Lowe's connaît la gestion des risques liés aux tiers
Lowe's connaît la gestion des risques liés aux tiers
Description
Lowe's, l'un des plus grands détaillants de produits de rénovation au monde, sait que l'élimination des risques potentiels provenant des vendeurs, des fournisseurs et d'autres tiers est essentielle à son succès. Cette année, l'entreprise est en train de procéder à une mise à niveau majeure de la gestion des risques liés aux tiers - et Jefferson Pike, directeur principal de la sécurité informatique TPRM, est l'architecte principal du programme.
Rejoignez Jefferson pour ce webinaire discutant des leçons apprises sur le "site de projet" de Lowe's TPRM. En compagnie de Brenda Ferraro, vice-présidente chargée des risques liés aux tiers chez Prevalent, Jefferson partage des conseils pratiques à toutes les étapes de la gestion des risques liés aux tiers, notamment :
- L'élaboration d'un plan : Évaluer vos besoins et définir un cadre de TPRM réalisable.
- Constituer l'équipe : Aligner les équipes chargées des achats, des questions juridiques, des fournisseurs, de la sécurité et de la direction
- Déterminer la portée du travail : Identifier et comprendre l'univers des vendeurs et des fournisseurs
- Se préparer : Choisir les bons outils et évaluer les options de TPRM internes ou externalisées
- La mise en œuvre : Classement des fournisseurs, sélection des questionnaires, surveillance continue, évaluations par des tiers, gestion de la remédiation, etc.
- Mesurer les progrès : Sélectionner les bons KPI/KRI et en rendre compte à la direction
Il s'agit d'une occasion inestimable d'obtenir des informations sur un programme de TPRM en pleine expansion.
Intervenants
Brenda Ferraro
Vice-président du risque tiers chez Prevalent
Jefferson Pike
Responsable de la sécurité informatique TPRM
Transcription
Amanda : Bonjour à tous. Je vais donner une seconde aux gens pour qu'ils commencent à s'inscrire dans cinq, quatre, trois, deux, un. Je me l'approprie. Bienvenue à tous dans notre webinaire Lowe's knows third party risk avec notre invité spécial Jefferson Pike, directeur principal de la sécurité informatique pour TPR. RM. Nous avons également avec nous aujourd'hui notre propre vice-présidente du risque de tierce partie, Brenda Ferraro. Je m'appelle Amanda Fina, aspirante animatrice de télévision et candidate au titre de célibataire si je suis encore en âge de le faire. Mais pour l'instant, je ne suis que votre représentante du développement commercial. J'ai deux ou trois choses à faire avant de commencer l'émission. Tout le monde est en sourdine. Nous savons que vous êtes tous chez vous. Nous ne voulons pas entendre les aspirateurs. Nous ne voulons pas entendre les cafetières ou Amazon Prime arriver à votre porte. Donc, nous allons aller droit au but. Personne ne peut parler. Mais même si vous ne pouvez pas parler, nous voulons vraiment que ce soit interactif. Répondez donc, s'il vous plaît, et non pas répondez, désolé, nous répondrons, posez toutes les questions que vous pourriez avoir dans la console de Zoom. Faites les questions-réponses, pas le chat. Cela facilitera les choses pour tout le monde. Si le temps le permet, nous répondrons à toutes les questions. Le webinaire d'aujourd'hui est enregistré, nous vous l'enverrons donc demain matin et vous pourrez le partager avec qui vous voulez. C'est à peu près tout ce que j'ai à dire. Je vais passer la parole à Brenda. Merci beaucoup à toutes les deux de vous être jointes à nous et commençons.
Brenda : Merci, Amanda. J'aime toujours quand vous commencez ce genre de choses parce qu'elles sont si excitantes et amusantes et je vais totalement vous promouvoir pour la Bachelorette.
Brenda : Merci à tous pour votre soutien.
Brenda : Je suis donc heureuse d'être ici avec Jefferson aujourd'hui. D'ailleurs, toutes nos annonces l'ont présenté comme le directeur ou le responsable principal. Il a récemment été promu directeur de la sécurité de l'information. Félicitations, Jefferson.
Jefferson : Merci.
Brenda : Je pense que cela fait un an que nous nous sommes rencontrés et que nous avons commencé à parler du programme de gestion des risques de tiers pour Lowe's. J'étais en Caroline du Nord à ce moment-là et nous étions, je pense, également dans votre première semaine. J'étais en Caroline du Nord à cette époque et nous étions, je pense, peut-être aussi dans votre première semaine.
Jefferson : Je pense que c'est mon premier ou mon deuxième jour de travail.
Brenda : C'était comme une tempête de feu, Brenda parlait des tiers et de toutes les stratégies qu'elle pensait qu'il fallait mettre en place. Mais félicitations pour le chemin parcouru par Lowe's en un an. Elle a été plus rapide que n'importe quelle autre entreprise avec laquelle j'ai travaillé auparavant sur la stratégie. Bravo donc à vous et à votre équipe. Félicitations pour votre promotion. Et la chose dont j'aimerais que vous parliez, tout le monde me connaît à peu près. J'ai travaillé dans la finance chez Charles Schwab, eBay et PayPal, puis dans le secteur de la santé, dans le commerce de détail et aujourd'hui, je suis en mesure d'aider d'autres entreprises à développer leurs programmes. Parlez-nous un peu de vous, puis peut-être d'un fait amusant à propos de ce que vous préférez faire en 2020.
Jefferson : Bien sûr. Merci et tout d'abord merci de m'avoir invité. J'aime être ici pour représenter l'équipe qui a fait tout le travail pour que nous soyons ici. Mais je m'appelle Jefferson Pike. J'ai travaillé dans le secteur des télécommunications, dans le secteur financier et j'ai fini par arriver chez Lowe's. En fait, la cybersécurité était ma passion, mais je l'ai découverte sur le tard. J'étais en fait plus du côté technique dans d'autres domaines et dans l'analyse commerciale pendant des années et même dans l'audit interne d'une grande banque sur leur programme de tierce partie. Ce n'est donc pas une approche typique, mais ce que nous constatons, c'est que beaucoup de gens dans cette industrie n'ont pas une formation typique et viennent d'un mélange de formations, ce qui nous aide en fait dans notre cas particulier avec les tierces parties. Nous en apprendrons plus à ce sujet. Depuis que je suis coincée à la maison pour essayer de ne pas prendre de poids, c'est le moment idéal pour apprendre, lire et obtenir des certifications et des formations, car la plupart des cours sont maintenant disponibles en ligne et vous pouvez même passer votre examen de certification à la maison. J'en ai donc profité pour essayer d'apprendre le plus possible dans tous les domaines. C'est assez ennuyeux, mais ça permet de se sortir d'affaire.
