Comment aligner les achats sur les risques liés aux tiers pour une gestion réussie des fournisseurs ?

Animateur : Si vous êtes ici aujourd'hui, c'est parce que Prevalent nous a amené un conférencier et une présentation extraordinaires à présenter conjointement avec eux. Nous parlons de l'harmonisation de la gestion des risques liés aux tiers avec l'équipe d'approvisionnement. Et je peux vous dire que c'est le sujet qui nous préoccupe le plus. Qu'il s'agisse de développement durable, d'ESG, de diversité, d'équité, d'inclusion, chaque fois que vous avez l'une de ces conversations, le risque de tierce partie y est également abordé. Je vais donc vous présenter et vous demander de venir à l'écran. Mais tout d'abord, voici Brian Littlefare, fondateur et PDG de Cambridge Cyber Adviserss, également connu sous le nom de CCA. Il a 25 ans d'expérience dans la direction d'équipes chargées de la sécurité de l'information et de la cybersécurité. Il est spécialisé dans le conseil aux équipes de direction et aux conseils d'administration de certaines des plus grandes organisations du monde sur leur stratégie de sécurité, ainsi que dans le conseil et le mentorat en matière de sécurité pour la communauté des responsables de la sécurité de l'information. Je suis donc très enthousiaste. Il détient également plusieurs brevets dans le domaine de la sécurité de l'information et intervient régulièrement en tant qu'orateur principal lors d'événements liés à la sécurité. Alistair Parr se joint à lui aujourd'hui. Alistister ne sera pas à l'écran aujourd'hui. Alistair sera donc la voix mystérieuse derrière l'écran, mais il est chargé de veiller à ce que les demandes du marché soient prises en compte et appliquées de manière innovante au sein du portefeuille de produits prévalents. Il a rejoint Prevalent après avoir été l'un des fondateurs de 3GRC, où il était responsable de la définition des produits et des services et y a joué un rôle déterminant. Il a 12 ans d'expérience dans la gestion de produits, le conseil et l'exploitation. Plus tôt dans sa carrière, il a également été directeur des opérations pour le fournisseur mondial de services gérés IntelliScure, où il était chargé de superviser des programmes efficaces de protection des données et de gestion des risques pour leurs clients. Ne vous ai-je pas dit qu'il s'agissait de deux des cadres les plus extraordinaires que nous puissions accueillir ici aujourd'hui ? Alors, Brian, bienvenue à l'écran et Alistair, bienvenue par la voix.

Brian Littlefair : Merci beaucoup. Alistair Parr : Merci, Dawn. Et bonjour, Brian.

Brian Littlefair : Hé, Alistister. Bon, alors bonjour à tous. Comme on me l'a présenté, je m'appelle Brian Littlefair. Je suis ravi de pouvoir passer du temps avec vous. Alistister et moi-même nous joignons à vous depuis l'autre côté de l'étang, pour ainsi dire. Nous sommes tous les deux en ligne depuis le Royaume-Uni. J'ai été haut responsable de la sécurité dans de grandes organisations multinationales. Et l'une des choses que j'observe assez souvent, que ce soit dans les entreprises où j'ai travaillé ou dans celles pour lesquelles je suis aujourd'hui consultant, c'est que je vois toujours ce fossé entre les équipes de sécurité et la fonction d'approvisionnement. Mon exposé d'aujourd'hui porte sur la manière dont nous pouvons combler ce fossé. J'espère que j'en soulignerai les avantages et qu'Alice les complétera avec son expérience. Si nous passons à la diapositive suivante, nous pourrons parler de la mise en scène, ce qui est très important à mon avis. Nous ne pouvons pas éviter la pandémie de coid9 dans laquelle nous nous trouvons aujourd'hui, mais le co 19 a vraiment changé le monde d'un responsable de la sécurité de l'information. Les politiques relatives à une pandémie de grippe ont toujours été un élément essentiel de leur suite de politiques. Mais personne ne s'attendait à ce qu'elles soient invoquées et même si elles l'étaient, elles étaient conçues et rédigées pour une période très courte. Rien à voir avec la durée que nous connaissons actuellement. Certaines des choses qu'ils ont dû faire, c'est changer rapidement la façon dont les données circulent au sein d'une organisation. Ils ont dû transformer des acceptations de risques très provisoires qu'ils pensaient ne durer que quelques semaines en des acceptations de 6 mois, d'un an, de 18 mois, et il semble que certaines d'entre elles seront permanentes à l'avenir. Les politiques et les normes, qui sont typiquement l'élément vital d'une organisation de sécurité, dictent à l'entreprise comment elle doit fonctionner pour rester sécurisée. Bon nombre d'entre elles n'étaient tout simplement plus pertinentes dans la situation dans laquelle nous nous trouvions. En fait, en tant que fonction de sécurité, leur monde a été bouleversé. Et les organisations ont dû réagir. Elles devaient réagir pour survivre.

Brian Littlefair : Euh, et je sais que certains ont fait du très bon travail et qu'ils sont toujours là, mais d'autres n'ont tout simplement pas pu changer assez rapidement et cela a vraiment eu un impact sur leur activité. Elles doivent en fait être rendues permanentes. Nous discutions justement dans la salle plénière avant de prendre l'appel avec vous tous, vous savez que certaines organisations sont très flexibles stratégiquement en ce qui concerne le lieu de travail de leur personnel, d'autres veulent qu'ils reviennent au bureau et c'est vraiment le travail de la fonction de sécurité de tricoter tous ces différents styles et arrangements de travail en place et de fournir une certaine forme de travail sécurisé. Mais je continue à penser qu'il existe une relation très étroite avec la fonction d'approvisionnement qui peut vraiment aider à faire avancer les choses. Mais pour ajouter au COVID 19, il y a une autre dynamique en jeu. Nous avons assisté à une augmentation sans précédent de la taxe sur la sécurité pour les organisations de toutes formes et tailles dans le monde entier. Que vous soyez aux États-Unis ou au Royaume-Uni, que ce soit la NSA ou le National Cyber Security Center ici au Royaume-Uni, ils envoient tous des conseils à leurs entreprises et à leurs collègues pour leur dire : "Nous sommes attaqués, vous êtes attaqués et nous avons besoin de vous". Vous êtes attaqués et nous devons renforcer notre sécurité". La chaîne d'approvisionnement est l'un des vecteurs d'attaque les plus viables pour une organisation. Une grande organisation mondiale peut avoir 2 000, 3 000, 5 000 fournisseurs qu'elle gère et plusieurs de ces fournisseurs peuvent être connectés en permanence à leur réseau avec des employés de confiance. Un pirate ou un attaquant peut donc essayer de compromettre l'organisation mère, mais d'une certaine manière, il sera beaucoup plus facile d'entrer dans cette organisation via sa chaîne d'approvisionnement, via certaines de ces petites entreprises en qui elle a confiance et qui ne consacrent pas autant d'argent à la sécurité de l'organisation mère. Certaines organisations sont donc ciblées parce qu'elles sont fortement connectées et interconnectées avec d'autres organisations. C'est ce qui ressort de nos renseignements sur les menaces.

