité ». Je vais tous les obtenir. Ou vous pouvez dire : « Attendez une minute. Ai-je épuisé le risque ici dans une mesure raisonnable et vaut-il mieux que je commence à consacrer mes ressources à un autre lancement dans un domaine que je n'ai pas encore exploré ? » Hum, et je fais très attention à déterminer à quel moment je commence à obtenir des rendements décroissants sur mes ressources. Il est donc important d'avoir des indicateurs qui permettent de surveiller cela, de surveiller où vous passez votre temps et de vous retourner et de dire : « Attendez une minute, je pense que je suis allé assez loin ici. Même si je n'ai pas terminé à 100 %, il est temps de consacrer certaines ressources à une autre zone de lancement sur laquelle je veux me concentrer pour ma prochaine vague. Diviser logiquement les choses en vagues est une autre technique que j'ai trouvée extrêmement utile pour aider le personnel à se concentrer sur un point, déclarer le succès et passer à autre chose.
Brenda Ferraro : Oui. Et je pense que ce changement est inévitable. En gros, ce que vous dites, c'est que les choses évoluent constamment. Et regardez où nous en sommes aujourd'hui. Je suis donc tout à fait d'accord avec cela. L'autre chose, c'est que beaucoup d'entreprises commencent à utiliser des services gérés ou ce que nous appelons le centre d'opérations de gestion des risques pour aider à améliorer l'évolutivité ou à surveiller la réussite en vérifiant que les informations qui reviennent sont exactes ou qu'elles ne sont pas erronées par rapport à ce que vous essayez de déterminer en matière de risque. Et ensuite, faire en sorte que les entreprises n'aient pas nécessairement à se décharger des ressources qui s'occupaient des risques liés aux tiers, mais faire en sorte qu'elles deviennent des gestionnaires de risques. Elles examinent donc réellement les risques, les identifient et les intègrent dans un programme qu'elles peuvent suivre jusqu'à leur résolution, et adoptent une approche d'évaluation plus continue. Quel type d'évolution avez-vous donc suivi en matière d'identification des risques, puis de transition vers une gestion holistique des risques et une technique fondamentale d'atténuation des risques ?
Keith Likenwaller : Bien sûr. Hum, tout d'abord, je pense qu'il faut toujours commencer par définir un ensemble de critères, et je ne pense pas que la taille de l'entreprise ait une importance. Hum, car d'après mes conversations, il semble que toutes les entreprises disposent de moins de ressources qu'elles ne le souhaiteraient pour examiner l'ensemble de leur parc de tiers. Il s'agit donc vraiment de définir des critères adaptés à votre entreprise, à votre modèle commercial, qui indiquent les éléments qu'il est absolument nécessaire de surveiller. Chaque secteur a ses propres réglementations. Il est donc important de comprendre quels sont les éléments déclencheurs de ces réglementations qui concernent votre entreprise en particulier. Ces critères doivent être pris en compte dans votre processus de sélection afin de vraiment faire avancer les choses. Mais je pense qu'il ne faut pas non plus oublier l'importance opérationnelle. Il est vraiment utile de définir les critères opérationnels qui nous amèneront à dire que c'est absolument important pour nous. Il est donc essentiel, à mon avis, de les définir avec l'entreprise, en les illustrant par des exemples liés aux différentes unités commerciales que vous soutenez, afin de vous aider à choisir les domaines sur lesquels vous concentrer lorsque vous commencez à analyser les données. Je pense que vous savez, grâce aux politiques d'entreprise, ce qui doit être évalué et pourquoi, mais en fin de compte, la surveillance de la gouvernance des risques doit s'appuyer sur le programme de gestion des risques liés aux tiers et dire : « Maintenant, examinons les données sur ce qui se passe réellement dans l'entreprise et aidons l'entreprise à identifier les domaines qu'elle n'a peut-être pas vraiment surveillés, tous les tiers qu'elle aurait dû surveiller, et à vraiment analyser cela, mais je pense qu'il est impératif, lorsque nous faisons cela, lorsque vous suivez les risques, de commencer petit et de grandir. Commencez modestement, puis développez-vous. Commencez par suivre les fournisseurs les plus critiques identifiés. Ensuite, après les avoir suivis, suivez les vulnérabilités critiques, les contrôles critiques qu'ils ne respectent