Brenda : Eh bien, c'est beaucoup plus collégial que moi. J'ai essayé de m'évader en 2020 dans des endroits comme Sedona, en Arizona, en marchant autour du ruisseau pour observer les oiseaux. Beaucoup de gens savent que je suis une ornithologue. J'aime donc sortir et identifier les oiseaux. Cela fait donc partie de ma folie. Mais nous allons maintenant nous éloigner de ce que nous avons fait en 2020 pour nous-mêmes. J'aime la façon dont vous avez appris et aidé les autres à apprendre ce que Lowe's a fait avec son programme. Aujourd'hui, nous avons essayé d'être très créatifs et Lowe's est un magasin de bricolage qui propose de nombreux autres articles à ses clients. Mais nous avons pris ce webinaire et nous avons commencé à réfléchir à la manière dont nous pourrions faire le lien entre un processus de gestion des risques par une tierce partie et la construction d'une maison. Il y a donc l'élaboration des plans, qui consiste à évaluer ce qu'il faut construire. Il y a aussi la constitution de l'équipe, qui permet d'intégrer tous les services de l'organisation. Il s'agit donc d'une approche d'entreprise. Il y a la définition de la portée du travail. Il s'agit davantage de comprendre l'univers des vendeurs ou des fournisseurs que vous devez évaluer. Il s'agit de savoir quelles sont les compétences essentielles à mettre en œuvre et à exécuter pour votre programme. Et puis, bien sûr, l'exécution, c'est-à-dire la mise en place et le fonctionnement de la partie portuaire du programme. Et enfin, la mesure des progrès, c'est-à-dire la démonstration de votre réussite et des risques que vous avez identifiés pour l'entreprise. Avez-vous quelque chose à ajouter à cet ordre du jour ? Il semble assez chargé pour que nous puissions le passer en revue. Jefferson, est-ce suffisant ?
Jefferson : C'est bien assez. Allons-y, allons-y.
Brenda : J'ai suivi l'évolution de votre programme et il y a beaucoup de choses différentes à prendre en compte lorsque vous construisez votre programme. D'après mon expérience, il faut découvrir. Il faut planifier. Il faut connaître les multiples éléments fondamentaux qui doivent être incorporés dans la conception que vous allez utiliser pour construire le programme. Alors, qu'avez-vous fait pour évaluer les besoins afin d'élaborer votre programme et de le construire ?
Jefferson: Sure. Great question. And first of all, so it’s called thirdparty risk management for a reason. It’s not third-party compliance management. And I think a lot of people in including me in the in the past have had the mindset that, you know, you need to come in and and do everything. And you honestly just can’t do that. You have to figure out where to start and and not beat yourself up thinking, you know, you’re not accomplishing everything on day one. It does take time. And risk management is not new. In fact, when you study information warfare on the military side, you learned that the guy who wrote the art of war talked about risk management 7,000 years ago, Sunzu, and he said that if you know yourself and you know your enemy, you don’t need to worry about the outcome of a 100 battles and essentially saying you know if you assess yourself and you assess the threats to yourself you don’t need to worry about the outcome you’ll make it and with third parties we have to own them as part of us and actually you know assess them and assess the threats to them. So we we started with that and we had to look at our industry because the retail industry is totally different from financial or healthcare and uh you in the financial sector you have regulatory agencies telling you what to do for third party and the OC will tell you you have to have a continuous monitoring program in place which is great, but in retail, you don’t have those regulatory factors like you you do. There’s this there’s heavy fines. There are other things you can take into account. There’s guidance, but you don’t really have any kind of real regulation across the industry. So, you have to figure out what your own risk appetite is if you’re taking that that risk management approach. So, uh first it came from from leadership and our leadership a lot of them came from places like uh Target, Home Depot and other places that have experienced, you know, bad situations. and they don’t don’t want that to happen again. So, it’s something we’re very mindful of like how do we best protect ourselves in a retail environment which is totally different from uh from healthcare. So, had to look at that. And then you have to figure out, you know, if you’re out in the in the middle of the woods and you’re trying to uh you know, get out of the woods, a map won’t help you by itself. And the compass won’t help you by itself. You have to have the two together and use that compass. You identify a couple points, see where you are on the map, then you work your way out. And it’s the same thing with this. So, we had to look for a reference frame we could use and a a framework that we could figure out, you know, what the lay of the land would be. But but then we had to figure out where we were on that uh that map. And so we uh we conducted a couple self assessments and we found a framework one from shared assessments uh called the vendor risk management maturity model and we conducted a self-assessment on oursel and figured out where we score on this is very similar to doing a gap analysis for NIST or something else but much w better than this and we’re also looking at things originally from an information security perspective and every company does it differently but for us third party is embedded within information security. So when you have when you’re looking at an asset an asset can be anything of value to a a company typically you’re looking at just the confidentiality at first uh you know for example when you hear about most data breaches it’s because what’s making the news is how the confidentiality was breached there actually two other factors to it there’s integrity you know making sure that data stays accurate and availability which now is a big thing especially with supply chain. So u you can’t do all three at once. You start with what you know and in our case we knew information security. So we started there and we plotted ourselves on the self-assessment framework and figured out where our gaps were and and just like any organization we had some good gaps but then we would take that and actually plot that on a road map. Now that we know where we are how do we get out of there? And so we would take every domain from the uh the share assessments framework uh from that that room assessment and create really lanes on this road map and so program governance is a great example. We figured out okay for that category here are some issues where we’re we’re falling short so let’s put them on the road map and every subcategory from the framework we just plugged in the road map and started following that and if you follow the agile framework we then you’d understand this terminology where we’re taking all the u the big categories on the framework we made those are epics and then uh the subcategories, those big projects, those were our tasks for each epic. I’m sorry, our features. And then it breaks down into stories and and tasks. So, we’re using that as a framework really just to get us out of the woods and and to move forward. And rather than just assess ourselves once a year, we actually assess ourselves maybe every six months or so to get ready for our big annual assessment because we don’t want any surprises at the annual assessment. So, theoretically, just like when you do a a performance manager eval, when you get to the annual assessment, you should not be surp rise of what you see as the gaps. So, we like to know the gaps ahead of time and it’s just a continuous process of doing that.
Brenda : Oui. Et j'aime le fait que ce n'est pas la seule diapositive qui montre ce que sont ces caractéristiques ou ces composants ou ces épopées. Vous en avez huit. Et de nombreuses entreprises qui élaborent leur programme ne tiennent pas compte de ces huit éléments. Elles se contentent de se demander quel est le cycle de vie d'une évaluation. Jusqu'où va-t-elle aller ? Et où est-ce que je vais me retrouver bloqué ? Alors, voulez-vous parler un peu de cette feuille de route ou voulez-vous passer à la diapositive suivante pour montrer l'ensemble des huit composantes ou y a-t-il des spécificités à ces deux-là ?
Jefferson : Bien sûr, nous pouvons passer au suivant. Ceci n'est qu'un exemple. Si vous regardez ce cadre d'auto-évaluation VRMM, ces catégories s'alignent parfaitement et vous verrez d'où elles proviennent. Nous avons ajouté une autre catégorie si vous passez à la diapositive suivante. Je ne suis pas sûr qu'elle figure ici. Nous avons une catégorie distincte pour les flux de travail supplémentaires du groupe de sécurité de l'information. Il s'agit en grande partie de déterminer comment nous pouvons collaborer au mieux avec toutes les autres équipes et comment nous pouvons prendre en charge des travaux pour soutenir d'autres équipes, tout en apportant une valeur ajoutée à ce que nous faisons. Nous avons donc créé une équipe distincte pour cela ou une voie distincte pour cela. Nous avons aussi fait deux autres choses au début : nous savions qu'il ne fallait pas être un loup solitaire dans ce domaine. Personne n'a toutes les réponses. Nous avons donc mis en place un groupe de pairs composé de dirigeants d'autres entreprises qui étaient peut-être en avance sur leur temps ou qui faisaient ce travail depuis plus longtemps que nous et qui étaient des experts dans leur domaine, et ils ont partagé des informations avec nous parce qu'un loup solitaire ne survivra pas dans ce domaine et que d'autres personnes sont passées par là et l'ont fait, et c'est donc formidable d'apprendre de leurs expériences. Comme les forces spéciales, vous avez une équipe, vous n'avez pas le modèle Rambo, un gars qui sort et qui fait tout ne fonctionne pas vraiment, vous avez une équipe de professionnels qui ont tous des compétences et donc ce groupe de pairs est un groupe mixte de différentes personnes, différentes industries, mais ils sont tous concentrés sur le risque de tiers et c'est une grande opportunité d'entendre les experts et d'apprendre ce qu'ils font. J'ai dit que j'aimais lire. Eh bien, si vous allez sur Amazon et que vous cherchez un livre sur le risque de tiers, vous ne trouverez presque rien.