Brian Littlefair : Si nous mettons ces deux choses ensemble, la pandémie de COVID 19 et le niveau sans précédent d'attaques que nous observons, c'est un peu la tempête parfaite. Il y a des changements massifs, des perturbations massives aggravées par ces attaques qui arrivent de tous les côtés. Nous ne pouvons pas l'ignorer. Nous devons orchestrer le changement. Nous devons être en mesure de réagir en conséquence. En fait, nous devons attendre de notre chaîne d'approvisionnement qu'elle prenne les devants et commence à mettre en œuvre des contrôles de sécurité similaires à ceux que nous attendons de notre organisation mère, et c'est ce que je vois vraiment changer à l'avenir. Si nous passons à la diapositive suivante, en utilisant ce contexte, nous pouvons comprendre pourquoi les organisations sont inquiètes des risques liés à la chaîne d'approvisionnement et c'est l'une des conversations les plus fréquentes que j'ai avec les entreprises parce que c'est un risque vraiment difficile à gérer. Vous essayez de comprendre l'état de la sécurité de plusieurs milliers de vos fournisseurs et quel est l'impact sur vous s'ils ont un problème ? Euh, vous savez que s'ils ont un problème de sécurité dans leur organisation, quel est l'effet en aval sur vous en tant qu'organisation mère ? Pouvez-vous continuer à fournir vos services et vos produits à vos clients ? En fait, il ne s'agit pas seulement d'une tierce partie. Il s'agit d'une quatrième ou d'une cinquième partie, selon le secteur. Nous parlons souvent de risque de tierce partie, mais nous savons tous que certains de nos fournisseurs subissent le travail que nous leur confions. Il s'agit donc en fait d'un phénomène de ruissellement qui crée un tableau de plus en plus complexe. Et nous devons vraiment comprendre comment nous pouvons prendre de l'avance sur cette courbe et utiliser des outils et des capacités innovants pour aider à analyser toutes ces données et nous présenter une image vraiment claire de notre exposition au risque. Les régulateurs et les gouvernements ont observé l'évolution de la situation. Ils ont remarqué l'augmentation des événements et des incidents de sécurité. Ils ont vu de grandes et de petites organisations compromises par leur chaîne d'approvisionnement.

Brian Littlefair : et ils commencent vraiment à réglementer, vous savez, voici nos attentes, voici ce que nous attendons de vous, et ils sont très prescriptifs sur ce qu'une organisation doit mettre en place pour pouvoir gérer efficacement ce risque de la chaîne d'approvisionnement. Mais si vous n'êtes pas dans une industrie lourdement réglementée, si vous n'êtes pas dans le secteur de la santé ou de la finance par exemple, où le régulateur exerce une forte pression sur vous, vous pouvez l'utiliser comme un très bon outil de levier pour mettre en œuvre un programme comme celui-ci. Que se passe-t-il si vous êtes dans une fonction normale et cloisonnée qui n'est pas imposée par les régulateurs et que vous devez quand même le faire parce qu'il est évident que cela a un coût. La mise en œuvre peut être complexe en fonction de la complexité de votre organisation, mais en fin de compte, il s'agit simplement de faire ce qu'il faut. Vos clients vous confient des données et c'est en fin de compte la cible de toute attaque. Je pense donc que les organisations ont la responsabilité personnelle de faire tout ce qui est en leur pouvoir pour protéger ces données, ce qui implique également de protéger la chaîne d'approvisionnement. Mais de nombreuses entreprises gèrent les risques liés aux tiers depuis longtemps. Il est certain que certains aspects de cette gestion ont toujours été pris en charge par les services d'approvisionnement. Et c'est là que nous allons consacrer le reste de la conversation. Comment tirer parti de ces connaissances en matière d'achats, que vous possédez tous, je le sais, et comment en tirer parti dans le cadre des messages sur la sécurité, et c'est évidemment à vous de transmettre ces messages à vos équipes de sécurité et de leur dire : " J'ai eu une conversation fantastique et vous savez, nous avons beaucoup d'intérêts en commun et nous devrions travailler plus étroitement ensemble. Et si nous parvenons à atteindre ce résultat et cet objectif, c'est pour le plus grand bien de tous. Je pense que très peu d'organisations pourraient affirmer avec confiance qu'elles sont sûres à 100 % que la chaîne d'approvisionnement ne présente aucun risque pour elles. Peu importe l'outil ou le processus utilisé. Il y a toujours de l'inconnu et quelque chose peut toujours arriver. Nous n'aurons donc pas vraiment une bonne compréhension claire de la situation à l'avenir. Mais il est possible de réduire considérablement cette exposition.

Brian Littlefair : Et ce que nous devons faire, c'est nous éloigner de Microsoft Excel. Ce n'est pas une attaque contre Microsoft. Microsoft Excel est une excellente plateforme. C'est un outil formidable, mais il n'est pas fait pour gérer le risque des tiers. Et je le vois utilisé à maintes reprises pour produire de grandes feuilles de calcul. Il ne peut pas faire l'analyse. Il ne peut pas injecter l'optique de la menace qui devient vraiment, vraiment importante aujourd'hui. Il n'est pas conçu pour gérer les risques liés aux tiers. Donc, si vous utilisez Excel pour le faire dans votre organisation aujourd'hui, j'espère que nous pourrons vous présenter et vous montrer qu'il y a une autre façon de faire euh pour gérer ce problème et ce défi. Alistister, avez-vous quelque chose à ajouter sur cette diapositive ?

Animateur : Brian, nous venons de lancer le sondage. Donc, les gens, si vous pouviez aller à l'écran principal et cela dit, " Cherchez-vous à augmenter ou à établir un programme de risque de tierce partie au cours des prochains mois ? Oui, non, ou je ne suis pas sûr". Si vous pouviez cliquer sur l'une de ces réponses et la soumettre, vous nous donneriez une idée du nombre d'entre vous qui ont un programme, qui envisagent un programme, ou peut-être que certains d'entre vous ne pensent pas qu'il s'agit d'un domaine de risque important. On ne sait jamais. Mais Brian, vous êtes tout à fait d'accord sur le fait de connaître vos tierces parties, vos quatrièmes parties, vos cinquièmes parties. Hier, j'ai participé à un événement organisé par le CPO et nous avons eu environ 35 CPOS. Ils sont incapables d'identifier leur quatrième parti.

Brian Littlefair : Oui. Animateur : Et les fournisseurs ne veulent pas partager l'identité de leurs fournisseurs. Il s'agit donc d'une énorme lacune et d'un risque considérable. Dès que les résultats seront disponibles, nous les ajouterons et nous vous les présenterons. Ensuite, je retournerai hors caméra et je vous céderai la parole, Brian. Alistair Parr : Très bien. Merci, D. Nous y reviendrons dans un instant. C'est intéressant, Brian, parce que nous avons vu quelque chose de très similaire. Avec l'avènement de COVID, et nous sommes conscients que cela a affecté tout le monde au cours des 18 derniers mois environ, l'accent a été mis sur la résilience de la chaîne d'approvisionnement au sens large. Cela a donné à beaucoup de CESOS à qui nous avons parlé un faux sentiment de sécurité, car ils supposent que les chaînes de tiers sont gérées efficacement soit par l'approvisionnement, soit pour infosc en aval. Mais en réalité, la résilience n'est, comme vous l'avez souligné, qu'un petit élément d'un tableau plus large. Même si nous comprenons qu'il existe un certain degré de résilience commerciale en relation avec COVID et la reprise après sinistre en particulier, cela ne touche pas certains des éléments plus larges que vous avez insinués et auxquels vous avez fait référence. Ainsi, les composants de l'infoset, les données supplémentaires que vous pouvez obtenir pour aider à combler les lacunes, les informations contextuelles, etc. Beaucoup de ces éléments ont été laissés de côté par rapport à l'accent mis sur la résilience et les SCEE sont là en supposant que ces programmes de tiers sont robustes et matures parce qu'ils reçoivent toutes ces données mais qu'elles ne reflètent pas vraiment leur position en matière de risque. Nous recommandons donc vivement que toutes les composantes de votre programme de tierce partie soient prises en compte au-delà de la seule résilience, qui est un sujet d'actualité.