pas et que vous souhaitez suivre jusqu'à leur résolution. Je commence par là. Avec cette liste, ce qui se passe souvent, c'est que les données deviennent très rapidement disponibles. Nous pensions examiner les quelques centaines de fournisseurs les plus importants qui avaient été identifiés. Mais à mesure que nous approfondissons notre analyse, que nous procédons à l'évaluation et que nous discutons des contrôles avec l'entreprise, nous constatons que certains de ces fournisseurs ne sont plus considérés comme critiques. En réalité, ils ne sont que moyennement importants. Et ce n'est pas grave. Hum, assurez-vous de conserver ces informations hum, afin de pouvoir prendre des décisions plus tard. Hum, mais continuez à vous adapter et c'est là que je pense qu'il est vraiment essentiel d'examiner les éléments qui peuvent être automatisés et externalisés, comme la collecte, afin de bénéficier d'une plus grande flexibilité pour changer. Hum, cette période de COVID est le moment idéal. En tant qu'entreprise, nous nous concentrons évidemment sur certains éléments et certaines parties. C'est pourquoi un programme de gestion des risques tiers doit être prêt à changer de cap à tout moment et à dire : « Vous savez quoi ? J'allais évaluer ces fournisseurs, mais cette unité commerciale a une priorité bien plus importante pour les quatre prochains mois. Je vais donc me tourner vers cette autre unité commerciale et l'aider. » Donc, pour pouvoir s'adapter et changer de direction, je pense qu'il est important d'avoir un bon partenaire pour effectuer ces collectes, etc. Et une boîte à outils d'automatisation avec un flux de travail vous permet de changer de direction. Je pense qu'il est extrêmement important d'être agile pour assurer le succès de votre programme.
Brenda Ferraro : Oui. Et tout d'abord, je tiens à remercier Fizer d'être l'une des sociétés pharmaceutiques qui nous aide à sortir de la situation dans laquelle nous nous trouvons. Donc, pour faciliter ce dont vous parlez en matière d'apprentissage automatique ou d'intelligence artificielle ou de regroupement de vos risques. Beaucoup d'entreprises se basent sur des questionnaires pour leur approche holistique, ce qui leur permet bien sûr d'évaluer le niveau de confiance. Et puis, il y a des entreprises qui utilisent différents rapports de veille sur les menaces et qui relient ces deux éléments de contenu pour dire : « Voici ce que l'entreprise dit faire en matière de risques et voici ce que nous trouvons dans les flux open source. Je sais que certaines entreprises utilisent une solution telle que Prevalent pour faire tout cela. Mais de votre point de vue, il est également important d'avoir la flexibilité nécessaire pour disposer de données provenant de Prevalent afin de pouvoir les intégrer, je pense, dans un environnement Splunk ou similaire, afin de pouvoir exploiter et corréler ces informations pour votre approche de gestion des risques d'entreprise, n'est-ce pas ?
Keith Likenwaller : Oui, c'est exact. Je pense qu'il faut vraiment considérer la gestion des risques liés aux tiers comme l'un des risques que vous gérez en tant que responsable des risques dans une entreprise. Pour bien le faire, vous devez rassembler tous ces éléments au même endroit afin de pouvoir enrichir les différentes activités. L'une des plus grandes chaînes de valeur que nous avons eues avec le programme de gestion des risques liés aux tiers consiste à surveiller de près les fournisseurs et les partenaires qui signalent avoir subi des pannes importantes, des attaques de ransomware ou de malware, voire des violations mineures au fil du temps. Lorsqu'ils signalent ces incidents, nous examinons rétrospectivement les indicateurs dont nous disposons, soit à partir des outils d'information publique qui surveillent les informations publiques pour nous et fournissent des rapports, soit en corrélant ces informations avec des questionnaires qui indiquent les défaillances de contrôle, etc. Au fil du temps, cela nous permet de mieux comprendre, à partir de ces données, quels types de contrôles sont le plus souvent enfreints ou ne sont pas en règle, et lesquels sont réellement à l'origine des incidents réels. Le fait de pouvoir observer cela vous aide à savoir quels contrôles vous souhaitez vraiment surveiller de près et lesquels vous allez traiter, je dirais, avec davantage de vos précieuses ressources, afin d'en discuter avec l'entreprise.