Brenda : Seulement trois.
Jefferson : Oui, il y a très peu de livres et ils ne sont même pas excellents. Hum, mais pour la plupart, il n'y a pas grand-chose sur le marché. Peut-être que quelqu'un écrira pour nous le livre définitif sur la gestion des risques liés aux tiers, mais il n'y a pas de grand livre à consulter, à l'exception d'un seul, et c'est une chose que je conseillerais à tout le monde si vous n'avez pas vu ce livre. Il y a un ensemble de deux livres appelé le SISO desk reference guide et il est écrit par Bonnie Heslip et Stamper et ces trois messieurs étaient tous des sysos accomplis dans leurs entreprises. Ils savent tout sur la sécurité de l'information, mais il y a un chapitre sur le risque des tiers et c'est la meilleure ressource que j'ai trouvée sur papier sur la façon de gérer le risque des tiers. C'est donc là que l'intello sort et dit que si vous voulez un livre, c'est le livre qu'il vous faut. euh mais c'est à peu près le seul que j'ai pu trouver quelque part euh avant même de commencer.
Brenda : Eh bien, je suis aussi une geek nerd quand il s'agit de tierces parties. Je vais donc prendre ce livre et lire ce chapitre ou vous demander de le copier et de me l'envoyer s'il ne s'agit que de ce chapitre. Parlons donc de la façon dont vous avez aligné les autres départements, parce que chacun fait des évaluations à sa façon. L'approvisionnement peut faire des attestations ou examiner des choses telles que les vérifications de crédit ou faites à Brad Street. Le service juridique a son propre point de vue et doit examiner les évaluations. Il y a la sécurité des fournisseurs, la sécurité informatique, la sécurité opérationnelle, et enfin beaucoup d'équipes dirigeantes qui peuvent être un peu effrayées par la façon dont vous progressez dans votre programme. Il se peut que vous progressiez à une vitesse qui ne leur convient pas. Alors, comment avez-vous fait pour changer la culture d'une manière normale et appétissante pour Lowe's ?
Jefferson : Vous savez, cela peut paraître idiot, mais il s'agit avant tout de faire preuve de diplomatie et d'être l'ambassadeur auprès des autres unités commerciales. Les différentes équipes ne se parlent pas. Chacun fait ce qu'il a à faire et n'est même pas conscient de ce qui se passe ailleurs. Nous nous positionnons donc en quelque sorte comme les ambassadeurs entre toutes ces équipes. C'est donc nous qui parlons avec les tiers. Nous parlons aussi avec le service juridique sur les questions qui se posent et nous leur proposons de revoir les contrats s'ils en ont besoin. Nous travaillons avec les unités opérationnelles et leur expliquons le risque associé aux fournisseurs avec lesquels ils travaillent. Nous travaillons également avec les services d'approvisionnement pour leur faire savoir ce que nous voyons et ce que nous recommandons. En effet, ces équipes ne se parlent généralement pas très bien entre elles. Et si vous essayez d'expliquer le risque de sécurité de l'information ou beaucoup de ces risques de tiers à une unité commerciale ou à un fournisseur, ils n'ont aucune idée de ce dont vous parlez. Il faut donc être non seulement un ambassadeur mais aussi un traducteur et être capable d'expliquer en termes très simples à des personnes non techniques, le risque et les termes commerciaux. Il s'agit donc d'un ensemble de compétences unique et le fait d'avoir dans une équipe des personnes compétentes en cybernétique ne vous aidera pas nécessairement lorsque vous essayez de traduire. Donc, euh, et nous avons trouvé, et je sais que nous en parlerons dans un petit moment, mais au fur et à mesure que nous construisions notre équipe, ce n'était pas vraiment l'ensemble de compétences qui les amenait à l'équipe, euh, parce que nous ne voulions pas que les gens soient toujours les mêmes. Et parce que nous avons cet ensemble de compétences variées, nous avons différentes personnes qui peuvent prendre différentes tâches et suivre leurs passions différemment. Donc, euh, essentiellement, nous devions être les ambassadeurs. Chez Lowe's, la mentalité veut que l'on emmène le client dans l'allée. Et j'espère que vous avez vu cela dans les magasins où, si vous entrez dans un magasin et que vous ne savez pas où se trouve quelque chose, si vous demandez à quelqu'un, il devrait le faire. Si vous demandez à quelqu'un, l'employé ne devrait pas vous dire : "Oh, c'est au fond, vous savez, dans l'allée 12." Il ne doit pas vous accompagner jusqu'à l'allée, vous emmener dans cette zone et vous montrer cette partie, s'assurer que c'est ce dont vous avez besoin pour ce que vous faites. Peut-être même qu'il vous posera d'autres questions et qu'il vous aidera. Nous voulons faire la même chose pour les unités commerciales. Nous voulons donc nous assurer que nous les emmenons dans l'allée s'ils n'ont jamais vu d'évaluation auparavant ou s'ils ne comprennent pas pourquoi nous faisons cela. Nous voulons travailler avec eux tout au long du processus et faire en sorte que l'évaluation soit faite, que l'unité opérationnelle soit satisfaite, que le fournisseur soit satisfait et jouer ce euh ce rôle d'ambassadeur. Et l'autre astuce que nous avons trouvée, pas une astuce, mais une chose sur laquelle nous essayons vraiment de nous concentrer, c'est qu'il y a quelque chose qui s'appelle la règle du coucher du soleil, qui est probablement dans toutes les entreprises, partout, mais beaucoup d'équipes se relâchent et ne la respectent pas. Si vous recevez une demande par courriel, vous y répondez avant la fin de la journée. Cela peut paraître idiot, mais nous avons constaté qu'au fur et à mesure que nous en faisions une priorité et que d'autres unités commerciales ou divisions de l'entreprise nous envoyaient une question, nous répondions le jour même, et parce qu'ils ont généralement un projet à mettre en œuvre la semaine prochaine, un fournisseur à intégrer, des contrats à signer, c'est la première fois qu'ils entendent parler de nous et maintenant ils sont stressés, nous essayons toujours de répondre le jour même et cette dose de respect envers une unité commerciale qui n'est pas une tierce partie leur permet de revenir vers nous plus tard et de nous dire : " Hé, vous nous avez vraiment aidés tout à l'heure. ou que pensez-vous de ceci ? Avec le temps, ces relations se développent, mais ce n'est pas quelque chose qui se fait du jour au lendemain. Il s'agissait simplement d'essayer de nous rendre pertinents et d'être ce traducteur pour tout le monde.