Brian Littlefair : Très bien. Merci Alistister. Si vous regardez la diapositive suivante, vous savez qu'il est assez courant chez les clients que je vois, et je le vois souvent, d'observer que l'équipe chargée des risques liés aux tiers et les équipes chargées de l'approvisionnement gèrent des processus séparés et distincts. C'est peut-être vrai, et je ne préconise certainement pas qu'elles doivent utiliser les mêmes plateformes et outils pour tout ce qu'elles font, car les équipes de sécurité auront des outils avec lesquels les équipes d'approvisionnement n'auront pas besoin d'interagir et vice versa. Mais ces deux processus sont gérés par des équipes différentes, bien sûr, qui utilisent des outils et des processus différents. Ils offrent une perspective de risque différente sur les fournisseurs tout au long de la chaîne de gestion. Et c'est ce qui me pose problème, vous savez, ce message sur le profil de risque d'un fournisseur à l'organisation mère doit être harmonisé. Ainsi, si l'équipe chargée des achats et l'équipe chargée de la sécurité effectuent des analyses sur les fournisseurs, elles devraient aboutir à un ensemble de données commun. Il ne faut pas que l'équipe de sécurité pense que le fournisseur X est intrinsèquement risqué, alors que l'équipe d'approvisionnement pense qu'il n'y a pas de problème, car cela sème la confusion à la fois chez les parties prenantes internes et chez le fournisseur, car l'équipe d'approvisionnement dit oui, nous sommes d'accord avec vous, alors que l'équipe de sécurité pense qu'en fait, nous avons un petit problème avec ce fournisseur. Ainsi, la même entreprise peut s'adresser au même fournisseur par deux voies différentes et les deux ne se rencontreront jamais. Cela peut sembler obscur et vous pouvez penser que cela n'arrive pas. Je le vois tout le temps. Ce que je préconise donc, c'est de produire un seul regard sur les fournisseurs, qu'il s'agisse de tierces parties ou de quatrième et cinquième parties, comme nous en discutons aujourd'hui. C'est très important aussi avec tous les défis de ressources et de budget auxquels les organisations sont confrontées et qui touchent à la fois l'équipe d'approvisionnement et l'équipe de sécurité. Il ne sert à rien de doubler les efforts dans ce domaine. Il s'agit de savoir comment converger et exploiter l'expérience de l'ensemble de l'organisation, car nous essayons tous d'obtenir le même résultat, n'est-ce pas ? Nous essayons de comprendre à quel point ce fournisseur est risqué pour nous et de mieux comprendre les fournisseurs et de savoir s'ils risquent d'avoir un problème. Sont-ils bons en matière de sécurité ? Sont-ils mauvais en matière de sécurité ? Je pense que cela se résume fondamentalement à cela et si vous devez utiliser ce fournisseur parce que c'est un créneau, mais si quelque chose tourne mal, comment allez-vous mettre en place une continuité de l'activité pour pouvoir passer à un autre fournisseur ou sauvegarder ce service qui est fourni à votre société mère ? Ce sont donc des questions vitales que ces trois équipes doivent se poser, qu'il s'agisse de l'équipe de sécurité ou de l'équipe d'approvisionnement, mais si vous êtes une grande entreprise, vous aurez également une équipe de gestion des risques. Il s'agit de faire converger ces points de vue afin d'obtenir un objectif commun pour l'avenir. Alistister, si vous voulez bien passer à la diapositive suivante, j'en parlerai et je vous présenterai ce que je commence à voir émerger, mais c'est dans les grandes organisations des secteurs réglementés et, en fait, dans les grandes organisations non réglementées ou, à mon avis personnel, dans ma base de clients, qui sont un peu à la traîne et qui essaient de rattraper ce point de vue. Mais je vois des organisations qui ont adopté l'objectif d'une gestion efficace et holistique des risques. Elles ont déjà identifié que plusieurs équipes au sein de l'organisation peuvent contribuer à l'obtention de cette vue d'ensemble et ce que je préconise à mes clients, c'est de s'aligner sur l'équipe d'approvisionnement pour identifier les objectifs communs et partagés qui existent très clairement entre les deux équipes et de fournir cette vue unique du fournisseur pour la consommation interne, car vous ne voulez pas que des messages distincts et différents remontent la chaîne d'approvisionnement. Cela permet évidemment de prendre les décisions internes qui consistent à évaluer et à peser le maintien du fournisseur, son changement, l'augmentation de son chiffre d'affaires, la diminution de son chiffre d'affaires, etc. Tout cela se fait sur la base d'une position de risque alignée, et non pas sur la base d'ensembles de données différents. Alistister, avez-vous quelque chose à ajouter à ce sujet ?

Alistair Parr : Oui, Brian. Non, c'est très intéressant. Encore une fois, ce que nous voyons souvent dans cette divergence, c'est que chacune de ces équipes consomme des données très similaires, mais que le niveau de détail dont elles ont besoin varie pour chacun des ensembles de données. Ainsi, les équipes chargées des achats se concentrent davantage sur certains aspects de la conformité, l'ESG bien sûr, la lutte contre l'escroquerie, la corruption, l'esclavage moderne, etc. Et l'équipe de sécurité se plonge naturellement dans plus d'informations sur leur posture cybernétique, etc. Ils puisent toujours dans les mêmes sources, mais le niveau de détail dont chacun d'entre eux a besoin dans leurs domaines de travail respectifs diffère, et c'est là un facteur clé de ce que nous avons vu se rapporter à certaines de ces divergences. Mais nous avons constaté que quelque chose fonctionne très bien, et cela rejoint exactement ce que vous avez dit à propos des objectifs communs et de l'alignement, c'est cette convergence entre la construction d'un ensemble de données centralisées et la fourniture de moyens et de mécanismes permettant à chacune de ces équipes respectives d'obtenir le niveau de détail dont elles ont besoin pour mener à bien leur fonction commerciale. De cette façon, elles n'ont pas l'impression d'être en train d'extrapoler ce dont elles ont besoin, et c'est un véritable art. C'est donc le problème que beaucoup de gens essaient de résoudre en ce moment : faire converger cet ensemble de données par tous les moyens, mais aussi permettre aux gens d'extraire le bon niveau de détail de cet ensemble de données convergentes. C'est donc très intéressant.

Brian Littlefair : Bien. Non, je suis tout à fait d'accord. J'aimerais partager avec vous une diapositive et vous savez que c'est ce que je montre aux professionnels de la sécurité, juste pour qu'ils aient une idée du message que je transmets aux SACO. Vous savez, j'ai l'occasion d'encadrer un bon nombre d'entre eux. J'interviens dans de nombreuses conférences sur la sécurité et j'essaie d'être un peu provocateur et de remettre en question le statu quo pour que nous puissions réellement conduire et promulguer des changements parce qu'il y a beaucoup de choses qui ne sont pas là où elles devraient être du point de vue de la sécurité. J'espère donc que vous comprendrez le message. Mais si nous regardons certains des principaux objectifs que nous essayons d'atteindre ici, vous savez, l'équipe d'approvisionnement et de sécurité devrait être votre nouveau meilleur ami. Les objectifs que je vois ressortir d'une fonction d'approvisionnement dans une grande organisation multinationale typique sont très proches de ceux d'une fonction de sécurité. Vous pouvez voir en termes de ce qu'ils essaient de faire et de ce qu'ils essaient de conduire. Le rythme, par exemple, les achats, comme vous le savez tous, veulent aller vite. Ils ne peuvent pas se permettre d'étouffer cette agilité commerciale par des processus interminables. Le risque lié aux tiers ne peut pas être une de ces décisions qui prennent trop de temps à prendre, mais c'est en fait un processus assez lourd dans beaucoup d'organisations que nous voyons et il peut être incroyablement lent de trouver l'information sur le risque que présente un fournisseur particulier et dans beaucoup de cas nous voyons des transactions et des flux de travail aller vers les fournisseurs avant que les processus d'évaluation ne soient finalement terminés.

