Comment adopter une approche holistique de l'intégration et de la désinsertion des fournisseurs ?

Melissa : Commençons par nous présenter. Je m'appelle Melissa. Je travaille ici, chez Prevalent Business Development. Aujourd'hui, nous accueillons à nouveau Tom Geruba, directeur des services de gestion des risques tiers chez Echelon Risk and Cyber. Bon retour parmi nous, Tom.

Tom Geruba : Merci beaucoup, Melissa. Je suis ravi d'être de retour. Bonjour à tous. Bonjour, bon après-midi ou bonsoir, selon l'endroit où vous vous trouvez dans le monde. Je suis très honoré que Prevalent m'ait invité à revenir pour parler de certains des défis courants que je constate dans le domaine de la gestion des risques liés aux tiers. L'un des principaux casse-tête auxquels sont confrontés de nombreux professionnels de la gestion des risques liés aux tiers concerne l'intégration et le départ des fournisseurs, et la compréhension de leurs rôles respectifs dans ce processus. Nous allons donc adopter une approche holistique de l'intégration et du départ des fournisseurs. Je suis vraiment ravi de pouvoir partager cela avec vous. Je vais vous donner quelques informations sur moi, mais Melissa vous en a déjà parlé. Voici ce que nous allons aborder aujourd'hui. Tout d'abord, nous allons parler des types de risques à évaluer lors du processus d'intégration et de départ des fournisseurs. Sur quels risques devons-nous nous concentrer ? Sur quoi devons-nous nous concentrer lorsque nous commençons à examiner à la fois l'intégration et les risques liés aux organisations que nous allons désengager et quels sont ces défis ? Nous allons parler des défis courants auxquels vous pourriez être confrontés dans le cadre de ce processus au sein de votre organisation. Nous parlerons de la diligence raisonnable qui est réellement nécessaire pour l'intégration. Nous aborderons également les risques à prendre en compte lors de la sortie. Il y a des risques à prendre en compte. Vous ne pouvez pas simplement couper les ponts et partir. Il y a des éléments à prendre en compte avant de dire au revoir à un fournisseur. Enfin, je parlerai de certains processus recommandés pour assurer la convergence de votre programme. Et si vous vous demandez ce qu'est la convergence de programme, j'y reviendrai également. Mais commençons par là. Risques à évaluer lors de l'intégration et du départ. Chaque fois que vous vous apprêtez à intégrer un fournisseur, vous devez vous assurer que ces risques ont été examinés par quelqu'un au sein de votre organisation. Les risques de marché, de quoi parlons-nous exactement ? Existe-t-il de nouvelles solutions ?

Y a-t-il des investissements technologiques sur le marché ? Le fournisseur avec lequel vous travaillez est-il en cours de restructuration ? Peut-être est-il également en train de se développer par le biais d'une fusion ou d'une acquisition. Que se passe-t-il dans le secteur ? Est-ce un élément que vous prenez en considération ? Lorsque vous parlez de risque financier, vous examinez des éléments tels que les flux de trésorerie, le risque de crédit, voyez-vous quelque chose en ce qui concerne les ventes d'initiés ? Qu'en est-il du rachat d'actions ? Y a-t-il des éléments qui vous sautent aux yeux et qui pourraient constituer un risque de crédit ? Espérons que nous ne faisons pas partie des fournisseurs qui vont les aider à atteindre certains quotas, que ce soit dans le secteur ou pour les aider à rester financièrement solides. Y a-t-il quelque chose à signaler en matière de risque réglementaire ? Y a-t-il quelque chose qui se passe avec l'organisme de réglementation qui les contraint, par exemple par le biais d'amendes ? Qu'en est-il de l'ESG ? Est-ce quelque chose auquel vous devez prêter beaucoup d'attention ? Et vous allez voir cela de manière très géographique. Ce que je veux dire par là, c'est que dans l'Union européenne, l'accent est mis sur l'aspect environnemental de l'ESG. Ici, aux États-Unis et dans d'autres parties du globe, l'aspect social est beaucoup plus présent. Lorsque nous parlons de santé et de sécurité, nous parlons de diversité, d'équité salariale et d'autres questions de cette nature. Enfin, concentrez-vous sur les aspects liés à la gouvernance. Disposez-vous d'informations qui peuvent aider votre organisation à prendre des décisions en matière de gouvernance en fonction de critères tels que la composition de son conseil d'administration ? Les politiques en matière d'éthique et de lutte contre la corruption, les questions de ce type, la localisation. Il y a beaucoup de risques liés à la conformité, beaucoup d'importance est accordée à la conformité avec les aspects suivants : votre fournisseur est-il interdit de faire des affaires dans certains pays ou interdit dans certaines histoires industrielles ? Y a-t-il des choses qui vous inquiètent du point de vue des poursuites judiciaires ? Y a-t-il quelque chose concernant des règlements à l'amiable ou des règlements basés sur quelque chose qu'ils ont fait ? Sont-ils autorisés à faire des affaires avec le gouvernement fédéral ?