Brenda Ferraro : Oui, il est vraiment important d'avoir ce guide et une approche pour gérer ces risques. Je pense qu'il faut préconfigurer vos recommandations en matière de risques en fonction des différentes techniques que vous utilisez, qu'il s'agisse d'un questionnaire, d'informations sur les menaces ou les deux. Ensuite, il faut identifier les risques et discuter entre vous pour déterminer s'il s'agit réellement d'un risque ou non. Ces évaluations des risques vous permettront ensuite de déterminer s'il est important ou non de traiter le problème en fonction de votre engagement. Je pense que tous ces éléments sont essentiels dans une plateforme flexible ou une solution qui vous aidera à obtenir ces données.
Brenda Ferraro : Bon, je crois que c'est notre dernière question avant de passer à l'enseignement. Je m'exprime très bien aujourd'hui. Points clés à retenir. Avez-vous déjà essayé le pig latin, où l'on change toutes les lettres ? C'est un peu comme ça que je vais commencer à parler dans une seconde, mais nous allons parler de la thérapie que vous pouvez tirer de votre système de soutien. Donc, après avoir passé par le triage, les protocoles, la guérison et le suivi de cette guérison, et grâce à votre esprit visionnaire et innovateur, nous avons un peu parlé de cela au début, vous disposerez d'un système de soutien composé d'autres entreprises issues de différents secteurs. Que pensez-vous des systèmes de soutien ?
Keith Likenwaller : Oui, j'ai trouvé que ces systèmes de soutien, comme nous les appelons, sont inestimables à tous les égards pour faire mûrir le programme, le gérer et obtenir le retour sur investissement que la direction attend de moi. Et pour ce faire, je pense qu'il y a deux éléments clés. Le premier élément clé est de réduire votre propre stress. Le simple fait de savoir que tout le monde mène des combats similaires. Je pense que cela vous fait prendre conscience que vous pouvez y arriver, mais que vous disposez d'une structure de soutien, et cette structure de soutien se traduit rapidement en idées. Chaque entreprise a sa propre politique interne, son propre parcours qui l'a amenée là où elle est aujourd'hui et le parcours qui la mènera vers demain. Et ce que j'ai appris au fil du temps, c'est que la politique et les lois de conformité auxquelles elles peuvent être soumises, l'orientation de leur direction à ce moment-là, vont rendre certaines choses ou certains fournisseurs ou partenaires plus importants à traiter de manière appropriée et à évaluer correctement. Mais écouter ce que font les autres entreprises, écouter leurs décisions et ce qui les a vraiment poussées à prendre ces décisions, cela m'a vraiment aidé à mettre en place un bon système de soutien et un ensemble d'idées pour rédiger ma propre feuille de route pour le programme que je dirige. Et comme je le fais de manière stratégique, il y a des choses que je trouve vraiment fondamentales pour réussir, qui, vous savez, reviennent à l'essentiel. J'aime toujours dire que l'un des plus grands défis consiste simplement à conserver les connaissances acquises de manière à pouvoir les réutiliser. Et reconnaître que les données deviennent obsolètes plus rapidement que vous ne pouvez les maintenir à jour.
Brenda Ferraro : Oui. Dès que vous avez fini de le remplir,
Keith Likenwaller : l'exemple parfait de cela est
Brenda Ferraro : Oh, vas-y. La chose la plus difficile à gérer au monde.
Brenda Ferraro : Allez-y.
Keith Likenwaller : Désolé, Brandon. Oui, les contacts sont probablement la chose la plus difficile à gérer. Euh, c'est difficile au sein de votre propre entreprise. Euh, mais quand vous commencez à parler de tous les représentants commerciaux, etc. entre les fournisseurs et tout ce qui change euh au cours d'une journée, d'une semaine, d'un mois ou d'une année donnée. Hum, revenir, vous savez, après un laps de temps approprié et dire : « Nous avons toujours une exposition au pare-feu entre ce partenaire et moi, donc je veux les réévaluer. » Hum, probablement neuf chances sur dix, les personnes impliquées lorsque je les ai évaluées, vous savez, il y a un an ou un an et demi, ne seront probablement toujours pas les mêmes personnes. Donc, avoir une excellente documentation sur ce que vous essayez réellement d'accomplir, partager ces messages de lancement de manière très claire et concise, et être prêt à documenter, à suivre et à avoir des contacts de secours pour toutes les différentes parties et pièces, peut vous faire gagner beaucoup de temps à l'avenir. Réfléchissez donc à ce dont vous pourriez avoir besoin à l'avenir. Documentez ces éléments pendant que vous organisez vos événements afin de pouvoir les réutiliser plus tard. Cela peut vous faire gagner beaucoup de temps.