Brian Littlefair : En fait, nous acceptons un fournisseur dont nous ne connaissons pas le risque qu'il représente pour nous et nous voyons certaines organisations prendre 90, 100 ou 120 jours pour conclure ce processus de décision sur un fournisseur particulier.Cela dépend vraiment de votre maturité dans ce domaine et, comme je l'ai dit précédemment, que vous exécutiez un processus basé sur un questionnaire Excel ou que vous ayez investi dans un outil performant, je vais devoir le présenter ici parce que c'est une excellente plateforme, mais le fait d'être presque en temps réel et d'être pré-rempli avec une grande partie des informations que vous voudrez de toute façon connaître dans vos questionnaires, mais aussi d'apporter des renseignements de source ouverte, ce que les professionnels de la sécurité appellent " l'intelligence ", est une bonne chose.Mais en même temps, il faut apporter cette intelligence de source ouverte que les professionnels de la sécurité appellent et cette lentille de menace de sorte que si l'un de vos fournisseurs a un problème majeur, vous en êtes réellement informé et vous pouvez commencer à comprendre l'impact de ce problème au moment même où il fait l'objet d'une information, vos processus basés sur Excel ne peuvent pas faire cela. Ce que nous ne voulons pas faire, en tant que professionnels de la sécurité, c'est ralentir les équipes chargées des achats. Nous ne voulons pas ralentir le processus, etc. Nous sommes très intéressés par le rythme. Ainsi, en tant que professionnels de la sécurité, vous êtes très intéressés par la conclusion de l'accord. Nous sommes très intéressés par l'analyse des risques liés à cette transaction et par l'obtention de données qui vous permettent d'accéder à ces informations le plus rapidement possible. Hum, la gouvernance financière, vous savez, vous, les professionnels de l'approvisionnement, vous voulez centraliser ces dépenses avec le moins de fournisseurs possible parce que, évidemment, vous pouvez en tirer parti. Vous savez, vous êtes un plus gros poisson avec ce fournisseur et cela signifie que vous pouvez influencer l'orientation de son produit en fonction de la taille de l'organisation. Il s'agit donc de centraliser ces dépenses dans un nombre aussi restreint que possible de domaines. Les professionnels de la sécurité adorent cela, n'est-ce pas ? La complexité est l'ennemie de la sécurité.

Brian Littlefair : Si quelque chose est simple, s'il y a le moins d'acteurs possible dans le jeu, alors nous pouvons concevoir un modèle de sécurité qui protège autour de cela. S'il s'agit de plusieurs milliers de fournisseurs et que tout cela est intégré dans un monde très complexe, vous pouvez comprendre que l'évaluation des risques peut être un véritable défi dans ce domaine. Vous pouvez comprendre que l'évaluation du risque peut être un véritable défi dans ce domaine. La consolidation des fournisseurs et la gouvernance financière qui s'applique à l'ensemble de l'entreprise constituent donc un autre moteur et un objectif majeur que nous partageons tous. Et puis il y a la couverture mondiale. Du point de vue de la couverture et de la géographie, vous savez, les nuances entre les fournisseurs sont toujours présentes. Et l'un des défis que je vois toujours dans les grandes organisations multinationales est qu'un vendeur ou un fournisseur particulier peut être un petit poisson pour le Royaume-Uni mais il peut être énorme pour l'entreprise indienne et si vous utilisez un processus basé sur Excel, vous savez obtenir cette corrélation et comprendre que ce fournisseur peut être petit pour nous ici mais en fait nous avons besoin de savoir qu'il est en fait énorme pour notre entreprise indienne et être en mesure de s'assurer qu'ils obtiennent les bonnes évaluations, que le bon risque etc. est fait sur eux. Il ne doit pas y avoir de failles. Ils veulent pouvoir les déchirer et comprendre, vous savez, tous ceux qui fournissent, vous savez, les principaux centres de données jusqu'aux personnes qui fournissent les rouleaux de papier hygiénique pour les salles de bains. Nous ne passons peut-être pas autant de temps avec chacun de ces fournisseurs parce qu'ils présentent un profil de risque différent, mais nous voulons connaître chacun d'entre eux. Nous partageons donc l'objectif commun d'une approche globale. Nous voulons en savoir plus. C'est donc un autre élément clé qui nous unit. Et puis il y a toute la question du partage des connaissances. Le partage est un mot difficile pour les professionnels de la sécurité, car nous aimons penser que nous travaillons sur quelque chose de très secret et que nous ne pouvons pas le partager, etc. Nous sommes donc entrés tardivement dans le jeu du partage, mais les professionnels de l'approvisionnement sont là depuis bien plus longtemps que les professionnels de la sécurité et vous travaillez avec les fournisseurs depuis bien plus longtemps que les professionnels de la sécurité.

Brian Littlefair : Vous avez donc beaucoup de connaissances précieuses que vous pouvez partager avec vos collègues de la sécurité. Vous avez ces connaissances. Vous avez vos communautés d'intérêt très bien établies qui sont comme des SIG, vous savez, le partage des connaissances, la collaboration, le partage, les meilleures pratiques, toutes ces choses où vous glanez ces connaissances sont vraiment précieuses pour les retransmettre aux équipes de sécurité également. L'autre point que je souligne est la réduction des risques. Évidemment, je considère la sécurité comme un risque. Vous savez, on pourrait facilement vous appeler le Chief Risk Officer et nous observons de nombreuses tendances où les équipes de sécurité rendent compte au CRO et à la fonction de risque également. La sécurité est une question de gestion des risques. Vous avez une balançoire devant vous. Vous la prenez dans un sens ou dans l'autre en fonction des contrôles, de la technologie ou des personnes que vous employez, mais en fin de compte, vous essayez de vous placer du bon côté de la discussion sur les risques. Les achats ne sont pas là uniquement pour obtenir le prix le plus bas. Vous savez, le vieux mantra, vous achetez à bas prix, vous payez deux fois. Le risque joue également un rôle essentiel dans la réalisation de vos objectifs. Nous pouvons donc nous aligner sur ces résultats en matière de risque. Quels sont vos objectifs en matière de risque ? Voici nos objectifs en matière de risque. Nous pouvons intégrer ces attentes dans les processus d'appel d'offres, etc. Et nous pouvons obtenir ces lentilles en retour de nos fournisseurs et les introduire dans nos canaux de risque d'entreprise, ce qui nous permet d'avoir des vues beaucoup plus enrichies sur les fournisseurs que nous utilisons réellement. Ensuite, il s'agit des processus et des procédures de qualité. Chaque fonction d'approvisionnement que j'ai vue dans une grande organisation est un navire très serré. Il y a beaucoup de responsabilités au sein des achats, beaucoup de responsabilités au sein des achats. Vous savez, en général, toutes les dépenses globales sont centralisées sous leur responsabilité. C'est pourquoi, en tant que professionnel de la sécurité, il est très utile d'intégrer nos exigences en matière de sécurité dans ce processus. Hum, vous savez, vous êtes très serrés.