Lorsque je dirigeais des programmes, nous avions pour principe de nous assurer que si vous ne pouviez pas faire affaire avec le gouvernement fédéral, alors pourquoi devrions-nous faire affaire avec vous ? Donc, du point de vue de la conformité, où se fait le traitement ? Où sont stockées les données ? Nous examinons des éléments tels que : s'agit-il de zones inondables ? Y a-t-il d'autres zones environnementales dont nous devons nous préoccuper pour entrer dans l'arène géopolitique ? Vous examinez des éléments qui pourraient se trouver ici, chez nous, en ce qui concerne les États ou les pays où le droit au travail est reconnu. Vous pourriez également vous concentrer sur certaines tensions régionales. C'est manifestement le cas en Europe de l'Est. Nous le constatons également en mer de Chine méridionale et en Asie-Pacifique. Vous devez donc également réfléchir à ces questions. Est-ce quelque chose que je dois accepter ? Suis-je prêt à prendre ce risque ? Et enfin, il y a bien sûr la cybersécurité. Êtes-vous en mesure de faire quelque chose du point de vue de la cybersécurité pendant l'intégration ? Ainsi, lorsque vous procédez à votre évaluation, cela vous aide à rationaliser et à fluidifier les choses, et à améliorer légèrement ce que vous devez faire du point de vue de la diligence raisonnable. Maintenant, le départ, dans des circonstances très similaires. Si vous allez quitter un fournisseur pour un nouveau, vous allez éliminer un fournisseur. Êtes-vous préoccupé par l'emplacement ? Êtes-vous en mesure de récupérer vos documents ? Y a-t-il quelque chose que vous devez faire du point de vue du risque de conformité ? Et quand je parle de risque de conformité, je pense notamment au cas où vous êtes, par exemple, une organisation financière dans l'Union européenne. Vous devez contacter votre organisme de réglementation et l'informer que vous n'utilisez plus un fournisseur particulier, auquel cas vous devrez peut-être le réintégrer dans votre propre organisation ou avoir déjà trouvé un autre fournisseur auquel vous pourrez transférer ces données. Vous discutez donc maintenant de votre référentiel de fournisseurs. Vous êtes en mesure de leur montrer ce que vous faites en matière de transfert et de traitement de ces données. Risque de redondance. Placez-vous vos données en traitement dans plusieurs villes, à plusieurs endroits ou chez plusieurs fournisseurs ?

Vous le retirez et vous allez maintenant le confier à un autre fournisseur, ce qui vous expose à ce qu'on appelle le risque de concentration. Mettez-vous tous vos œufs dans le même panier ou dans un seul endroit où, si une tornade, un typhon, un ouragan ou tout autre type de catastrophe naturelle venait à toucher cette zone géographique, cela perturberait-il votre fournisseur ? Et, en fin de compte, votre organisation. Tout ce qui concerne le risque ESG dont vous devez vous soucier maintenant que vous avez intégré ce fournisseur, vous allez assumer ce risque. Y a-t-il certaines choses dont vous êtes responsable envers vos investisseurs ou d'autres personnes en ce qui concerne les fournisseurs auxquels vous avez fait appel ? Vous assumez désormais ce risque. Êtes-vous en mesure de le transférer à un nouveau fournisseur pour votre nouvelle intégration ? Mais sont-ils en mesure de transférer ce risque ? Ce sont donc des éléments que vous devez prendre en considération, je m'excuse pour la redondance en matière de risque de conformité. Tout cela est lié à votre risque de perception sociale. La perception sociale entraîne d'autres risques. Elle entraîne des risques financiers. Elle entraîne même des risques ESG. Elle entraîne d'autres risques, tels que les risques opérationnels. Donc, si vos clients ont le sentiment que vous faites quelque chose qui ne correspond pas à leurs convictions fondamentales en tant qu'organisation et en tant qu'entité, cela pourrait vous hanter dans cette perception sociale. Bon, je pense que ce sont là les éléments essentiels à prendre en considération. Parlons maintenant de la manière de relever ces défis courants. Tout d'abord, et je le constate encore aujourd'hui, la gestion des risques liés aux tiers. J'ai eu une conversation très intéressante avec un collègue la semaine dernière à ce sujet. Vous savez, la gestion des risques liés aux tiers en est encore à ses balbutiements. Même si beaucoup d'entre nous s'y consacrent depuis près d'une douzaine d'années, elle en est encore à ses balbutiements en ce qui concerne tous ces éléments supplémentaires qui semblent fonctionner en silos et que nous devons commencer à rassembler. J'y reviendrai un peu plus tard lorsque je parlerai de convergence. Mais en ce qui concerne la propriété du référentiel des fournisseurs, qui détient la liste principale des fournisseurs, de nombreuses organisations diront que c'est le primate sourcing.

Le problème, c'est que je sais que vous avez tous été confrontés à cela d'une manière ou d'une autre. Il existe des moyens de contourner l'approvisionnement et les achats. D'accord ? Il se peut que vous ne vous occupiez de l'approvisionnement et des achats que pour des dépenses particulières de 40 000, 50 000, peu importe. Cela peut être le cas si vous ne capitalisez que les dépenses et les projets du fournisseur. Vous avez peut-être des unités commerciales qui vont faire quelque chose du point de vue du transfert et du traitement des données, mais cela représente environ 25 000 ou 30 000 dollars. Cependant, cela implique beaucoup d'enregistrements et beaucoup de données, de sorte que le service d'approvisionnement et d'achat n'en est peut-être pas conscient, mais le fournisseur l'est, et maintenant vousparlons également des aspects juridiques et de la sécurité des informations. Vous devez donc vraiment comprendre qui est propriétaire du référentiel du fournisseur. Dans de nombreux cas, il s'agit du programme de gestion des risques liés aux tiers. Vous devez maintenant être en mesure de communiquer votre liste aux responsables de l'approvisionnement et des achats. Qui sont les parties prenantes dans le processus d'intégration ? Tout d'abord, il s'agit de l'unité commerciale, première ligne de défense. L'unité commerciale est responsable. Elle est la principale partie prenante. C'est elle qui signe les chèques. Mais les autres parties prenantes qui font partie intégrante du processus de gestion des risques liés aux tiers sont les services d'approvisionnement et d'achat. Le service juridique, qui rédige les clauses juridiques, n'est-ce pas ? Exactement. Le service de sécurité informatique travaille-t-il avec le service de sécurité de l'information et d'autres organisations telles que le service de confidentialité pour s'assurer que vos données sont protégées et que les avenants relatifs à la confidentialité et à la sécurité des données qui sont joints au contrat sont conformes à votre organisation ? Il peut s'agir de travailler à domicile, de s'assurer que vous utilisez des VPN ou de toute autre situation. Quelle que soit la structure que vous avez mise en place, travaillez-vous avec vos autres parties prenantes et sont-elles en accord et comprennent-elles ce que l'on attend du fournisseur ? Qu'en est-il de la gestion des installations ? Souvent, vos fournisseurs viennent vous rendre visite sur place, en particulier dans le domaine informatique. D'accord. Disposent-ils de cartes-clés ou d'autres moyens qui leur sont attribués pour leur permettre d'accéder à certaines installations ? Continuité des activités et reprise après sinistre.