Brenda Ferraro : Oui, j'aime voir comment vous et d'autres clients discutez entre vous de votre approche évolutive et de votre parcours, car vous apprenez toujours quelque chose les uns des autres. Je vous remercie donc de participer à ce type d'initiatives, qu'il s'agisse du HISAC, d'un groupe de travail ou d'un groupe de pairs. Parlons maintenant très brièvement des principaux enseignements à retenir. Quels sont les points essentiels que vous souhaitez que les gens retiennent de notre discussion d'aujourd'hui afin qu'ils n'aient pas à apprendre à leurs dépens, comme nous avons dû le faire par le passé ?
Keith Likenwaller : Oui. Je pense qu'il y a probablement quatre points que je voudrais souligner. Je dirais simplement que lorsque vous réfléchissez à votre propre programme, pensez à la manière dont ceux-ci pourraient être modifiés afin de vous permettre d'atteindre le niveau de maturité que vous souhaitez. Le premier point concerne vos activités d'externalisation et d'automatisation. Recherchez des partenaires qui peuvent se charger des recouvrements à votre place afin que vous puissiez vraiment tirer parti des talents de vos équipes ou de vos propres compétences, qui connaissent votre activité et votre entreprise, et vous assurer que vous vous concentrez réellement sur les discussions qui se trouvent à la fin du parcours. J'essaie vraiment de supprimer le travail de recouvrement et, en fait, nous avons automatisé le processus après le recouvrement, de sorte que le rapport préliminaire est généré instantanément dans un langage automatisé. Avec ce type de processus, nous pouvons alors nous concentrer sur la question suivante : cela s'applique-t-il à cet engagement ? Que devons-nous enseigner à l'entreprise ? Ce sont là des conversations de grande valeur qui nécessitent vraiment vos connaissances internes pour être vraiment efficaces. Donc, concentrer vos ressources sur ce point signifie automatiser et externaliser les collectes et ce type d'activités vous aide vraiment à tirer pleinement parti de vos ressources internes. L'autre point à retenir est que nous avons trouvé une valeur considérable dans la mise en correspondance de nos questionnaires avec les contrôles qui, selon eux, font probablement défaut ou ne sont pas au niveau de maturité que nous souhaitons. Donc, si vous posez des questions clés qui identifient réellement les défaillances des contrôles plutôt que d'essayer de tout rassembler, je pense que vous constaterez que l'entreprise apprécie de se concentrer sur seulement 50 questions à répondre, et non 500. Et concentrez-vous vraiment sur les questions qui amèneront l'entreprise à dire : « Vous savez quoi, je vais peut-être décider de ne pas faire appel à ce fournisseur. Hum, je doute fortement que les entreprises disent généralement : « Eh bien, elles ne vérifient pas toujours les antécédents. » Je ne pense pas que cela changera leur choix de fournisseur, mais je pense que lorsque nous commençons à parler de contrôles opérationnels, l'absence d'un programme de gestion du changement est beaucoup plus importante pour le succès et la relation continue entre un fournisseur et celui que vous utilisez. Il faut donc s'assurer que vous ciblez bien les contrôles qui pourraient réellement entraîner des changements. En particulier dans le cas d'une modernisation, le remplacement d'un fournisseur existant par un nouveau fournisseur représente un coût élevé pour l'entreprise. Il faut donc avoir une bonne raison pour procéder à un changement ou pousser le fournisseur à modifier ses contrôles. Lorsque vous classez vos fournisseurs, faites preuve de créativité. Recherchez les données, vos systèmes d'approvisionnement, vos systèmes de bons de commande, votre système DLP, vos règles de pare-feu, toutes les sources de données qui pourraient vous aider à sélectionner les entreprises ou les partenaires qui sont probablement les plus importants pour vous ou qui traitent réellement les données dont vous dites : « Je devrais vraiment avoir une bonne évaluation dans mes dossiers ». Ensuite, établissez des partenariats en interne, mais aussi avec vos partenaires tels que Prevalent ou d'autres fournisseurs que vous utilisez dans votre boîte à outils. Collaborez avec vos services financiers et achats pour vraiment comprendre leurs défis, prenez vraiment le temps de développer du matériel pédagogique. Ils sont en conversation tous les jours. Et si vous pouvez les amener à devenir cette main-d'œuvre et ce partenaire qui dit : « Attendez une minute, cela m'inquiète vraiment à cause de quelque chose que Keith m'a appris. » C'est une formidable opportunité de recevoir cet appel téléphonique et de dire : « Nous avons une opportunité qui n'a pas été saisie d'une autre manière, mais nous devrions vraiment en discuter. » Il est donc important de pouvoir saisir ces situations particulières dont j'ai parlé tout à l'heure. Il est vraiment important de bien former vos partenaires internes dans les domaines des achats et des bons de commande. Hum, nous obtenons une valeur ajoutée considérable à ce stade en posant certaines questions dans le cadre du processus de commande qui nous amènent à dire, en fonction de la manière dont ils ont répondu à cette question, que nous devrions avoir une évaluation dans nos dossiers. Nous le voyons ou nous ne le voyons pas. Et ensuite, nous effectuons le suivi approprié pour leur dire que même s'il y a un dossier et qu'il y avait une lacune dans leur évaluation précédente, nous nous assurons de leur communiquer à nouveau qu'il s'agit d'une lacune qu'ils doivent reconnaître et à laquelle ils doivent réfléchir s'ils souhaitent avoir une conversation sur la sécurité.