Brian Littlefair : Vous savez, les processus et les procédures que vous suivez, les attentes que vous avez envers les fournisseurs avec lesquels vous travaillez, vous savez, c'est une bonne pratique d'injecter non pas des milliers mais, vous savez, les niveaux de base du contrôle de la sécurité. que nous attendons de nos fournisseurs pour qu'ils sachent d'emblée que cette organisation prend la sécurité au sérieux. Si nous travaillons avec cette organisation, on attendra de nous que nous fassions de la sécurité correctement. Elle reconnaît que le fournisseur représente un risque pour elle et elle veut s'assurer que les bonnes mesures sont prises. Je pense donc que la collaboration dans ce domaine est vraiment très importante du point de vue de la sécurité, mais aussi du point de vue des achats. Je pense que le responsable des achats, le responsable de la sécurité et les équipes qui leur sont subordonnées, ainsi que les personnes qui travaillent sur le terrain au quotidien, ont tout à gagner à reconnaître cette synergie et à commencer à collaborer bien mieux que je ne le fais au quotidien. Vous avez quelque chose à ajouter ?

Alistair Parr : Oui, j'adore cette diapositive. Merci, Brian. Il y a plusieurs choses auxquelles je pense toujours lorsque je vois cette diapositive et que j'entends parler des synergies auxquelles vous faites référence : les achats ont la position enviable de pouvoir négocier avec les ires habituellement et bien souvent, lorsque vous arrivez aux équipes de sécurité de l'information en aval, il s'agit d'une sélection post-contractuelle dans une certaine mesure euh et vous jouez un rôle de rattrapage lorsque vous recevez une liste de tierces parties avec lesquelles vous devez traiter. Il est donc inestimable d'avoir cet accès, cette interaction et cette synergie avec les achats au premier plan de la négociation et de l'engagement contractuels. Ainsi, tous les meilleurs programmes que nous avons vus s'appuient bien sûr sur tout ce qui figure sur la diapositive, mais aussi sur cette implication au stade de la définition du contrat pour s'assurer que l'information est au premier plan et qu'elle constitue une obligation contractuelle clé dans le cadre de toute négociation, ce qui est très précieux. L'autre

Brian Littlefair : désolé. Alistair Parr : Non. Brian Littlefair : J'allais juste dire que sur ce point contractuel, je vois beaucoup d'organisations où ce n'est pas présent pour le moment et elles essaient évidemment d'intégrer ces contrôles dans ces contrats, mais ce n'est pas la fin du monde, mais il faut tenir compte du fait que lorsque nous renouvellerons avec ce client, ces contrôles devront également être intégrés, mais vous savez, il y a tellement de contrats qui existent malheureusement sans que les exigences de sécurité soient intégrées, et c'est un peu une exposition en ce moment, n'est-ce pas ?

Alistair Parr : Absolument. Et l'autre chose que j'aimerais ajouter, c'est le contexte, et je pense que vous l'avez abordé dans cette diapositive, mais le contexte que vous pouvez saisir à travers ce processus d'approvisionnement, en comprenant pourquoi nous utilisons un fournisseur, quel est l'avantage, comme vous l'avez souligné, de l'acheter pour un territoire particulier, pour l'Inde, pour l'APAC, etc. Autant d'informations utiles qui contribuent à une interprétation contextuelle efficace des risques en aval. S'assurer que nous pouvons capturer ces informations en amont est donc un outil précieux issu de cette synergie.

Brian Littlefair: Yeah. Yeah. Okay. So moving on to the next slide. Let me let me talk about three of the common mistakes that I see materializing in in reality. And you know I’ve got a slide on each of these. So I’m just going to you know highlight them and then we’ll kind of move on. But the first one is what I call the security silo. And you know security teams need the procurement teams and other teams within organization to to break out of this silo. You know, I I don’t support the security silo at all. If your security team is sitting behind speed gates or, you know, big glass windows and they’re not contactable or approachable by the broader organization, that is absolutely the wrong thing to be doing. You know, the security teams need to be outside of the sub gates and need to be embedded into the broader functions. And we’ll talk about that in in a little minute. And then there’s the, you know, the not invented here approach, you know, security didn’t think about it. It’s not the right thing to do. So, I do see this presenting a lot and this is where I like to challenge security teams and be a little bit provocative as well. You know, they’re not tapping into and leveraging that broader talent like procurement that exists in the broader area of the business. But that that is to detriment of the company and that needs to be resolved as well. And then there’s you know using security reasons for keeping other relevant stakeholders off security tools and you know there are some fairly sensitive security tools. You know there’s tools that can read everyone’s email if you’ve got the right access and permissions to do it. So, you can’t share all of the security tools, but you know, third party risk is something that should be shared around the organization and we the security teams need to get comfortable with with doing that as well. So, let’s spend a little bit of time on these points. Uh so, if you move on to the next slide, um I personally think the power of an effective third party risk program is is knowledge sharing and dissemination out into the business. business and you know there’s there’s two things I advocate for this there’s the third party risk and then there’s the threat intelligence you know if you’ve got the these really enriched data sets and really important to the broader business but they’re kept within a single team you know the value is is really eroded you know it’s not like it’s if you think about some of these organizations that have been hacked they’ve had the right security tool in place and all of the lights and bells might be going off but if there’s no one actually there to to drive that information into the organization then there’s going to be problems. So this information is gleaned, it’s analyzed, it’s segmented, it’s categorized, you know, it’s related back to the business. So it needs to be shared. So I am a huge advocate of of embedding security into the business and you know third party risk is a great examplar process to actually achieve this working with procurement and working with others whether it’s the risk function or or the broader business and in actually embedding your team into their facility. So you know procurement sometimes certainly in Europe might be centralized in in some countries that have a lower tax bracket for example. So you might find that your entire procurement function is in Ireland or your entire procurement function is in Luxembourg regardless of where you are and and actually there’s a fair few US companies based there as well. It’s not just us Europeans that do that. But what that actually means is you might have a procurement function that’s separate to the mothership and you know you’ve still got to tap into that. It’s it’s no use just communicating over email and trying to forge relationships over video conference etc. So I see the more mature approach is is recognizing that the business has made a decision to base the the main body of its procurement function in that in that area or even in the US you know it might be in a different state or it might be somewhere else etc. But then the security team needs to base people with those people you know if we’re talking about collaboration if we’re talking about sharing if we’re talking about objectives. Then when the security team is recruiting, it needs to recognize that some of its team that are specializing in this area needs to be colllocated wherever the the you know the procurement function is. So it’s about knocking down the walls whether physical or virtual that exist between the teams and actually linking them together in the same location so that they can build those interpersonal relationships. They can share the information that is you know vital between the two areas and actually start to build a common objective. pool going forward. So, you know, break down the silo, integrate, and embed. That’s certainly what I’m saying. Alistister, anything to to add on that one?