Ce sont eux qui, dans de nombreux cas, vous aident à hiérarchiser vos fournisseurs d'un point de vue stratégique en cas de problème de disponibilité, de récupération et, bien sûr, de conformité. Les changements que vous apportez sont-ils conformes non seulement aux directives, aux normes ou aux obligations réglementaires, mais aussi aux politiques et normes de votre entreprise ? Quels sont nos risques inhérents et nos risques d'exposition ? C'est un autre problème courant qui existe depuis longtemps. Comment calculer le risque inhérent ? Je suis très fier de dire qu'une organisation que vous connaissez probablement, le programme d'évaluations partagées, s'occupe actuellement de cette question et propose un outil pour vous aider à calculer le risque inhérent. Hum, et je faisais partie de ce groupe et je suis très fier de ce que nous avons accompli, et c'est quelque chose que vous verrez bientôt, et je suis sûr que Prevalin sera également informé de ces outils supplémentaires. Mais le problème avec le risque inhérent et le risque d'exposition, c'est qu'il n'existe pas vraiment de lignes directrices sur la manière de calculer le risque inhérent ou le risque d'exposition. Et quand on réfléchit à ce qu'est exactement le risque inhérent ou le risque d'exposition, il s'agit des inconnues avant de faire affaire avec ce fournisseur, d'accord ? Considérez cela comme un rendez-vous galant. Vous ne savez que très peu de choses sur la personne avec laquelle vous allez sortir, peut-être grâce à ses réseaux sociaux, peut-être grâce à ce que ses amis vous ont dit, peut-être grâce à ce que vous savez d'elle au travail. Mais tant que vous ne commencez pas à interagir avec elle et à nouer une relation, pouvez-vous vraiment savoir ce qui se passe ? Vous ne pouvez donc pas nécessairement calculer ces inconnues, mais vous devez être en mesure de trouver quelque chose qui vous donnera une idée générale, oui, j'ai hâte d'être à ce rendez-vous. J'ai hâte de rencontrer cette personne. D'accord. Il en va de même pour vos fournisseurs. Calculer ce risque. Disposez-vous d'une formulation contractuelle suffisante ? C'est quelque chose que je constate encore aujourd'hui. Qu'il s'agisse d'organisations matures ou de petites et moyennes entreprises, vous devez absolument vous assurer que vos contrats contiennent les formulations appropriées.

Tout le monde connaît la clause relative au droit d'audit, mais voici un petit secret bien gardé à ce sujet. Dans la plupart des cas, cette clause vous permet d'exercer votre droit d'audit une seule fois pendant la durée du contrat. Vous pouvez donc avoir une relation de trois ans, un contrat qui stipule que vous allez faire affaire pendant les trois prochaines années. Mais si vous exercez ce droit d'audit ou si celui-ci est interprété comme une évaluation faisant partie de cet audit, vous ne pouvez le faire qu'une seule fois. Et puis, si quelque chose se passe chez ce fournisseur et que vous dites : « Je dois venir vous auditer pour savoir s'il s'agit d'une violation ou d'une mauvaise gestion des informations ou des données. » Il se réservera le droit de vous répondre : « Holà, holà, holà, holà, holà. Attendez un peu. Vous avez déjà procédé à une évaluation à mon sujet. » Cela est lié à la clause relative au droit d'audit. Vous ne pouvez donc pas revenir vers moi. Et dans une clause relative au droit d'audit, il y a beaucoup de stipulations supplémentaires. J'ai besoin d'une notification préalable. J'ai besoin de temps pour me préparer. Je dois faire ceci, etc. Vous devez donc vous assurer que vous disposez d'autres éléments que la clause relative au droit de vérification. Ce que je préconise et que de nombreuses organisations commencent à mettre en place, c'est ce qu'on appelle le droit d'évaluation. La clause relative au droit d'évaluation stipule essentiellement que nous allons vous évaluer et vous réévaluer en fonction de votre tolérance au risque, sur la base de la notation de risque que nous vous attribuons. Qu'est-ce qui peut être lié à cette réévaluation des risques ? C'est l'aspect de la surveillance continue. Vous devez être franc et leur dire que nous allons ou que nous pourrions effectuer une surveillance continue, que ce soit au niveau cybernétique ou une combinaison de cybernétique, financier, opérationnel, etc. D'accord. Et maintenant, lorsque vous commencez à avoir des attentes, pouvez-vous encore aller de l'avant ? Si vous voulez le faire, vous devez comprendre qui autorise en fin de compte l'approbation ou le refus de l'utilisation d'un fournisseur donné. S'agit-il d'un tiers avec un programme de gestion ? Y a-t-il un groupe ? Nous avions en fait un comité appelé « comité d'évaluation des fournisseurs ». À l'époque, nous le surnommions « le vide-poche », car nous lui donnions des documents en lui disant : « Bon, j'ai besoin que vous signiez ça, et nous ne le reverrons jamais ». Le VAC est donc devenu le vide-poche. Ils l'ont appris, alors nous avons légèrement modifié le nom.