Brenda Ferraro : Oui, je suis d'accord avec ces quatre points, ainsi qu'avec les trois ou quatre autres que j'ai mentionnés. L'un d'entre eux consiste à évaluer votre maturité afin d'identifier toutes les choses formidables que vous avez accomplies pour créer le programme, ainsi que les améliorations que vous pourriez envisager avant de planifier votre prochaine année. L'autre chose est de disposer d'une plateforme flexible qui peut collecter des données sous plusieurs facettes, les communiquer et fournir des notifications par e-mail et des réponses pour les rapports sur ce qui ne va pas, afin que vous puissiez ajuster votre programme et vos risques. Disposez d'une plateforme qui corrèle les informations ou qui peut vous fournir les données afin que vous puissiez les corréler ailleurs, comme le fait Fiser. Partagez-les ensuite, comme vous l'avez dit, à l'échelle de l'entreprise, afin que les services financiers, juridiques et de confidentialité puissent les consulter sous l'angle qui leur importe. Merci beaucoup, Keith. Je pense que nous allons avoir un peu de temps pour une séance de questions-réponses d'environ 10 minutes. Je vais donc redonner la parole à Peter pour un sondage, puis nous répondrons à quelques questions spécifiques du public.
Peter Schumacher : Merci, Brenda. Euh, oui. Bon, je vais maintenant lancer un sondage. Il devrait apparaître sur votre écran d'ici quelques secondes, mais pour ceux qui l'attendent, la question est la suivante : envisagez-vous d'améliorer ou de mettre en place un programme de gestion des risques liés aux tiers cette année ? Vous pouvez répondre oui, non ou je ne sais pas. Nous avons reçu plusieurs questions. Je vais donc y répondre immédiatement. Dans la lignée de ce que vous venez de dire sur vos principaux enseignements, Brenda, voici une question : existe-t-il actuellement un modèle de maturité pour l'évaluation des tiers ? Vous avez parlé de la maturité de l'évaluation des tiers et de certaines évaluations de maturité. Existe-t-il un modèle ?
Brenda Ferraro : Oui. Il existe plusieurs modèles différents. Celui utilisé par Prevalent est un modèle CMMA intégré au protocole pro. Vous vous connectez et vous répondez au questionnaire comme si vous étiez un fournisseur, puis vous obtenez un rapport détaillé qui vous indique où vous en êtes dans le modèle de maturité continue. Nous avons utilisé notre expertise dans l'ensemble de nos systèmes et ressources. Et je crois que Fizer a même utilisé cette évaluation du modèle de maturité et a trouvé des éléments qui pourraient vous être utiles à l'avenir pour déterminer où investir votre temps du point de vue du retour sur investissement.