Alistair Parr : Non, je pense que c'est tout à fait exact. Je vous remercie. Brian Littlefair : Cool. C'est vrai. Alors, passons au suivant. Hum, vous savez, j'aime beaucoup celle-ci. Les équipes de sécurité doivent absolument reconnaître qu'elles ne sont qu'une partie du puzzle plus large des risques et de la gouvernance. Trop souvent, les équipes de sécurité pensent qu'elles sont l'alpha et l'oméga et qu'elles possèdent l'ensemble de l'optique du risque. l'ensemble de l'image du risque. Ce n'est absolument pas vrai et il suffit de regarder le registre des risques d'une organisation, typiquement 10 ou 12 risques stratégiques qui peuvent faire basculer l'entreprise et c'est différent en fonction de l'organisation, du secteur, etc. C'est donc complètement différent et il est assez courant de voir deux ou trois éléments de sécurité dans ce registre des risques, mais ils ne les possèdent certainement pas tous. Le risque est donc plus large que l'équipe de sécurité et il y a de très nombreux autres acteurs importants dans la structure organisationnelle typique que nous voyons et si nous n'exploitons pas cette expertise et ces connaissances, alors à mon avis nous n'avons tout simplement pas une vision holistique du risque que nous essayons tous d'atteindre, c'est aussi simple que cela, alors le pouvoir de la collaboration, le pouvoir du partage des connaissances va au-delà de nos outils de collaboration internes, vous ne pouvez pas réaliser cela en utilisant des liens, des zooms et tout autre outil de collaboration que vous utilisez en interne, mais vous savez, formaliser ces relations, formaliser ces approches communes et les intégrer dans les processus d'entreprise, c'est ce que j'essaie de faire. Lorsque j'étais responsable de la sécurité de l'information au niveau mondial et que je me suis assis avec mes homologues des équipes d'approvisionnement, j'ai constaté qu'il y avait un chevauchement important lorsque nous avons exploré nos différentes attributions et que les équipes d'approvisionnement pouvaient faciliter le travail du RSSI. Vous savez, comme nous venons d'en discuter, vous pouvez exiger qu'il y ait des portes d'étape dans les processus que vous exécutez qui doivent avoir une certaine forme d'approbation de sécurité pour continuer parce que vous savez que les équipes de sécurité peuvent aider avec la lutte contre le blanchiment d'argent. Elles peuvent découvrir qui possède les entreprises et effectuer les vérifications préalables et les acquisitions, autant de choses sur lesquelles nous pouvons collaborer et travailler. Mais en fait, du point de vue des fournisseurs, il s'agit d'effectuer ces évaluations et de prendre cette décision sur les risques très rapidement. Nous partageons tous deux cet objectif commun. Ce que je veux dire en fin de compte, c'est que nous devons tous identifier, vous savez, tous les domaines au sein de votre entreprise individuelle qui peuvent compléter à la fois le processus d'approvisionnement et le processus de sécurité que nous essayons tous deux de mener aussi rapidement, proprement et efficacement que possible. Ce n'est qu'à ce moment-là que l'on peut assembler tous ces éléments du puzzle pour obtenir une vue d'ensemble de l'organisation du point de vue des risques.

Brian Littlefair : D'accord, Alistister. Et si vous continuez, je crée la vitre unique. C'est ce que j'appelle le Saint Graal. D'un point de vue organisationnel, c'est la seule chose que beaucoup de gens visent, mais que peu atteignent. Je vois beaucoup de nouveaux outils arriver dans les organisations, mais je ne vois pas autant d'anciens outils partir, donc en fin de compte, ce que nous faisons, c'est que nous ajoutons à cette complexité et je pense que ce que nous devons faire, c'est travailler ensemble en tant que fonction d'approvisionnement, de risque et de sécurité, et décider de la manière dont nous pouvons parvenir à cette vitre unique qui nous permet de nous concentrer sur la réalisation de cet objectif stratégique commun pour obtenir cette lentille de risque unique sur un fournisseur. C'est certainement possible et je pense que les avantages sont clairs. J'ai vu cela très bien fait, mais j'ai aussi vu cela très mal fait. Mais vous savez, l'entreprise a besoin d'une orientation très claire de la part de ces deux équipes pour savoir avec qui elle peut ou ne peut pas travailler. La sécurité est l'un des principaux acteurs. L'approvisionnement est l'un des principaux acteurs, mais plusieurs autres doivent également être impliqués. Et je pense que ce pool de connaissances partagées, ce lac de données si vous voulez, nous sommes très habitués à parler de lacs de données dans le domaine de l'informatique et de la technologie, mais il s'agit ici d'un lac de connaissances si vous voulez, quel que soit votre vocabulaire interne et vos acronymes, vous savez, c'est ce que nous essayons de réaliser et le défi est qu'il peut y avoir beaucoup d'outils différents dans le domaine de l'informatique et de la technologie. Il se peut qu'il y ait de nombreux outils différents en jeu. Les outils de sécurité ne vont pas répondre à tous les objectifs de l'équipe d'approvisionnement et la technologie d'approvisionnement ne va pas répondre à tous les objectifs de l'équipe de sécurité, mais les données sous-jacentes sur les risques, comme je l'ai déjà dit, sont utilisées comme plate-forme de décision commerciale, donc nous devons obtenir cette vue commune, cette vue commune, cette vue commune de la sécurité. Je pense que c'est ce qui manque dans beaucoup d'organisations et je pense que certains d'entre vous, si vous réfléchissez à votre propre entreprise et si vous vous demandez si, du point de vue des achats, nous avons une vision complètement alignée avec nos fonctions de sécurité sur le risque des fournisseurs individuels, et je pense que c'est une bonne chose. sur le risque des fournisseurs individuels et j'imagine que certains d'entre vous le feront et d'autres non, mais ceux qui ne le font pas ont besoin d'entamer cette transition pour comprendre comment ils peuvent y parvenir et ensuite, si nous regardons la diapositive suivante, vous savez que l'alignement sur les mesures et les rapports est absolument toujours important. C'est la façon dont nous communiquons et diffusons les connaissances à l'ensemble de l'entreprise et aux parties prenantes concernées. J'aime les appeler des mesures significatives et je pense qu'elles sont vraiment importantes ici et je pense que certainement dans les fonctions de sécurité et vous savez que je suis moins au courant de toutes les mesures qui découlent d'une fonction d'approvisionnement, mais les fonctions de sécurité ont une approche typique pour produire des mesures très complexes et très techniques. Et il faut presque être un professionnel de la sécurité pour diagnostiquer si cette mesure doit augmenter ou diminuer, si elle doit aller à gauche ou à droite, si le vert est bon ou le vert est mauvais, etc. Nous devons donc supprimer la complexité des messages que nous envoyons aux entreprises. Et je pense que vous savez que les achats et les risques des tiers, si vous résumez tout, ce que les deux équipes font réellement, il vous reste la gestion des performances des fournisseurs et la réduction des risques, ce que nous verrons sur la diapositive suivante. Il s'agit pour ainsi dire de mesures uniques. Il s'agit de comprendre comment nous pouvons simplifier et clarifier ce message du point de vue des mesures et je pense qu'ensemble et en collaboration, nous devrions nous concentrer sur la fourniture de ces informations de très haut niveau, vous savez, chaque fois que c'est possible, en utilisant le système de gestion de la performance des fournisseurs. Ces outils peuvent vraiment aider à l'analyse, au calcul et à la production d'une vue très claire du profil de menace de ce fournisseur qui a changé, vous devez y jeter un coup d'œil et, encore une fois, les feuilles de calcul Excel ne peuvent pas vraiment faire cela pour vous.

Alistair Parr : Oui, c'est certainement intéressant et cela rejoint certaines des observations que vous avez faites précédemment, à savoir que le défi posé par certaines de ces mesures est que nous essayons d'obtenir des données de tiers de qualité en volume, ce qui est très difficile - vous savez, il n'y a pas d'équipes d'approvisionnement ou d'équipes d'infoset en surnombre. C'est très problématique. Je trouve donc toujours très intéressant que l'on parle de mesures et de rapports au sens large, mais aussi de cette vitre unique : vous ne pourrez pas avoir une vision cohérente de vos biens de tiers si vous n'avez pas cette vitre unique à laquelle vous avez fait référence plus tôt et si vous n'avez pas cette synchronisation entre les équipes d'approvisionnement et d'infoset pour disposer de tous les faits nécessaires pour prendre une décision, ce qui vous permettra bien sûr de réduire les risques.