Brenda : Oui. En fait, vous permettez à l'entreprise d'identifier et de réduire les risques. J'apprécie donc que vous adoptiez l'approche qui consiste à les aider et à être leur ambassadeur ou leur traducteur. Je me souviens que lorsque j'ai pris la décision de passer d'une grande entreprise à une entreprise de type vendeur qui a tant de clients, ce qui la rend grande et juste, une personne très sage m'a dit que Brenda, vous allez être le traducteur entre le client, le produit et l'entreprise. Vous devez donc être capable de parler différentes langues. J'aime beaucoup ce que vous avez dit. La première chose importante à propos d'un programme de gestion des risques liés aux tiers, et même pour commencer, c'est de savoir ce qu'est votre univers de vendeurs ou de fournisseurs. Avez-vous rencontré des difficultés pour identifier et comprendre cette liste holistique ?
Jefferson : Oui, et heureusement, nous avons demandé à d'autres entreprises de ce groupe de pairs et à d'autres auditeurs et à tous ceux à qui nous pouvions demander qui étaient les experts et nous leur avons fait part de notre problème et ils nous ont dit : " Très bien, on dirait que vous êtes comme toutes les autres entreprises du monde, ce qui est bien euh et mal d'une certaine manière euh, mais c'est toujours un défi, il semble qu'après avoir parlé avec d'autres entreprises, d'avoir cette liste définitive et cela revient en quelque sorte à la question du risque par rapport à la conformité : vous ne trouverez jamais cette liste de vendeurs totalement complète, exacte et épuisante, mais vous ne pouvez pas non plus attendre 3 ans pour obtenir cette liste. Donc, oui, il se peut que certains fournisseurs soient répertoriés dans la base de données des achats. Vous pouvez en avoir dans la base de données des comptes fournisseurs où vous voyez réellement qui est payé. Il se peut qu'ils figurent dans une base de données sur la gouvernance, le risque et la conformité. Mais obtenir des informations à partir de toutes ces bases de données différentes et déterminer qui a raison est un énorme défi.
Jefferson : Et il n'y a pas de solution miracle non plus. Les membres de l'équipe vous diront qu'ils consacrent une grande partie de leurs efforts à essayer de trouver des propriétaires ou des vendeurs et que parfois, ils jouent les détectives en essayant de trouver des pistes.
Brenda : Oui. J'aime bien l'une des approches utilisées par votre organisation : en raison de la résilience et de ce que nous vivons en 2020, vous vous êtes demandé si vous aviez un point de contact en interne et si vous alliez lui demander des informations de stratification ou de profilage sur le fournisseur afin de vous assurer que nous fournissions le bon type d'évaluations. Mais vous avez également décidé, de manière innovante, de vous adresser directement au vendeur pour lui demander un questionnaire très court qui nous donnera les attributs dont nous avons besoin pour nous assurer que nous vous évaluons de manière appropriée et que nous utilisons ensuite pour consolider les dossiers internes. Il n'y a pas de mal à le faire, même si les vendeurs peuvent vous dire : "Pourquoi ne savez-vous pas ce que nous faisons avec vous ?" Eh bien, vous savez, tout le monde a besoin de se renforcer et de s'assurer que nous savons ce que font les autres, parce que les choses peuvent changer avec le temps. Vous pouvez avoir un fournisseur qui fait une chose une année ou pendant quelques mois et puis tout d'un coup quelqu'un dit, "Hey, nous avons déjà ce fournisseur vérifié. Utilisons-le également pour X, Y et Z." C'est donc une bonne chose que ce que vous faites dans cette perspective. Quel est donc ce gardien pour les tiers ?
Jefferson : Oui, c'est une analogie que nous avons utilisée pour notre équipe en interne. Nous savons qu'il y a des milliers de vendeurs et que pour le secteur de la vente au détail, une violation moyenne coûte environ 1,8 million de dollars. Et vous savez, nous connaissons le montant en dollars des enregistrements ou le montant en dollars par enregistrement pour une violation. Et vous pouvez utiliser tout cela, vous savez, le facteur FUD, la peur, l'incertitude et le doute, ce que vous ne voulez jamais faire. Vous voulez des faits et des faits lorsque vous expliquez aux dirigeants quels sont les risques, mais en sachant que vous avez un grand nombre de ces fournisseurs et que n'importe lequel d'entre eux pourrait devenir comme un ballon de football explosif où vous avez, vous savez, vous essayez de faire en sorte que cela ne devienne pas une violation pour l'entreprise. Ainsi, chaque tiers que nous examinons est comme la dernière ligne de défense, essayant de s'assurer qu'il ne marque pas l'entreprise. Nous voulons que l'entreprise réussisse, mais si elle fait des bénéfices et qu'elle doit ensuite les payer en raison d'amendes et de tous les risques financiers associés à une violation, alors l'entreprise ne fait pas les bénéfices qu'elle devrait faire. Nous essayons donc de protéger cela et de nous sentir un peu comme le gardien de but solitaire au lieu d'avoir un seul ballon de football qui vous arrive dessus. Imaginez des milliers que vous essayez d'arrêter parce que du point de vue de la tierce partie, vous essayez de vous assurer que tous ces milliers qui sont dans votre inventaire, aucun d'entre eux ne devienne le prochain grand ballon de football explosif. Donc, c'est euh.
Brenda : J'ai aimé l'une de vos présentations précédentes et tout d'un coup, c'était comme des milliers et des milliers de ballons de football.
Brenda : Si j'étais gardienne de but, je ne voudrais pas que tous ces coups m'arrivent dessus. C'est certain. Quelle est donc la stratégie que vous mettez en place pour vous assurer un avantage concurrentiel ?
Jefferson : Bien sûr. Dans certaines entreprises, on peut avoir une approche " nous contre eux ", c'est-à-dire que l'on a l'équipe offensive, celle qui marque les buts, qui fait rentrer l'argent et qui se concentre sur l'attaque, ou l'équipe défensive, celle qui essaie de faire son travail, mais on a presque deux équipes différentes qui jouent toutes les deux pour le même camp, mais qui sont sur le terrain à des moments différents et qui ne travaillent jamais comme une seule équipe, l'approche consiste à avoir les unités opérationnelles et toutes les autres équipes sur le terrain en même temps. Nous travaillons tous ensemble. Vous savez que les unités commerciales sont oui, elles essaient d'augmenter les revenus et de les générer et nous essayons de les aider à le faire et à le faire de manière à ce qu'elles réussissent, mais elles réussissent en toute sécurité de sorte que les revenus qui entrent restent dans l'entreprise et qu'aucun risque de mauvaise réputation ne soit jamais rencontré et qu'aucune pomme pourrie n'entre vraiment dans l'entreprise et que nous gardions l'entreprise en sécurité. mais en travaillant avec toutes ces équipes différentes et en étant tous sur la même longueur d'onde, nous éliminons cette approche diversifiée qui consiste à penser que nous sommes des unités commerciales ou que nous jouons la carte de la défense, donc nous ne vous parlons pas. Ce n'est pas du tout le cas.