Keith Likenwaller : Oui, tout à fait, Brenda. Je veux dire, nous avons fait cela, euh, dans le cadre de l'offre qui nous a été proposée. Euh, et euh, nous avons certainement ajouté plusieurs éléments à notre feuille de route pour les deux prochaines années, sur lesquels nous allons nous concentrer. Euh, lorsque vous utilisez ce modèle et que vous cherchez vraiment à vous évaluer, l'une des premières étapes, selon moi, avant même de commencer à définir ce qui fait partie d'un programme et ce qui... Euh, si vous avez un questionnaire ou une méthode que vous envisagez... Euh, la première chose que je dis toujours, c'est de faire l'expérience vous-même. Donc, l'une des choses que j'ai faites dès que j'ai obtenu la première version 10, c'est que j'ai demandé à évaluer moi-même Fiser en suivant le même processus que celui que j'attends de mes partenaires. J'étais le client et le fait de passer par là m'a permis de savoir si vous êtes équilibré. Posez-vous les bonnes questions ? Êtes-vous réellement capable de répondre correctement aux questions vous-même ? Combien de temps vous a-t-il fallu pour rassembler et faire tout cela ? Cela vous aidera à comprendre les difficultés rencontrées par vos partenaires, car vous vous retrouverez confronté à certains des mêmes problèmes. Parfois, le simple fait de s'entraîner et de le faire soi-même, ironiquement sur soi-même, est l'un des meilleurs moyens d'obtenir un retour sur investissement. Cela vous permet de vraiment dire : « Est-ce que cela a abouti à ce que je voulais ? Est-ce que je fonctionne comme je le souhaite ? » Cela vous donne également un autre argument de poids que vous pouvez utiliser pour évaluer votre maturité et vous mesurer vous-même. Cela vous aide à définir vos orientations futures et à contrôler ce que vous faites. Vous pouvez dire : « J'attends de mes partenaires qu'ils aient les mêmes contrôles que ceux que j'applique lorsque je construis en interne. C'est un message puissant lorsque vous êtes en réunion avec une entreprise. Vous ne leur demandez pas plus. Vous leur demandez de respecter les mêmes exigences que celles que vous attendriez si nous avions construit cela en interne.
Brenda Ferraro : Oui. Et je pense que c'est une bonne façon d'exprimer trois expressions différentes qui me viennent à l'esprit. Buvez d'abord votre propre Kool-Aid. Mangez d'abord votre propre nourriture pour chien. Ou, comme j'aime à le dire, mangez d'abord votre propre caviar, car la nourriture pour chien n'est pas très bonne. Parfois, le caviar n'est pas bon non plus, mais c'est un peu comme ça que je le formule. Qu'avons-nous d'autre, Peter ?
Peter Schumacher : Nous avons reçu un commentaire, je crois, en rapport avec la conversation que vous avez essayé d'entamer sur la manière d'identifier vos fournisseurs essentiels. Je vais donc lire ce commentaire et voir s'il suscite d'autres discussions. Il dit : « Nous essayons de dresser le profil de notre vaste réseau de fournisseurs en envoyant un questionnaire de collecte d'informations et en combinant les résultats avec des renseignements cybernétiques. Le questionnaire nous aidera à classer les fournisseurs en fonction des données partagées, le cas échéant, de l'emplacement des données, de la méthode de connexion et du recours à des sous-traitants.
Brenda Ferraro : Oui, je pense que c'est une très bonne approche. Souvent, si vous n'avez pas la possibilité d'obtenir un formulaire d'admission qui vous fournira les informations dont vous avez besoin pour effectuer une vérification préalable adéquate, vous pouvez vous adresser à vos fournisseurs pour leur demander ces informations, puis utiliser les renseignements recueillis pour établir un ordre de priorité parmi les personnes à contacter. Et puis, à mesure que vous changez la culture de votre entreprise, si celle-ci ne dispose pas d'une responsabilité des unités commerciales ou si les données d'approvisionnement sont mauvaises, pour le point de contact. Je pense que c'est la meilleure approche à adopter. Qu'en pensez-vous ?
Keith Likenwaller : C'est une excellente approche. Je veux dire, aller sur le terrain et essayer de comprendre comment fonctionne l'engagement, et obtenir les données initiales, c'est un excellent moyen de sélectionner les domaines dans lesquels nous voulons vraiment approfondir nos recherches. Je pense qu'il est important de comprendre les contrôles que vous anticipez comme des échecs. C'est là que vous pouvez vous tourner vers vos partenaires, leur poser quelques questions et vraiment planifier ce questionnaire de sélection qui peut vous mener à un endroit où vous disposez des meilleures informations pour dire que c'est là qu'il est logique pour nous d'approfondir vraiment. Réfléchissez donc aux contrôles qui vous effraient vraiment et qui vous inciteraient à vouloir approfondir la question, en posant une question indicative à ce sujet dans le cadre du programme d'une entreprise. J'ai vu plusieurs entreprises faire ce qui est décrit, car elles ne disposaient pas des données internes. J'ai constaté de bons résultats à ce sujet. Je vous encourage donc à le faire si vous pensez que cela peut fonctionner pour vous. Essayez. Développez-le. Commencez modestement. Assurez-vous d'avoir les bonnes questions afin de ne pas avoir à revenir plusieurs fois vers les fournisseurs de logiciels. Et puis, assurez-vous d'avoir une bonne couverture de l'ensemble de votre flotte. Ensuite, établissez des indicateurs de direction à partir de là afin d'obtenir l'adhésion de la direction pour aller de l'avant et poursuivre votre programme.