Brian Littlefair: Yeah, it’s very interesting. Brian Littlefair: I completely agree. So like as you just said reduce risk. So you know the next slide you know it’s all about reducing risk. I mean that’s fundamentally what you know I think security teams and procurement team shares you know you’re trying to derisk the supply chain we’re trying to derisk the supply chain. The you know some of the metrics and drivers and tools that we use in terms of you’re trying to leverage costs we’re trying to leverage security. So we recognize that There are differences but reducing risk is obviously the priority that we share between the two teams and and risk is the universal business language across all the departments. You know risk exists in HR, sales, finance at some level we’re all accountable for managing risk. So in this context of you know third party risk and procurement some of the key areas I’ve kind of pulled out that we should focus on and mapped out on this slide and I’m not going to go through all of them because there’s a lot of them but you know I’ll highlight a few. So mapping the global supply chain. I can’t emphasize this enough. We’ve discussed on it a little bit. But as a procurement function, I imagine you share the view of a security professional that is, you know, you want to understand where every dollar, every pound, every euro from your organization is being spent and whether you’re getting maximum benefit from that cost. I.e. do you centralize that cost down on a on a few suppliers to get that better leverage. From a security perspective, it’s really critical that we know every single supplier that you know, connected to our company from a financial perspective, a logical perspective or a physical perspective. Have they got staff coming into our our premises, etc. You know, a security professional needs to know all of that things to discharge their accountability and and fundamentally to do their job well. So, we need to know about everyone. That’s really, really important. It needs to be ongoing and it needs to be real time. And you know, that real time perspective is where organizations struggle. And I imagine if Some of you on the call went back to your companies and said, “Look, if we pick a particular supplier and we focus on them, you know, how near real time are we on changes, fundamental changes within their organization that might impact the security or the relationship with us?” You know, do we find out about it quickly? Do we find out about it in, you know, a monthly touch point? Do we find out about it at a quarterly business review? Do we find out about it every six months? Do we find out about it annually? And obviously that’s going to change depending on the importance of that supplier to you because you can’t sit down with every supplier every month. So it depends on the criticality of that organization to you. But the game changer are tools like prevalent that you know already have this information mapped within their platform. They can present that back to you. You don’t have to go and hunt it. You don’t have to come and find it. It comes through as alert to the right people within the right teams and actually saying, “Hey, something’s shifted. You need to take a look at this and understand the potential impact on on you and your organization going forward. And I think that’s that is the drastic shift from security teams and procurement teams having to go out to factf find to the facts coming in to you and your organization. So that time lag and that delay is drastically reduced. The risk window is reduced. So you know moving your processes forward and maturing them as the organization matures in general but focusing on getting as near real time as possible so that we both functions and teams have that near a real-time view of the risk going forward. So that’s really really important. We all need to be able to react to global events. You know, there’s been a few events recently which you know have really impacted some things. Think about the Suez Canal being blocked. Think about there was a shortage in in microchip supplies in coming out of China and and and Japan and Korea where typically they’re produced. There’s obviously been a large impact on suppliers in different geographies due to the COVID pandemic etc. So and certainly over in Europe we’re having issues in in in the UK at the moment with some of our typical products that we’d expect to see on our supermarket shelves like beer are noticeably absent because you know we haven’t got enough truck drivers because we’ve decided to reduce the number of people that can come into our country from Europe. So all of these things have an impact on some organizations depending on the sector that you’re in. But how effectively have they been planned out? How effectively have you, you know, worked through of how the likelihood of this occurring? ing and you know how do you mitigate that risk or deviate that risk how do you keep having those business continuity discussions so the focus in my opinion has to be even though I’ve mentioned it hundreds of times in this thing is is move away from supplier and move towards partner getting those strategic relationships in place with your key I’m going to say it again suppliers but you know getting into that you know we understand you you understand us you know you’re critically important to us we need to understand what’s going on within your business and anything that potentially might impact that. So, it’s getting that very close-knit community with your with your supply chain is the ultimate goal. And obviously in a large global organization, you can’t do that with all of your suppliers, but you certainly can with your strategic partners. Alistister, anything to add on that one?

Alistair Parr : Oui, il y a quelque chose que vous avez dit qui a vraiment résonné en moi, c'est le fait que la gestion proportionnée des risques et les dépenses proportionnées sont intrinsèquement alignées et qu'elles vont de pair. Nous le constatons toujours, même en prenant l'exemple du risque de concentration. Certes, du point de vue du risque, vous pouvez voir où il peut y avoir des risques et des impacts potentiels basés sur des événements mondiaux, etc. ce qui est très significatif, mais de la même manière, du point de vue des dépenses et de l'analyse, lorsque vous avez une concentration, vous pouvez obtenir des réductions de risque, etc. Ils sont alignés, mais dans certaines situations, ils ne se complètent pas nécessairement. Il est donc toujours intéressant de voir où les entreprises trouvent ce juste milieu entre la réduction des coûts par l'augmentation des dépenses et la compensation du risque de concentration. C'est donc un sujet intéressant.

Brian Littlefair: Good. So, I have a slide here that I just used to wrap up, but you know, I’ve I’ve I’ve summarized enough on the the last few slides, I think, and I want to move on to to Alistister to give you a quick overview of, you know, the the prevalent platform. So, Alistister, over to you. Alistair Parr: Thank you very much, Brian. So, we’ve obviously talked about a lot of interesting things today, and it’s been very insightful for me, Brian. Thank you for that. But the way prevalent approaches and addresses these particular issues is that we we understand that there needs to be this cohesion between the respective teams and that third party risk management is a broader life cycle. So as you see the very very start there where you’ve got the sourcing and selection process intaking on a boarding process where you have procurement driving some of these these actions and then starts feeding into the ongoing risk management lenses inherent risk management assessing remediate ongoing monitoring data over points in time conducting validation exercises uh and then through to broader performance management of third parties, measuring SLAs’s etc. and then finally offboarding at the end of contract term. There’s a full life cycle of third party risk management and broad broadly speaking third party management that has multiple parties with an invested sense of what they have to do. And the way that prevent likes to approach this is we tend to split it between people, technology and processes to help drive that moving forwards. So using the core technology itself, the prevent platform, the SAS platform itself, we can accelerate streamline, as you rightly highlighted, Brian, whether you have those efficiencies by leveraging and tapping into intelligence networks, whether that’s pre-completed assessments or broader monitoring feeds and data to help you select and source up front through to the detailed focused uh risk management platform where you can use some of this monitoring insights in conjunction with assessments to drive remediation, track and audit any validations that you’ve been doing, track SLAs, etc., and provide that single pane of glass and that really becomes the backbone of a good effective program having something that can support and facilitate that entire life cycle. Of course, people need support in order to do that in order to drive it whether it’s internally through your own teams or of course we can support you using our managed service teams. So that’s a case of collecting data on boarding conducting analysis driving risk remediation and doing validation exercises. There’s a host of teams available there who are doing it at scale. So dealing with vendors globally across the board and understanding the nuances and with those we can certainly offset and support you in driving some of the challenges that you face for even a subset of those areas. Now a good program we see obviously incorporates program management program design. So something that we’re strongly focused on is that professional services element to understand how mature is the program from a procurement lens from an infosc lens helping define and refine that building things like third party policies which is something that’s interestingly often overlooked and involves multiple parties procurement in legal etc in that workflow through to optimizing whatever’s in place uh and then driving success through that and making sure it’s a a truly cohesive program end to end. So when we actually look at that as in who’s actually getting some tangible benefits from this uh the life cycle itself has multiple participants as I said you know you’ve got the uh you’ve got the business itself you’ve got procurement you’ve got IT SEC uh risk vendor management legal compliance. There’s multiple teams who are have a vested interest in making this all work. And the workflow that we follow is focused on trying to provide benefits to each of those. So they have a vested interest in driving that program. It’s about offering them something of value so that they interact and then drive that process forward. And then finally, when we actually start looking at what the prevalent TPRM process is, it’s fundamentally smart, unified, and prescriptive. We try and prioritize risk in the right way. We try and make the information that we collect contextual and comprehensive enough so that each team has some advantage and value and then ultimately make it prescriptive so we could be consistent with our risk ratings. So we could be consistent with our remediation plans and our workflows. Uh the platform itself and the methodologies we follow means that we want to try and take the the quality that we’re building in these silos of teams making it a single pane of glass and making it repeatable. So as people move around and situations change we can be consistent in our tracking methodologies. So, we have a couple of minutes left, so we’ll just take a a few questions. If you do have any questions, please feel free to ask away in the Q&A section. Uh, but I do have one question that’s coming through and I’ll present it to you, Brian, if if I may. So, the first question I’ve got here is CPOS and CRO’s, how do we actually get them to talk to one another?