Voilà donc une petite touche d'humour pour votre jeudi. Mais qui doit donner son accord ? Si vous ne faites pas appel à un fournisseur, qui va informer l'unité commerciale que vous ne pouvez pas utiliser ce fournisseur en raison des risques que cela représente pour mon organisation ? C'était moi. Et il nous est arrivé de mettre en place un processus d'exception permettant à l'unité commerciale de présenter ses arguments. Nous ne faisions pas appel uniquement à moi, mais aussi au responsable de la protection de la vie privée. Nous faisions appel au responsable de la sécurité des systèmes d'information ou à toute autre personne qui devait participer à cette conversation. Qui a le pouvoir d'approuver les exceptions ? Maintenant, lorsque nous parlons d'exceptions, vous pouvez avoir une conversation avec une unité commerciale particulière et dire : « Nous ne sommes pas tout à fait à l'aise avec la posture actuelle de ce fournisseur en matière de sécurité et de confidentialité. Cependant, nous comprenons qu'il peut s'agir d'un fournisseur unique ou d'une source unique. Par conséquent, nous allons l'accepter et l'inscrire dans notre registre des fournisseurs, ainsi que dans notre registre des risques, afin d'indiquer que nous avons suivi et identifié ce fournisseur. » D'accord. C'est là qu'il est utile de savoir qui est autorisé à approuver ces exceptions. Du point de vue de la cybersécurité, dans neuf cas sur dix, cette autorisation viendra du bureau du RSSI, mais dans d'autres organisations, elle pourra venir du directeur des risques ou d'une autre personne haut placée. Enfin, quand effectuons-nous la diligence raisonnable ? Avant ou après le contrat ? De nombreux régulateurs financiers vous diront que cette diligence raisonnable doit être effectuée avant la transaction effective des données. En général, vous ne commencez pas à échanger des données avant la signature du contrat. J'ai vu des organisations commencer à échanger des données alors que le contrat n'était pas signé. Méfiez-vous. Je dis cela parce que si vous avez un contrat, si vous partagez effectivement des données entre vous et qu'un incident survient chez votre fournisseur alors que le contrat n'a pas encore été signé, vous n'avez aucun recours juridique contre ce fournisseur, car le contrat n'a pas été conclu. Maintenant, pour tout ce que je vous dis ici au sujet des contrats, veuillez consulter votre conseiller juridique si vous avez besoin de plus d'informations à ce sujet, d'accord ? Chaque organisation est différente. Je tenais donc à vous faire part de cette petite mise en garde.

Mais encore une fois, ce sont là des moyens courants pour aider à surmonter ces défis courants. Qu'en est-il de la diligence raisonnable pour l'intégration ? Vous vous demandez peut-être quels outils nous utilisons pour effectuer nos évaluations ? Cela dépend vraiment du risque que vous devez connaître à l'avance. Il existe de nombreux outils dans le domaine cybernétique. Vous connaissez les grands noms. Je n'ai pas besoin de vous les présenter ici. Il existe également des outils moins connus qui sont très performants. Certains d'entre eux peuvent vous sembler limités, mais si ils apportent une valeur ajoutée à votre organisation, envisagez de les utiliser. Maintenant, dans le cadre du programme de gestion des risques liés aux tiers, en particulier si vous travaillez dans le département cyber de l'organisation, vous n'utilisez probablement pas ces autres outils tels que l'analyse financière et de crédit, ou peut-être des outils liés à l'ESG, mais vous pouvez utiliser des outils même s'il s'agit simplement, vous savez, des flux d'actualités Google ou peut-être devriez-vous vérifier auprès de votre organisation. Avez-vous des abonnements à Bloomberg, Standard and Pores ou U Lexus Nexus, par exemple, qui pourraient vous aider à effectuer des recherches stratégiques sur au moins vos fournisseurs essentiels ? Y a-t-il quelque chose à signaler concernant un procès ici ? Je commence à entendre dire que, du point de vue des acquisitions, ce fournisseur particulier pourrait être une cible de rachat. Qu'est-ce que cela signifie pour moi ? L'un de mes concurrents pourrait-il racheter ce produit ou racheter ce fournisseur ? Voilà les questions auxquelles vous devez réfléchir. Y a-t-il quelque chose concernant un fournisseur qui pourrait vous rassurer en raison d'une obligation légale à laquelle il est actuellement confronté ? Il s'agit peut-être d'un recours collectif. Peut-être qu'il exerce ses activités en Europe et qu'une autorité européenne de protection des données lui inflige une amende de plusieurs millions de dollars, ce qui commence à faire la une des journaux. D'accord. Quelles sont les données traitées ? J'aime mettre l'accent sur les données et je vais vous dire pourquoi. Nous vivons dans une société où les poursuites judiciaires sont monnaie courante et si vous traitez des informations sur vos clients et/ou vos employés et que vos fournisseurs le font pour vous, il est vraiment judicieux de comprendre quelles sont les données traitées. Quelle est la valeur de ces données traitées ?