Brenda Ferraro : D'accord. Qu'avons-nous d'autre, Peter ?
Peter Schumacher : Euh, la question suivante est : quels sont les autres domaines que vous considérez en dehors du cyberespace ?
Brenda Ferraro : d'autres domaines à risque ?
Brenda Ferraro : Oui, l'intelligence économique devient très importante pour pouvoir voir s'il y a eu des changements dans leur entreprise ou s'ils ont rencontré des difficultés financières. Hum, beaucoup des capacités de veille stratégique disponibles aujourd'hui incluent la cyber-veille, ce qui est vraiment important et vous fournit les informations dont vous avez besoin d'un point de vue open source, mais la veille stratégique interne ou la veille économique est tout aussi importante, en particulier pour les risques élevés. J'ajouterais donc cela à la liste. Qu'en pensez-vous, Keith ?
Keith Likenwaller : Oh, absolument. Je veux parler de l'intelligence économique, ce qui me ramène à mon commentaire sur le fait de devenir partenaire avec les services d'approvisionnement. Neuf fois sur dix, ils ont souscrit à certains de ces services et disposent d'une partie de ces données. Hum, et j'ai personnellement vu des cas au cours de mes 16 années de carrière où les indicateurs commerciaux montrent que l'entreprise n'est plus aussi solide financièrement qu'auparavant, et où l'on commence à voir des économies réalisées, des serveurs en fin de vie mis en ligne, etc. qui finissent par avoir un impact opérationnel ou présenter des risques de violation. J'ai vu certains de ces cas au cours de ma carrière, en particulier sur le plan opérationnel. Il faut donc garder un œil sur ces autres indicateurs de risque qui s'additionnent. J'appelle cela le risque composé, qui est absolument présent dans un programme mature, ce qui est une excellente chose.
Brenda Ferraro : D'accord.
Peter Schumacher : Super. Je pense que nous avons encore le temps pour deux questions supplémentaires, je l'espère. Nous en avons plusieurs ici, alors excusez-nous si nous n'arrivons pas à répondre à la vôtre avant la fin de l'heure, mais nous allons continuer. Pouvez-vous nous donner quelques exemples d'automatisation permettant de s'affranchir des feuilles de calcul ? Keith, voulez-vous nous expliquer comment vous vous y êtes pris ?
Keith Likenwaller : Bien sûr. Hum, il y a probablement deux aspects de l'automatisation qui nous apportent le plus de valeur. Hum, bien sûr, l'automatisation de la collecte est importante, mais en plus de cela, l'automatisation du flux de travail dans la boîte à outils que nous avons trouvée est essentielle pour pouvoir réellement transmettre les connaissances issues de la coordination de la collecte à l'évaluateur, c'est-à-dire l'évaluateur de sécurité qui va déterminer s'il s'agit d'un risque ou non, examiner le rapport et transmettre le message à l'entreprise. Euh, être capable de transmettre ces informations, de faire le tri. Le flux de travail est donc essentiel. Mais le point d'automatisation numéro un qui a apporté le plus de valeur, euh, pour augmenter notre capacité, vous savez, un évaluateur de sécurité capable de faire plus d'évaluations dans le même temps, euh, revient vraiment à prendre le temps de cartographier vos questionnaires afin que, si un fournisseur fournit, euhje vais dire que la réponse à la question numéro 10 du questionnaire indique un échec du contrôle pour choisir votre contrôle préféré, en automatisant la réponse ou la réponse au risque qui serait généralement donnée par le professionnel de la sécurité avec l'exemple et en l'intégrant dans votre outil. Ainsi, lorsque vous obtenez les réponses à la question, votre évaluateur ne regarde pas les 200 questions qui ont été posées. Il examine les cinq contrôles critiques qui ne sont pas à la hauteur.