Brenda : Oui. Et j'aime bien les différents niveaux de filtrage. Cela signifie que tout le monde travaille en équipe et que, quelque part, l'information va se retrouver coincée dans la perspective du gardien, au lieu d'aller directement à l'objectif et de passer là où elle ne devrait pas. Il existe donc une multitude de produits et de moyens différents pour gérer le risque de tiers. Je me souviens que lorsque j'étais dans une entreprise et que je m'occupais de la gestion du risque de tiers, j'avais trois sociétés Intel différentes et trois questionnaires standard différents, et aucun d'entre eux n'était intégré. C'était il y a cinq ou six ans, bien sûr, mais quel processus avez-vous utilisé pour sélectionner les bons outils et comment avez-vous évalué le processus ou les options ?
Jefferson : Et ce n'était pas seulement des outils pour nous, Il y avait aussi les processus et les gens, vous savez, comment choisir, est-ce qu'on externalise tout le travail, est-ce qu'on a juste une personne chez Lowe's qui fait une tierce partie ou comment est-ce qu'on veut le faire, euh, et c'était vraiment basé sur l'appétit pour le risque et la direction qui voulait que ce soit un programme interne, donc vous savez qu'il y a d'autres solutions.Il y a donc d'autres solutions, notre solution a été de créer notre propre équipe, et l'équipe que nous avons recrutée, comme je l'ai déjà dit, avait des compétences extrêmement différentes : l'un est un expert en réseautage, l'autre est un expert en relations avec les fournisseurs, et il connaît peut-être l'entreprise de fond en comble, notre entreprise à l'intérieur et à l'extérieur, mais euh une chose qu'ils ont tous en commun c'est la passion. Ainsi, lorsque nous recrutions des personnes, nous ne cherchions pas nécessairement à nous assurer qu'elles possédaient certaines certifications, car si elles sont passionnées et veulent apprendre, nous pouvons leur enseigner et elles apprennent les unes des autres. Et puis nous avions une équipe centrale d'analystes principaux qui formaient tous les autres analystes et partageaient leurs points de vue et, au fil du temps, tout le monde apprenait de tout le monde et apprenait ces différents points de vue, ce qui était énorme. Nous avions donc cette équipe de base qui est aujourd'hui extrêmement talentueuse et passionnée par ce qu'elle fait. En ce qui concerne les outils, nous voulons vraiment que tout le monde devienne des gestionnaires de risques, et pas seulement des analystes de risques, mais on ne peut pas avoir des milliers d'analystes qui s'occupent des risques de tiers parce qu'aucune entreprise ne peut se le permettre. Il faut donc trouver un compromis entre le nombre d'évaluations qu'une personne peut effectuer et l'efficacité et l'efficience de ces évaluations. Nous avons donc étudié de multiples options, non seulement pour gérer les évaluations, mais aussi pour mettre en place ce que nous appelons une plateforme d'évaluation de la sécurité (thread intel). Nous avons étudié plusieurs solutions à cet effet. Nous savions que nous ne pouvions pas nous contenter d'envoyer des feuilles de calcul à tout le monde, ce qui est la vieille méthode, l'envoi d'un document Word ou d'une feuille de calcul. Nous savions donc que cela ne fonctionnait pas pour nous. Maintenant, pour être tout à fait honnête, ce qui a le mieux fonctionné pour nous, c'est la solution de l'ENT. Et le simple fait de disposer d'un portail où nous pouvons automatiser, vous savez, le chargement de ces fournisseurs dans un portail, les inviter à y entrer et à remplir les informations, à répondre aux questions, puis à générer automatiquement des conclusions sur les risques que nous pouvons ensuite valider, voir, vous savez, si elles sont exactes ou non. Nous pouvons travailler avec le fournisseur pour remédier à ces résultats. Et tout cela dans une seule solution. Pour nous, cela s'est avéré être la meilleure solution. Nous pensons que tous nos analystes peuvent effectuer un plus grand nombre d'évaluations par an de cette manière qu'en utilisant des feuilles de calcul et en essayant de comprendre comment traduire ces feuilles de calcul ou ces documents Word.
Brenda : J'apprécie la façon dont votre programme a intégré des mesures correctives préconfigurées en matière de risques et dont vous vous servez pour guider les fournisseurs sur ce que vous recherchez. Vous avez également des niveaux préconfigurés dont vous allez parler et vous avez identifié des multiplicateurs de risque pour ces niveaux de sorte que si vous recherchez un tiers à risque plus élevé, ces risques se reflètent de manière appropriée et le fait d'avoir ce portail où vous gardez la trace de tout en un seul endroit est très facile pour les fournisseurs, c'est donc comme un guichet unique non seulement pour vous mais pour les fournisseurs et à l'avenir peut-être aussi pour les unités commerciales.
Jefferson : absolument.
Brenda : Si nous regardons tout ce que vous avez dû mettre en place, ce qui est beaucoup, comment avez-vous abordé les principes fondamentaux pour exécuter les projets ? Comment avez-vous abordé les éléments fondamentaux de l'exécution ? Il y a un an, en regardant les feuilles de calcul et en décidant quel questionnaire vous alliez utiliser comme norme et ainsi de suite, à quoi cela ressemblait-il ? Et vous me faites savoir que ce sont vos diapositives qui arrivent. Certaines d'entre elles sont animées. Dites-moi donc quand appuyer sur le bouton pour que je le fasse au bon moment.