Le prénom, le nom et l'adresse postale ont beaucoup moins de valeur que le prénom, le nom, l'adresse postale, le numéro de sécurité sociale, le numéro EBT, le numéro de compte bancaire, etc., ou encore les informations médicales. Et en cas de violation chez votre fournisseur, c'est là que les autorités chargées de la protection des données et les cabinets d'avocats vont intervenir. De quelles données s'agissait-il ? Combien d'enregistrements sont concernés ? Il y a une grande différence entre 10 000 et 10 millions d'enregistrements. Non seulement vous devez tenir compte du coût d'un enregistrement, qui peut varier entre 5 et 50 dollars selon les données, mais vous devez également multiplier ce coût par 10 000 ou 10 millions d'enregistrements. Vous devez donc vraiment comprendre quelles sont les données traitées et les enregistrements. Maintenant, quel type de questionnaire devez-vous utiliser ? Je comprends qu'il existe un phénomène appelé « fatigue des fournisseurs ». Et ce que nous essayons également de promouvoir, en tant qu'héritiers des évaluations partagées, c'est la standardisation à l'aide d'outils existants. L'une des meilleures choses que j'ai entendues, c'était il y a quelques années à Londres, où un représentant de la Financial Conduct Authority s'est vu poser la question suivante : « Pouvons-nous utiliser des questionnaires standardisés ? » Ce régulateur a regardé la personne et lui a répondu : « Pourquoi pas ? Pourquoi essayer de réinventer la roue alors qu'il existe déjà d'excellents outils ? » Il faut donc rechercher quelque chose de standardisé. Il y a une raison pour laquelle ce sont des normes industrielles. Krevalent, par exemple, utilise le questionnaire SIG. C'est à vous de décider si vous voulez utiliser SIG light ou SIG core. Si vous travaillez dans un environnement cloud, vous aurez peut-être besoin de quelque chose comme cake ? Quoi qu'il en soit, assurez-vous que le questionnaire que vous utilisez a été défini et qu'il est en adéquation avec les données et le traitement effectués. Une autre chose que vous devriez également envisager, et que j'ai pu mettre en œuvre avec l'organisation pour laquelle je travaillais auparavant lorsque je dirigeais leur programme, est ce que nous avons appelé la liste de contrôle des informations sur les fournisseurs, ou VIC en abrégé.

Le but du VIC était, et je suis sûr que vous avez déjà vu cela, d'être submergé par une unité commerciale qui vous dit : « Bonjour, j'ai cinq fournisseurs sous les yeux et je n'arrive pas à me décider. Pouvez-vous m'aider à prendre cette décision ? Non, je vais seulement examiner celui que vous voulez sélectionner. Écoutez, je vais faire une offre « un acheté, un offert », parce que je suis quelqu'un de gentil. Donnez-m'en deux. D'accord ? Et que vous fassiez un rejet de débit ou autre, vous apportez au moins cette valeur à l'unité commerciale en l'aidant. Un bon moyen de contourner cela est de travailler avec les services d'approvisionnement et de sourcing et d'élaborer une liste de contrôle des informations sur les fournisseurs. Il peut même s'agir de la lumière SIG. Cela peut être ce que vous voulez, mais c'est un moyen pour vous de vérifier le fournisseur qui s'engage afin de vous assurer qu'il est suffisamment grand pour monter dans les montagnes russes. Un exemple que j'ai utilisé à plusieurs reprises consiste à traiter un fournisseur comme s'il s'agissait d'un petit enfant qui veut monter dans les montagnes russes. Ces montagnes russes peuvent être petites, ce qui signifie que vous ne leur donnez que des informations confidentielles sur votre entreprise. Ils peuvent vous aider dans des domaines tels que les schémas marketing ou les opportunités de croissance, ou bien il peut s'agir de montagnes russes à triple boucle, à 145 km/h, et vous leur donnez 10 millions d'enregistrements d'informations médicales protégées ou d'autres types de données. D'accord, vous voulez donc vous assurer que leur contrôle est suffisant pour les laisser monter dans les montagnes russes. Enfin, ne négligez pas votre propre réseau professionnel. Nous vivons à une époque où nous pouvons décrocher le téléphone et appeler des gens. Nous pouvons communiquer avec des personnes extérieures à notre organisation et leur dire : « Bonjour, utilisez-vous ce fournisseur en particulier ? Que pensez-vous de lui ? » Vous pourriez obtenir une réponse telle que : « Oh, nous l'adorons. Il est formidable ici. » Et d'autres vous diront : « Oh mon Dieu, je ne m'en approcherais pas à moins de trois mètres. Il a commis deux violations de données en 18 mois. » Ouah. Je n'en avais jamais entendu parler. C'est donc la possibilité de puiser dans votre réseau professionnel qui vous aide à faire preuve de diligence raisonnable avant l'intégration. Et enfin, avez-vous un super-pouvoir ? Bon, je vais faire un peu de pub éhontée pour un article que je viens de publier il y a deux semaines sur ce qu'est un super-pouvoir. Connaissez-vous votre super-pouvoir en matière de gestion des risques liés aux tiers ?

Lorsque vous commencez votre carrière, lorsque vous commencez à utiliser les outils à votre disposition, vous commencez à développer votre super-pouvoir. Les gens vont faire appel à vous, et ce ne seront peut-être pas les membres de votre propre équipe. Ce sera peut-être quelqu'un du service des achats, de la sécurité ou de l'informatique qui vous demandera : « Pouvez-vous m'aider ? ». Voici donc les éléments à prendre en compte lorsque vous effectuez votre diligence raisonnable pour votre intégration. Risques à prendre en compte lors de votre départ. De nombreuses organisations ont encore du mal à élaborer une stratégie de départ. Et je vais vous dire pourquoi. C'est simplement parce que les gens n'aiment pas dire au revoir. C'est dans la nature humaine. Nous aimons les relations. Nous aimons... Je sais que vous m'avez déçu à plusieurs reprises, mais vous savez, comparé à d'autres organisations, vous êtes relativement bon marché. Il est relativement facile de travailler avec vous. D'accord, votre taux de précision pourrait être meilleur, mais je sais que nous en avons déjà parlé dix fois, voyons si nous pouvons l'améliorer. Il arrive un moment où vous devez poser vos crayons, rendre vos copies et les noter de manière appropriée. En élaborant une stratégie de sortie, c'est à l'unité commerciale qu'il revient d'agir, et c'est là que la gestion des risques liés aux tiers peut apporter une valeur ajoutée à l'unité commerciale en jouant le rôle de liaison, d'intermédiaire avec le service juridique, avec les services d'approvisionnement et d'achat et avec d'autres organisations pour dire que nous allons devoir élaborer et développer une stratégie de sortie. Et vous voulez que cela fasse partie intégrante de l'accord. Écoutez, dans le cas où nous devrions nous séparer, voici comment nous allons procéder. Voici ce que nous allons faire. Même s'ils ne sont utilisés que pour une petite mission, peut-être s'agit-il d'un projet ponctuel, vous devriez tout de même avoir une stratégie d'engagement au cas où vous changeriez d'avis et que vous commenciez à vous dire : « Bon, ça ne marche pas. » C'est donc un élément à prendre en considération. Défaut de notification en bonne et due forme de la résiliation ou du non-renouvellement. Il arrive parfois que vous vous retrouviez dans une situation où vous allez vous séparer d'un fournisseur et que vous ne l'en informiez pas dans un délai donné.