Keith Likenwaller : Ils n'évaluent pas une montagne de paperasse. Ils se concentrent plutôt sur les cinq éléments suivants : « Voici les cinq éléments. Laissez-moi en discuter avec l'entreprise. »
Brenda Ferraro : Donc, la représentation automatique, cette représentation automatique qui vous montre ce que vous devez rechercher, par opposition à « N'évaluez pas l'ensemble du document qui vous a été renvoyé et toutes les réponses qui s'y trouvent, mais voici ce que nous avons identifié grâce à la plateforme. C'est important pour vous d'aller y répondre. »
Keith Likenwaller : Oui. Je communique tous les échecs à l'entreprise et je leur dis qu'ils doivent être totalement transparents. Y
Keith Likenwaller : Hum, mais ce sont ceux qui, selon nous, devraient vous préoccuper le plus, et voici pourquoi. D'accord ?
Keith Likenwaller : Et nous obtenons beaucoup de tra a nous économisons beaucoup de ressources en concentrant la conversation. B nous obtenons beaucoup de traction et de respect. J'ai constaté au fil du temps, dans plusieurs entreprises où j'ai travaillé, que les entreprises disent : « J'apprécie vraiment le fait que vous m'aidiez à me concentrer sur ce qui est probablement le plus important pour moi. »
Brenda Ferraro : Donc, en traduisant, vous filtrez le bruit et vous vous concentrez sur ce qui est important. Oui.
Keith Likenwaller : Oui.
Brenda Ferraro : Avons-nous le temps pour une dernière question, Peter ?
Peter Schumacher : Nous allons ajouter cette dernière question. Je m'excuse de dépasser le temps imparti, mais lorsque vous recevez un avis de violation par un tiers, quel service de l'organisation prend en charge le suivi avec le fournisseur ? Est-ce le service chargé de la confidentialité ? Est-ce le service informatique ? Est-ce le service juridique, etc., ou cela dépend-il des cas ?
Brenda Ferraro : là où j'étais avant. C'était le groupe de gestion des risques tiers qui assurait la coordination entre nous et eux. Keith, est-ce différent pour vous ?
Keith Likenwaller : Pour nous, c'est différent. Euh, nous avons un processus défini qui gère l'incident. Euh, qu'il s'agisse d'une violation ou non, vous savez, il existe des procédures pour tout cela. Euh, mais pour ce qui est de ces procédures, l'équipe de gestion des risques tiers est impliquée et, à mon avis, il y a deux phases dans la réponse. Il y a la réponse immédiate. Êtes-vous en danger ? Les données de votre entreprise ont-elles été compromises ? Et est-ce interne, car les ouvertures de pare-feu que vous pourriez avoir avec ce partenaire vous exposent-elles à un risque direct en interne que vous devez commencer à vérifier ? L'adversaire a-t-il également pris pied chez vous à cause de cette situation ? Il faut passer rapidement en revue tous ces éléments. C'est le travail de l'équipe de réponse, et il faut laisser les personnes qui s'en chargent le faire au mieux. Mais veillez à ce qu'ils aient tous les contrôles que vous avez constatés lors de l'évaluation de ce fournisseur ou partenaire dans le passé. Il faut que ces données leur soient immédiatement accessibles, puis qu'ils soient informés de la situation et, au moment opportun, qui peut être littéralement un mois plus tard, réévaluer ce fournisseur et se demander s'il a amélioré ses contrôles pour atteindre un niveau approprié ou si nous avons toujours un problème de risque sur lequel nous devons travailler avec l'entreprise. J'ai donc tendance à m'engager un peu plus tard. Je m'assure que les données dont je dispose sont immédiatement mises à la disposition de l'organisation qui intervient. Cependant, comme ils devraient disposer de toutes les informations qui pourraient les aider.
Brenda Ferraro : Eh bien, comme toujours, Keith, ce fut un plaisir et merci beaucoup de nous avoir permis de vous accompagner dans cette aventure. Et Peter, je te laisse conclure cette conversation.
Peter Schumacher : Merci beaucoup. Merci à tous d'être venus. Pour rappel, nous avons enregistré cette réunion et nous vous enverrons l'enregistrement demain matin. Merci à Keith pour ses précieuses informations et son partage. J'espère que cette réunion a été utile à tous. Merci également à Brenda. À la prochaine fois et passez une bonne journée. Merci.
Keith Likenwaller : Prenez soin de vous.
Brenda Ferraro : Merci.
©2026 Mitratech, Inc. Tous droits réservés.
©2026 Mitratech, Inc. Tous droits réservés.