Jefferson : D'accord. Oh, eh bien, encore une fois, cela revient au fait que nous savons que nous ne pouvons pas tout faire en même temps. Nous ne pouvons faire que ce que nous pouvons faire actuellement et nous devons avoir un plan pour ajouter des capacités à l'avenir. C'est ainsi que nous avons commencé et vous pouvez passer à la diapositive suivante. L'approche conventionnelle, comme vous le savez, et probablement tout le monde ici, est que lorsque vous faites appel à une tierce partie, il faut procéder à une série d'évaluations. Bien souvent, vous constaterez qu'une seule évaluation a été réalisée, le cas échéant, et qu'il s'agit simplement de l'intégrer au tout début et de l'oublier par la suite. Nous avons déjà vu cela se produire. L'approche conventionnelle consisterait donc, dans l'idéal, à procéder à une évaluation initiale - une évaluation très rapide - si plusieurs fournisseurs sont examinés dans le cadre d'un processus d'appel d'offres, à évaluer leur intégration et à s'assurer qu'ils ont mis en place des contrôles critiques et qu'il n'y a pas d'autres problèmes majeurs. Si vous trouvez quelque chose, vous pouvez éventuellement y remédier ou le faire savoir, le faire savoir à l'unité commerciale. Dans l'idéal, vous pouvez les réévaluer plus tard et procéder à des évaluations virtuelles ou sur site, puis, si vous mettez un terme à votre relation avec eux, idéalement, elle se termine à un moment ou à un autre. Toutes les bonnes choses ont une fin. Donc théoriquement, vous savez, si ce fournisseur disparaît un jour, vous faites une évaluation d'expatriation et vous vous assurez qu'il a bien détruit toutes les données que vous considérez comme vos données vitales avec lui. C'est une approche conventionnelle, mais encore une fois, si vous faisiez cela pour chaque fournisseur, le personnel nécessaire serait insensé et tout simplement inabordable. Nous adoptons donc davantage une approche basée sur le risque et ce serait le prochain clic. Euh, nous continuons à faire l'évaluation de la demande de proposition qui prend en fait environ vous et nous donnons des accords de niveau de service euh ou des objectifs de niveau de service aux unités commerciales et nous essayons de nous en tenir à cela pour les nouvelles évaluations. Ainsi, l'unité opérationnelle sait que si elle vient nous voir avec deux ou trois entreprises et qu'elle se demande laquelle utiliser, nous ferons une mini-évaluation rapide dans les jours qui suivent et nous saurons ce que c'est. Nos évaluations d'intégration sont un peu plus longues, mais nous le leur disons d'emblée, nous leur disons à quoi s'attendre, nous sommes très clairs sur les attentes, mais ensuite nous passons à une approche d'évaluation continue où nous ne faisons pas nécessairement la réévaluation annuelle ou semestrielle, mais nous examinons les choses de manière cohérente et permanente, comme nous utilisons notre plateforme d'évaluation de la sécurité pour surveiller les alertes qui nous parviennent. Si nous voyons quelque chose tomber dans l'alerte. Il peut s'agir d'un tableau de bord de la sécurité, de bitsite, d'une reconnaissance des risques, etc. Mais au fur et à mesure que vous recevez des alertes, vous prenez des mesures et déclenchez une réévaluation si nécessaire. Euh, s'il y a des résultats de l'évaluation initiale des risques, vous travaillez avec eux pour remédier à ces résultats et les suivre dans le temps, ce que fait heureusement pour nous la plateforme prévalente. Nous pouvons travailler avec le propriétaire de l'entreprise et nous examinons également les capacités de réponse aux incidents. Ainsi, si nous apprenons qu'il y a eu des incidents de sécurité avec des fournisseurs, cela déclenchera également une évaluation. Théoriquement, s'ils présentent un risque faible, si nous les surveillons tout le temps et qu'ils ont une bonne cote de risque, un bon score de sécurité et qu'il n'y a pas de problème, nous continuerons à les surveiller, mais nous ne ferons pas nécessairement une réévaluation tous les ans ou tous les deux ans. Nous procéderons à une réévaluation en fonction des besoins et nous nous assurerons chaque année que le propriétaire de l'entreprise entretient toujours une relation avec ce fournisseur. Nous pouvons désormais procéder à des évaluations sur place. Auparavant, l'équipe était formée pour cela, mais aujourd'hui, ce n'est plus possible. Il y a donc une forte pression pour faire du virtuel, ce que les évaluations partagées enseignent, mais nous pouvons aussi faire des évaluations sur site si nécessaire et, en fonction de la situation et du fournisseur, nous le faisons et ensuite nous faisons l'évaluation de l'offboarding comme il se doit. Cette approche basée sur le risque permet donc de réaliser plus d'évaluations et d'être plus efficace avec moins de personnel. C'est donc la solution à long terme.
Brenda : Oui. Et j'aime le fait que vous fassiez une évaluation continue. Beaucoup d'entreprises se contentent d'une évaluation unique ou d'une évaluation annuelle ou bisannuelle. Or, lorsque les risques sont atténués, c'est à ce moment-là qu'il faut vérifier ou valider. Bon travail sur ce point. C'est l'une des deux diapositives que je préfère. Je suis donc ravi d'en entendre parler.
Jefferson : Oh, il faut toujours en discuter. La meilleure façon de l'expliquer, c'est que la sécurité est souvent considérée comme un obstacle et j'ai déjà vu des entreprises où l'unité opérationnelle ne veut pas s'adresser à la sécurité ou passer par un processus de risque tiers parce qu'elle est pressée. Elle ne veut pas être ralentie. C'est un peu comme lorsque vous allez à l'aéroport, vous savez, vous arrivez, vous devez faire la queue à la TSA pendant une éternité, suivre le processus, passer, puis arriver à votre porte d'embarquement. Ce n'est pas la faute de la TSA si vous arrivez en retard à l'aéroport. Ils disent qu'il faut arriver deux heures à l'avance, mais personne n'arrive jamais deux heures à l'avance. Vous arrivez toujours à la dernière minute et vous êtes frustré par la TSA parce qu'elle vous retient. Et euh, le modèle typique pour les évaluations de l'intégration est aussi celui de l'attente. Regardons la tierce partie. Regardons l'évaluation. Assurons-nous que nous faisons tout correctement. Vous attendez que nous vous donnions le feu vert, puis vous pouvez procéder et vous vous rendez à votre porte d'embarquement, vous décollez, vous lancez votre engagement et vous profitez du ciel amical. Cela ne fonctionne pas dans un environnement de vente au détail. Vous savez, nous avons un appétit pour le risque qui consiste à s'assurer que l'entreprise fait ce qu'elle a à faire et que nous ne la freinons pas, ce qui nous place sur une ligne très fine en matière de sécurité, car vous voulez vous assurer que l'entreprise avance et développe tout ce dont elle a besoin pour réussir, mais qu'elle le fasse en toute sécurité. Notre approche est donc un peu différente et vous pouvez passer à la diapositive suivante. Lorsqu'un nouvel engagement est pris, nous apprenons l'existence d'un nouveau fournisseur et nous demandons au propriétaire de l'entreprise de créer une demande d'admission initiale, ce qui nous permet de faire preuve de diligence raisonnable et de l'évaluer et de voir quel est le risque réel. Avec quelles données travaillent-ils ? C'est là que nous les déchirons. Et vous entendez parler de déchirure tout le temps. Nous examinerons le véritable risque inhérent dès le début. Imaginez que vous traversez l'aéroport, mais que vous n'avez plus besoin de vous arrêter à la TSA. Dès que vous entrez dans l'aéroport, vous obtenez votre carte d'embarquement. Vous traversez l'aéroport, vous vous arrêtez peut-être au Starbucks, vous prenez votre café, vous arrivez à la porte d'embarquement et vous êtes prêt à décoller. Et il y a peut-être quelqu'un de la TSA qui vous dit : "Merci pour votre temps. Vous pouvez partir. Voici votre, vous savez, votre carte d'embarquement que nous allons tamponner, passez une bonne journée. Et c'est ce que nous faisons en arrière-plan. Pendant que l'engagement progresse, nous faisons des choses et nous examinons l'évaluation. Nous examinons tous les renseignements que nous avons sur eux. Nous posons des questions. Nous suivrons les questions. À la fin de la journée, nous donnons une recommandation au propriétaire de l'entreprise. Il peut soit recommander cela, soit nous recommandons l'engagement, soit il peut aller de l'avant. Nous lui recommandons de poursuivre, mais certaines choses doivent être corrigées et nous devons le faire dans un certain délai. Ou bien nous dirons que nous ne recommandons pas et nous dirons qu'il y a de sérieux problèmes ici et que nous ne recommandons vraiment pas de continuer. En fin de compte, c'est l'entreprise qui est propriétaire et nous utilisons le modèle de gestion des risques des trois lignes de défense qui est si commun qu'il est maintenant appelé le modèle des trois lignes de défense ou des trois lignes parce que la défense n'est plus vraiment un problème parce qu'ils veulent que les entreprises soient proactives, mais le modèle des trois lignes dit que les unités commerciales sont la première ligne de défense - ce sont elles qui sont vraiment responsables du risque - la deuxième ligne, ce sont toutes vos équipes de risque et de conformité, le service juridique, la sécurité et tous les autres. La troisième ligne est l'audit interne. Il s'assure que, d'un point de vue élevé, tout le monde fait ce qu'il a dit qu'il ferait. En utilisant cette approche, nous disons à l'unité opérationnelle : "Voici la mission, voici ce que nous avons découvert et ce que nous recommandons, mais c'est à vous de choisir. S'ils poursuivent cet engagement, leur vice-président doit signer et accepter le risque, et nous en assurons le suivi. Mais nous ne sommes pas le département du non. Et dans la banque, vous savez, vous pouvez être le département du non dans une certaine mesure, et dans les soins de santé, vous le pouvez, mais dans le commerce de détail, vous devez vraiment faire des évaluations de risque rapidement et efficacement et agir en tant que conseiller. Nous conseillons donc les unités commerciales et nous n'agissons pas comme le grand méchant policier. Nous leur donnons toutes les informations et c'est à eux de choisir.