Vous devez donc vous assurer que vous êtes en mesure de partager ces informations dès le départ avec le fournisseur. C'est une bonne pratique, mais certaines personnes vont se retourner et dire : « Écoutez, nous allons simplement nous séparer et passer à autre chose. » Cela peut poser un problème avec le point suivant, à savoir le manque de services parallèles ou de transition. Si vous envisagez cette transition. Excusez-moi, mon chat a décidé de s'installer ici. Si vous vous apprêtez à migrer vers un nouveau fournisseur, c'est le moment idéal pour commencer à planifier, environ trois à six mois à l'avance, les services parallèles ou de transition. Si vous avez déjà trouvé un autre fournisseur, commencez à travailler avec lui et fournissez-lui les flux de données réelles qui lui seront transmis. Ainsi, lorsque le moment sera venu de passer de votre fournisseur principal à votre nouveau fournisseur, vous serez prêt. La transition sera déjà en cours et votre équipe pourra travailler avec eux. Cela permettra d'éviter toute interruption de service pendant la période de transition. Lorsque l'unité commerciale annonce au fournisseur concerné que vous allez vous séparer, nous ne sommes pas satisfaits. Nous sommes en septembre. Je vous informe que nous allons mettre fin à notre collaboration à la fin du mois de décembre. D'accord ? C'est le moment où vous commencez à travailler avec eux et où ils sont probablement les plus réceptifs. Nous ne sommes pas satisfaits. Nous sommes en septembre. Je vous informe que nous allons mettre fin à notre collaboration à la fin du mois de décembre. D'accord ? C'est à ce moment-là que vous commencez à travailler avec eux et qu'ils vont très probablement vouloir vous laisser une bonne impression et vous dire : « D'accord, euh, eh bien, j'espère que vous ferez appel à nous à l'avenir. » D'accord ? Ils vont donc vouloir travailler avec vous pendant cette période de transition. C'est très important. Qu'en est-il de la récupération de vos données, en particulier auprès des quatrièmes parties ? Vous devez tenir compte du risque que le fournisseur, votre tiers, ne partage pas avec votre quatrième partie ce qui se passe. À cet égard, vous devez vous assurer que les données seront restituées au tiers. Si elles sont hébergées chez le quatrième tiers, vous devez être en mesure de lui communiquer votre calendrier de conservation des données et vos délais de conservation. Vous ne pouvez pas simplement les bloquer et signer.

J'ai vu certaines personnes, certaines personnes devrais-je dire, venir me voir et me dire : « Puis-je encore évaluer un fournisseur avec lequel je n'ai plus de relation ? » Et la réponse à cette question est vraiment non. Si vous n'avez pas de relation contractuelle avec le fournisseur tiers ou même le fournisseur quaternaire et que vous leur demandez : « Écoutez, vous stockez mes données, donc j'aimerais vous évaluer à ce sujet. » Il vous répondra : « Non, nous stockons ces données en raison d'une obligation légale. » Il doit donc continuer à respecter les attentes définies dans ces contrats et à se conformer aux mesures de sécurité et de confidentialité qu'il a initialement mises en place. D'accord. Enfin, garantir la continuité... Donnez-moi juste une seconde, mes amis. Toutes mes excuses. Garantir la continuité de la protection des données. C'est là que vous devez vous assurer que la protection des données continue d'être assurée en cas de problème. J'y ai fait allusion tout à l'heure en parlant du respect de vos directives en matière de protection des données... pardon, de leurs directives en matière de conservation des données, et vous supposez qu'ils continueront à exercer un contrôle rigoureux sur ces données. Ce que vous pouvez faire, c'est demander à recevoir un rapport SOC 2 périodique s'ils le font, afin de pouvoir au moins dire que vous continuez à suivre cela et que vous pouvez le partager avec votre service juridique et même avec les responsables de la conservation des données au sein de votre organisation. Enfin, laissez-moi boire une gorgée rapidement. Merci. Processus recommandés pour assurer la convergence des programmes. J'ai donc parlé de cette chose appelée convergence des programmes. Je vais très bientôt publier un blog sur la maturité générationnelle des programmes dans le domaine des risques liés aux tiers. C'est quelque chose que j'ai déjà publié lors d'une autre conférence. Je souhaite simplement le diffuser davantage auprès du grand public. La convergence des programmes place votre organisation dans ce que j'appelle la quatrième génération de maturité des programmes. Il s'agit du programme de gestion des risques liés aux tiers qui croise et dialogue avec les groupes chargés de l'approvisionnement et des achats, ainsi qu'avec les groupes juridiques, financiers et autres groupes de deuxième ligne. Vous avez en fait établi des rôles, des responsabilités et des processus définis. Ceux-ci sont définis dans votre politique de gestion des risques liés aux tiers.