Brian Littlefair : Oui, c'est une question étrange, n'est-ce pas ? Parce que, vous savez, parler, prendre un café, décrocher le téléphone et des choses comme ça, mais ça n'arrive pas dans les grandes organisations et, vous savez, ça n'arrive pas autant que ça devrait. Mais vous savez, j'espère qu'aujourd'hui j'ai présenté un cas qui souligne que le risque est le langage commun, mais il y a beaucoup d'objectifs partagés que les deux équipes essaient d'atteindre et je ne pense pas, en tout cas certains responsables de la sécurité à qui j'ai parlé, que ce n'est pas immédiatement évident pour eux. Alors mettez-le en évidence et dites : " Regardez, nous avons beaucoup de choses en commun, nous partageons beaucoup d'objectifs communs, nous essayons tous les deux d'atteindre la même chose, ayons une conversation ", mais j'ai vu des organisations suivre la voie des objectifs partagés entre les domaines communs. Ainsi, le RSSI et le responsable des achats partagent peut-être un objectif commun. Vous savez, les gens sont parfois motivés par la prime ou les performances à la fin de l'année. Personnellement, je n'en suis pas un grand fan, car je pense que les individus sont tous des adultes. Nous devrions reconnaître que nous devons collaborer pour obtenir des résultats efficaces pour notre entreprise, mais aussi pour nos clients et nos fournisseurs. J'espère donc qu'aujourd'hui, nous avons eu quelques idées qui peuvent être utilisées pour ouvrir ces conversations avec la fonction de sécurité et j'espère qu'ils y seront réceptifs. C'est vrai. Donc..,

Animateur : Oui. Brian, l'une des questions a été posée. Elle disait : " Nous avons un RSSI, c'est-à-dire un responsable de la sécurité de l'information. Nous avons une organisation de gestion des risques, et pourtant on nous dit que l'approvisionnement est responsable des risques liés aux tiers. Comment ces trois éléments s'articulent-ils ?" Brian Littlefair : Oui, je veux dire que dans beaucoup d'entreprises en fait, vous savez, je ne pense pas qu'il soit vraiment important de savoir où se trouve la fonction de risque de tierce partie, vous savez, physiquement citée, mais en considérant ce triangle. Vous savez, ces trois acteurs restent les mêmes. Ainsi, vous savez, dans certaines organisations, le CISO est responsable du risque de tiers, dans d'autres, le responsable des achats, mais dans d'autres encore, le CRO, et je vois beaucoup de mélanges de saveurs, mais ce triangle reste le même, n'est-ce pas ? C'était sur ma deuxième ou troisième diapositive, l'approvisionnement, la sécurité et le risque. Vous savez, ces mêmes conversations doivent avoir lieu en fonction de la personne qui est responsable de la mise en œuvre du programme, n'est-ce pas ? Mais je pense que c'est certainement le cas du point de vue de l'approvisionnement. Si vous êtes responsable du risque d'un tiers, il est plus important de faire appel à d'autres personnes et à d'autres sources de connaissances pour s'assurer que vous obtenez le bon résultat. C'est vrai.

Animateur : Bien. Ensuite, nous aurons le temps de poser une petite question. Pensez-vous que le CISO CRO a le sentiment d'être tenu à un niveau de performance plus strict que le CPO ? Est-ce que cela pourrait être un facteur qui maintient l'aspect risque à l'écart et qui, malheureusement, ne coopère pas ? Brian Littlefair : Oui. Non, je pense vraiment que c'est le cas dans certaines organisations, mais je pense qu'il faut faire tomber ces barrières et ces murs. Vous savez, quand j'ai occupé mon premier poste de RSSI, j'avais un très beau grand bureau avec des murs en verre, mon directeur commercial était assis à l'extérieur et il y avait une porte rapide que seule l'équipe de sécurité pouvait franchir. Les gens devaient donc interagir avec moi par le biais d'un système de billetterie, d'un appel téléphonique ou d'un courrier électronique, etc. La première chose que j'ai faite a été d'abattre les barrières de sécurité et de faire sortir tout le monde de son bureau. Et je pense que, vous savez, je suis un grand fan de la collaboration et de l'espoir et je suis je vois positivement ce changement dans les professionnels de la sécurité et de l'industrie. Mais vous savez, beaucoup de professionnels de la sécurité viennent de l'armée, beaucoup de gens viennent des forces de police et de ce type d'expérience. Travailler avec eux et les aider à faire ressortir ces qualités, c'est le conseil que je leur donnerais. C'est vrai. C'est ainsi,

Animateur : Bon, nous n'avons plus de temps, mais Brian, nous avons reçu une demande pour que vous puissiez vous cloner. Nous aimerions que l'un d'entre vous soit ici et à notre disposition à tout moment. Brian Littlefair : Oui. D'accord. Pas de problème. J'en suis ravi. Oui. Animateur : Alistister et Brian, je tiens à vous remercier pour cette merveilleuse heure d'énergie d'aujourd'hui. J'adore ce sujet. Je suis passionné par leur joli poignet. Je ne remercierai jamais assez Prevalent d'avoir fait venir des conférenciers de qualité et d'avoir fourni du contenu, et je tiens à vous remercier tous. Merci à tous d'avoir participé. Nous enverrons un lien vers le webinaire d'aujourd'hui. Il comprendra toutes les diapositives, l'enregistrement à partager largement au sein de votre organisation et il sera également hébergé dans le centre de ressources SIG pour les deux prochaines années. Vous pourrez donc à tout moment envoyer votre équipe au centre de ressources SIG pour le télécharger et le réécouter. En attendant, Brian, je sais qu'il est tard pour vous et Alistister. Passez une excellente soirée. Les autres, passez une bonne matinée ou un bon après-midi. Alistar et Brian sont des génies. C'est aussi ce que j'ai compris. C'est une bonne façon pour vous d'aller chercher une bière quelque part et de vous détendre.

Brian Littlefair : Je dois en trouver un dans les magasins. Vous savez, les problèmes de chaîne d'approvisionnement. Quoi qu'il en soit, je vous remercie de m'avoir accordé votre temps, n'est-ce pas ? Animateur : Merci à tous. Alistair, merci. Alistair Parr : Merci. Merci. Au revoir. Au revoir. Au revoir. Animateur : Au revoir à tous.