Brenda : Oui. J'aime bien la façon dont vous avez construit votre pyramide de niveaux et le nombre de jours, et vous avez parlé des traitements recommandés, recommandés avec remédiation ou non recommandés. Que pouvez-vous nous dire de plus sur le tarissement et sur la façon dont il a fonctionné pour vous ?
Jefferson : Bien sûr. Le tarage est donc essentiellement basé sur la classification des données de notre entreprise. Chaque entreprise a sa propre façon de considérer les données. Certaines données peuvent être considérées comme publiques ou sans importance. D'autres données peuvent être considérées comme propriétaires ou comme des informations personnelles. En fonction des données dont nous prenons connaissance au cours du processus d'admission, nous les déchirerons. Et cela signifie simplement que, vous savez, le fournisseur à haut risque fait l'objet d'un examen plus approfondi et d'une diligence raisonnable supplémentaire. Quoi qu'il en soit, tous ces éléments sont évalués. Même s'il s'agit d'une entreprise qui possède des données publiques et ne présente pas de risque réel, elle a quand même été évaluée en remplissant ce formulaire. Nous en avons donc la trace. Nous avons leur numéro d'engagement. Nous avons leur URL, leur domaine, que nous pouvons entrer dans notre outil de surveillance et surveiller les incidents de sécurité à l'avenir. Nous demandons donc à tout le monde de passer par l'entonnoir afin de pouvoir au moins les enregistrer et déterminer si nous avons besoin de faire autre chose, puis une fois qu'ils sont passés par le système, nous procédons à un examen externe où nous regardons de l'extérieur en utilisant la plateforme, puis nous utilisons un questionnaire automatisé à travers le prévalent et nous obtenons cette vue de l'intérieur, puis nous assurons le suivi si nécessaire et enfin, à la fin de la journée, nous obtenons l'état de l'évaluation finale et la recommandation.
Brenda : Excellent. D'accord, nous passons à la question suivante. Je suppose que vous voudrez vous assurer que vous avez des indicateurs clés de performance et des indicateurs de risque dont vous parlez à votre direction, comme l'une des choses que nous avons faites au tout début, c'est que nous avons non seulement utilisé les évaluations partagées, mais aussi une évaluation de maturité de Prevalent. Quelles sont donc les choses que vous avez faites et quels sont les KPI et KIS qui ont été importants au fur et à mesure que vous progressiez dans votre programme ?
Jefferson : Bien sûr. Les auto-évaluations en constituent une grande partie et nous les utilisons à notre tour pour les évaluations globales de l'entreprise, qu'elles alimentent en données pour l'évaluation de l'entreprise. Il est également important de connaître la différence entre les KPI et les KRIS et de savoir qui est votre public. Par exemple, vous n'avez pas envie de donner à votre PDG tous les petits détails concernant l'analyste qui a effectué combien d'évaluations à un moment donné ou le nombre d'évaluations qu'il a réalisées cette semaine. Ils s'en moquent. Ils veulent savoir, à la fin de la journée, quel est le risque pour l'entreprise, où nous en sommes et quels sont les problèmes les plus importants. Les KPI peuvent être aussi simples que le nombre d'évaluations que nous effectuons cette année par rapport à l'année dernière et leur résultat. Quel est le statut final des évaluations que nous effectuons ? Combien d'entre elles proviennent des différents points d'admission ? Vous savez, combien d'évaluations de DP et combien d'évaluations d'intégration ? N'obtenons-nous pas beaucoup d'évaluations de l'accueil et de l'intégration ? Pourquoi ? Concentrons-nous sur la manière d'augmenter ce flux de travail. Nous pouvons également le décomposer. Grâce à la plateforme prévalente, nous pouvons voir toutes les différentes phases de l'évaluation et nous avons des objectifs de niveau de service pour chacune des phases. Par exemple, nous savons combien de temps cela devrait prendre pour nous entre le moment où nous recevons la demande et le moment où nous la transmettons au vendeur. Combien de jours ou d'heures faut-il pour réaliser l'évaluation ? Combien de temps devraient-ils prendre pour remplir le questionnaire et nous renvoyer toutes les informations ? Nous nous pencherons ensuite sur cette question. Combien de temps devrait-il nous falloir, une fois que nous disposons des informations, pour formuler la recommandation finale ? Nous suivons tout cela pour la performance et l'amélioration. Nous savons donc quelles sont les durées des différentes phases. Mais pour KRIS, c'est vraiment là que vous dites à la direction, vous savez, la question de savoir ce que tout cela signifie. Et c'est là que ça devient vraiment intéressant parce que les données que nous pouvons tirer de la plateforme nous permettent de voir des choses comme quels sont nos 10 risques les plus importants en ce moment ? Quels sont les risques que nous voyons dans l'ensemble de l'entreprise avec nos fournisseurs ? Quels sont les problèmes les plus courants ? Nous pouvons également combiner cela avec notre plateforme de surveillance de la sécurité et voir quelles sont les plus grandes vulnérabilités que nous voyons actuellement chez nos tiers et ce que nous devrions faire avec eux et aborder avec eux. Hum, nous pouvons regarder la répartition par unité d'affaires, par niveau. Nous pouvons déterminer quelle est l'unité commerciale la plus risquée. Combien d'unités commerciales ont le plus grand nombre d'engagements qui ont été déconseillés par nous et qui se poursuivent, et nous pouvons déterminer comment nous devons travailler avec elles. C'est vers cela que nous nous dirigeons et nous pouvons montrer les tierces parties par unité d'affaires et montrer le niveau de risque basé sur l'accumulation des résultats de toutes les évaluations de risques.
Brenda : C'est très bien de le savoir et je sais que vous avez travaillé très dur sur les KPI et les KIS pour votre direction et c'est pourquoi vous avez été considérés comme un programme et une équipe de ressources avec vous-même qui sont allés si loin, si vite. Je me souviens qu'à l'époque, nous nous demandions si nous allions procéder à quelques lancements à la fois. Aujourd'hui, nous en sommes à 250 par semaine pour les questionnaires de stratification afin d'obtenir les informations nécessaires pour savoir quel type d'évaluation doit être envoyé aux personnes concernées. Vous êtes donc passé d'une situation où je n'avais qu'un millier de fournisseurs à évaluer à une situation où j'ai vraiment besoin d'étudier l'ensemble de mon univers. J'ai vraiment besoin de faire des recherches sur l'ensemble de mon univers et cela pourrait aller jusqu'à plusieurs centaines de milliers d'euros, et je ne fais qu'inventer ce chiffre. Je ne dis pas que c'est Lowe's, mais cela pourrait aller jusqu'à 14 000. Nous essayons donc de déterminer très rapidement, grâce à l'intelligence des fils, à la stratification et aux questionnaires essentiels ou de profilage, ce sur quoi je dois travailler en premier. Il y a une différence entre les données et l'information. Nous pouvons extraire beaucoup de données de partout, mais si ces données n'ont pas de valeur, elles deviennent de l'information si elles ont de la valeur et si elles sont exploitables. Nous essayons donc de prendre toutes ces données que nous pouvons extraire de plusieurs plateformes. Il est donc essentiel d'essayer de prendre toutes ces données que nous pouvons tirer de multiples plateformes, de les réduire et de les transmettre aux dirigeants et de leur donner de vraies informations.