Vous pouvez montrer ces liens entre la politique de gestion des risques liés aux tiers et les autres organisations qui fournissent d'autres types de conseils et de soutien opérationnels à votre programme. De plus, dans ce programme, vous verrez apparaître des certifications pour les professionnels, ainsi que des certifications relatives aux processus, comme les certifications ITIL, les certifications ISO ou les certifications Black Belt. Vous commencerez alors à rencontrer des personnes occupant ces rôles respectifs et possédant également des certifications, qu'il s'agisse de PMP, de CTPRP (j'enseigne justement les certifications CTPRP et CTP) ou d'autres certifications en matière de risques liés aux tiers, d'autres certifications en matière de sécurité, d'autres certifications en matière d'approvisionnement et d'achat, des certifications en matière d'achat, des certifications professionnelles CPP, etc. C'est là que vous commencerez à voir cette convergence entre la gestion des risques liés aux tiers et d'autres organisations, et vous pourrez vraiment documenter cela du point de vue des processus. Cela nous ramène aux processus d'approvisionnement, aux flux de processus et à d'autres cartes qui sont en fait définis et révisés, car cela est essentiel pour vos générations de gestion des risques liés aux tiers. Vous examinez les choses du point de vue de vos processus, vous comprenez les méthodes, les avantages, qui est responsable de la maintenance et de la documentation de ces processus critiques dans votre chaîne. D'accord, cela va donc être essentiel lorsque vous aurez un auditeur externe, un régulateur ou un examen interne pour vérifier que l'approvisionnement et les achats sont responsables de cela. Nous faisons appel à nos services juridiques pour cela. Nous informons les services de sécurité de l'information, la gestion des installations, etc. Vous devez vous assurer que ces processus et ces flux de processus sont documentés. Partagez-vous cela avec d'autres personnes ? Vous répondent-elles : « Attendez une minute. Ici, dans le service d'approvisionnement et d'achat, cela a changé. Ces rôles ont changé. » Cela vous aidera à documenter ce qui se passe au sein de votre programme et cela rationalisera vraiment les opérations pendant le processus d'intégration et de départ.

Voici donc quelques réflexions finales alors que nous entrons dans la période des fêtes. Je sais que c'est difficile à croire, n'est-ce pas ? Nous sommes déjà en octobre, mais à l'approche des mois de novembre et décembre, lorsque vous commencez à voir un peu plus de calme, si je peux utiliser ce terme ici en ce qui concerne les évaluations des risques liés aux tiers, c'est le moment idéal pour vous et votre organisation de prendre du recul, de revoir et d'examiner vos processus et normes d'intégration et de départ. Apportez les ajustements nécessaires à votre politique là où cela est vraiment nécessaire. Et encore une fois, je parle des liens avec les autres organisations sur lesquelles vous comptez. Il peut également s'agir d'autres aspects liés à la manière dont nous effectuons nos vérifications préalables. Relever vos défis communs apporte vraiment de la responsabilité, de l'auditabilité et, surtout, de la crédibilité à votre programme. Ce sera la cerise sur le gâteau que les échelons supérieurs de la direction pourront voir. C'est une excellente occasion de recalibrer vos vérifications préalables. Y a-t-il quelque chose que nous devons changer ? Y a-t-il quelque chose concernant la norme PCI qui devrait être pris en compte dans notre diligence raisonnable ? Peut-être allons-nous recalibrer la manière dont nous utilisons les outils de surveillance continue. Peut-être allons-nous recalibrer la manière dont nous traitons les fournisseurs critiques et les fournisseurs à haut risque. Peut-être allons-nous recalibrer et dire : « Vous savez quoi ? Nous n'avons pas besoin d'examiner tous ces contrôles pour nos fournisseurs à faible risque. C'est donc une excellente occasion pour vous de saisir cette opportunité, car cela vous aidera également dans votre processus d'intégration. Vous souhaitez continuer à offrir des informations pour améliorer l'efficacité du processus d'approvisionnement et d'achat. Et encore une fois, grâce à cette période, ce type de dialogues et ces relations vont vraiment permettre d'y parvenir. Enfin, organisez des réunions avec les parties prenantes de ces organisations et vos lignes hiérarchiques. Devenez ce centre d'analyse. Considérez-vous comme un centre interne de partage et d'analyse d'informations ISAC où vous pouvez vous asseoir et dire : « Bonjour, approvisionnement et achats, voici ce que je constate. Bonjour, sécurité, voici ce que je constate, etc. » Et demandez-leur de vous fournir des indicateurs.

Sommes-nous en conformité avec nos accords de niveau de service concernant l'intégration des fournisseurs ? Certaines unités commerciales pourraient vous dire : « Vous savez quoi ? Cela a pris entre 45 et 50 jours et cela nous ralentit vraiment. » Eh bien, quel est votre accord de niveau de service ? Si votre accord de niveau de service prévoit un délai de 30 jours et que vous n'êtes pas en mesure de le respecter, voici une excellente façon de remédier à la situation en collaborant avec vos parties prenantes : « Est-ce de notre faute ou est-ce que l'objectif de 30 jours est un peu trop ambitieux ? Peut-être faudrait-il plutôt viser 45 jours. Vous devriez peut-être en informer le bureau de gestion de projet et les autres organisations. Voici ce que l'on attend de nous. Nous devons revoir nos objectifs en raison de problèmes de personnel, de technologie, etc. ». Je vous ai donc fourni beaucoup d'informations. Je sais que vous avez des questions. Je vois que ça s'allume ici. Je suis donc ravi que nous ayons l'occasion de faire cela rapidement, puis je vais passer la parole à Scott, de Prevalent, qui pourra vous donner des informations supplémentaires sur Prevalence. Alors, Melissa, y a-t-il quelque chose dont nous pourrions parler ?

Melissa : Hum, je vais vous encourager à poser vos questions dans la boîte de questions-réponses. Je sais que nous en avons déjà parlé dans le chat, mais posez-les quand même là-bas. Ne soyez pas timides. Vous pouvez toujours lui poser des questions de manière anonyme. Scott est notre vice-président du marketing produit ici. Il va dire quelques mots, puis je vous passerai la parole, Scott. Alors, arrêtez de partager rapidement. Scott peut simplement partager son écran et nous continuerons.

D'accord. Bon, je vais m'arrêter là.

Melissa, est-ce qu'on fait la séance de questions-réponses maintenant ou est-ce qu'on attend que Scott ait fini ?

Melissa : Je vais attendre que les gens posent d'autres questions. Très bien. Merci.

Scott : Super. Vérification rapide. Vous pouvez voir ma diapositive. D'accord, Tom ?

Tom Geruba : Oui.

Scott : Génial. Très bien. Super. Merci à tous d'avoir pris le temps de participer au webinaire d'aujourd'hui. Je pense que Tom fait toujours un excellent travail en synthétisant les éléments les plus importants auxquels nous devons réfléchir à certaines étapes cruciales du cycle de vie des tiers. Ces considérations, ces types de risques, ces tâches, vous savez, tout ce qui est souvent négligé parce que nous sommes pressés. Nous avons beaucoup de choses à faire et nous savons qu'il y a toujours des conséquences à l'autre bout. Je voudrais vous présenter très brièvement notre approche pour vous aider à résoudre certains de ces défis. Vous connaissez déjà notre point de vue sur les risques liés aux tiers et les objectifs que nous essayons de vous aider à atteindre sont en fait triples. Le premier est de vous aider à obtenir les données dont vous avez besoin pour prendre de meilleures décisions, en particulier dans le contexte de l'intégration et du départ des employés. Nous voyons beaucoup d'entreprises qui recherchent un outil de cyber-surveillance pour obtenir une note de cyber-santé avant de prendre une décision d'approvisionnement, de sélection ou d'intégration. Nous voyons des gens consulter un rapport D&B pour les données financières ou effectuer une recherche Lexus Nexus sur des articles d'actualité récents, des problèmes de sanctions ou quelque chose de ce genre. Vous savez, c'est une approche cloisonnée qui ralentit un peu les choses. Notre approche consiste à essayer de regrouper une grande partie de ces informations en un seul endroit afin que vous puissiez étendre cette visibilité à tous les différents types de domaines de risque, à différentes parties prenantes dans toute l'entreprise. Ainsi, vous êtes tous sur la même longueur d'onde, si vous voulez, ou vous examinez le même niveau de données, vous obtenez de meilleures données de manière plus cohérente pour prendre de meilleures décisions. Deuxièmement, et cela rejoint mon argument précédent, vous savez que l'efficacité a tendance à être le plus grand obstacle à la réussite à long terme d'un programme de gestion des risques liés aux tiers. Que ce soit en raison du nombre de fournisseurs que vous devez évaluer, du manque de ressources pour vous aider à faire le travail, ou peut-être parce que vous êtes coincé dans des processus manuels, vous savez, tout le monde a quelque chose à attendre d'un effort de gestion des risques liés aux tiers. L'équipe de sécurité a besoin de connaître les contrôles de sécurité. Le service des achats a besoin de savoir s'ils sont viables et pérennes. Le service de conformité doit savoir s'il fait l'objet de sanctions ou de violations, peu importe. Et si vous essayez de le faire à l'aide d'un ensemble d'outils ou de processus disparates, d'une approche manuelle ou en silos, je veux dire, ce n'est pas bon. Je comprends que c'est la réalité de nombreuses organisations et je le comprends, mais vous savez que c'est contre-productif. Et troisièmement, cela découle vraiment des deux premiers points. Vous savez, si vous obtenez de bonnes données pour prendre de bonnes décisions, si vous êtes capable de faire plus avec les ressources dont vous disposez grâce à l'automatisation et à l'intelligence, vous serez finalement mieux placé pour faire évoluer et adapter votre programme au fil du temps. Et c'est vraiment ce que nous essayons de vous aider à réaliser, vous savez, avec votre programme. De bonnes données exécutées de manière beaucoup plus efficace pour vous aider à développer, faire évoluer et améliorer votre programme au fil du temps. Et nous considérons vraiment la gestion des risques tiers du point de vue du cycle de vie. Et vous savez, tout ce dont Tom a parlé aujourd'hui se trouve très clairement sur le côté gauche de ce diagramme du soleil levant, si vous voulez, et sur le côté droit, n'est-ce pas ? Et ce qui pose problème aux organisations en matière d'intégration, c'est qu'elles ne disposent pas vraiment d'une source unique de vérité pour toutes les données que j'ai mentionnées dans la diapositive précédente. Elles considèrent les risques liés aux données comme des processus cloisonnés et ne les unifient pas en un seul endroit particulier. Tout, depuis les appels d'offres jusqu'aux contrats, en passant par l'intégration des fournisseurs, tout cela, si cela se passe à différents endroits, vous courez le risque de ne pas atteindre vos objectifs. Euh, mon casque m'indique que je vais bientôt être à court de batterie. C'est donc une de ces journées. Il n'est que 12 h 30 ici. Je vais donc passer rapidement les deux prochaines diapositives. Vous savez, nous traitons ces différents types de risques tout au long du cycle de vie dans ces catégories et pouvons vous aider en consolidant ces informations.