Brenda : Oui. Lorsque vous avez conçu le programme, vous avez pensé aux catégories, aux étiquettes, aux tâches à accomplir. Vous avez pensé à toutes les petites étapes à franchir. Puis, lorsque vous avez découvert un scénario auquel vous n'aviez pas pensé, vous avez très rapidement pivoté pour déterminer, d'accord, où envoyer une tonne de questionnaires essentiels, de profilage ou de stratification, que vous appelez le questionnaire de collecte d'informations sur les vendeurs. Et lorsque ces questionnaires reviennent, il y en a qui ne répondent pas. Qu'en faisons-nous ? D'autres ont répondu en quelques minutes. Ils sont maintenant prêts pour une évaluation. Que faire ? C'était donc très amusant de vous regarder faire. Mais cela étant dit, quels sont les trois principaux enseignements à tirer ? Vous pouvez en dire plus que vous ne voulez, si ce n'est plus que trois, mais quels sont les principaux enseignements que vous souhaiteriez donner à tous ceux qui vous écoutent et que vous voudriez qu'ils tirent de votre expérience plutôt que d'avoir à en faire eux-mêmes l'expérience ?
Jefferson : Premièrement, n'essayez pas d'être un loup solitaire. Je l'ai compris à mes dépens. Il y a d'autres personnes, d'autres équipes, même au sein de votre propre entreprise, qui ont les réponses. Vous devez découvrir qui ils sont, et vous ne le saurez pas tant que vous n'aurez pas posé la question. Avec le recul, je me dis que j'aurais pu poser de meilleures questions à d'autres équipes au début et trouver des réponses que nous avons finalement trouvées trois ou quatre mois plus tard. Il aurait fallu collaborer davantage dès le départ, et nous sommes très bons pour collaborer, mais cela aurait pu être fait plus rapidement pour revenir au modèle du loup solitaire par rapport à l'équipe des forces spéciales. C'est une bonne chose. En fait, nous avons nos propres problèmes et c'est normal. Le fait de découvrir que nous sommes normaux a d'abord été une bonne chose parce que si vous êtes dans un silo, vous pensez que tous les autres sont tellement en avance sur vous en termes de développement et de maturité que, vous savez, nous avons vraiment besoin de rattraper notre retard. Il s'avère que ce n'était qu'une illusion. Mais tant qu'on n'a pas entendu des gens d'autres groupes de pairs, tant qu'on n'a pas parlé et essayé de découvrir une perspective extérieure à soi, on ne s'en rend pas compte.
Brenda : Oui.
Brenda : Très bien. Nous allons donc présenter quelques diapositives prévalentes, mais préparez-vous. Il y a des questions qui nous parviennent. La seule chose que je voulais dire, c'est qu'il y a deux diapositives sur la prévalence. Nous sommes un leader dans le quadrant magique. Nous remercions les entreprises comme Lowe's pour leur partenariat stratégique qui nous a permis d'atteindre cette position. Nos points forts sont donc le produit et le service, la stratégie produit comme Jefferson l'a mentionné, mais aussi la compréhension des marchés verticaux et des industries et l'aide à la stratégie dans ce domaine également. Notre programme et notre plateforme se sont développés de manière exponentielle. En travaillant avec des entreprises comme Lowe's, Jefferson et son équipe, nous nous rendons compte de ce qu'il faut faire pour qu'une tierce partie réussisse et même pour qu'une nième partie réussisse. Ainsi, Jefferson pourrait aborder le sujet pendant les questions-réponses et dire qu'il va étendre son activité à la gestion de la chaîne d'approvisionnement à un moment ou à un autre. C'est le genre de choses que nous aimons intégrer dans le programme pour avoir une vue holistique et il a été très aimable avec nous puisque nous avons un programme de surveillance des menaces qui est VTM mais il utilise actuellement Bitsite pour ses renseignements sur les menaces et nous nous sommes intégrés avec eux pour identifier les scores élevés afin qu'il puisse harmoniser et normaliser ses risques et faire en sorte que les risques proviennent d'une plateforme particulière plutôt que d'avoir un vendeur qui utilise les deux plateformes. Sur ce, Amanda, je vais vous donner la parole pour la question du sondage. J'ai remarqué qu'il y avait quelques questions qui arrivaient et je donne plus de temps à Jefferson pour les 12 ou 13 prochaines minutes pour y répondre.
Amanda : Oui, absolument. Je vais maintenant poser la question du sondage. Cherchez-vous à renforcer ou à mettre en place un programme de gestion des risques des tiers au cours des prochains mois ? Je viens de le lancer. Je vous demande de répondre honnêtement. Nous vous contacterons. Personnellement, je vous contacterai probablement, si ce n'est déjà fait, je serai honnête. J'ai remarqué quelques noms que j'ai déjà vus. Alors, faites-le. Vérifiez également vos spams si vous souhaitez un suivi. Je tenais à le dire également. Il arrive que nous tombions là-dedans. Mais nous avons beaucoup de questions à vous poser. Tout d'abord, pourriez-vous nous donner les détails et le lien pour le cadre des évaluations partagées ? Je ne sais pas s'il vous est possible de le faire.
Brenda : Je fais partie du comité directeur des évaluations partagées et si vous allez sur sharedassessments.org, vous verrez qu'ils ont une section outils sur leur site web et vous pouvez chercher le vendeur, le vroom et ils ont aussi le sig qui est une norme et ils ont aussi le SCA qui est leur protocole de test de visite sur site que nous faisons maintenant virtuellement, donc shared assessments.org est le meilleur point de départ et ils ont une ressource commerciale du nom de Vicky Dean et si vous avez besoin de son adresse électronique, je suis sûr qu'elle est sur le site web ou vous pouvez nous contacter et nous l'obtiendrons pour que vous puissiez obtenir des informations directement auprès d'elle.
Amanda : Parfait. Merci, Brenda. La question suivante est la suivante : comment Lowe's traite-t-elle les tiers par rapport aux fournisseurs qui livrent des produits à vos magasins ? Des équipes distinctes sont reliées par la hanche, en particulier les fournisseurs qui proposent des produits intelligents.
Jefferson : Bonne question. Et c'est vraiment un mélange et vous n'entrerez pas dans les détails de qui possède quoi, mais je dirai qu'en fait nous regardons tout. Et cela nous ramène à la triade de la CIA. Nous sommes, ce qui n'a rien à voir avec l'agence d'espionnage, mais la sécurité de l'information pour n'importe quel actif, imaginez un triangle : vous avez la confidentialité d'un côté, l'intégrité et la disponibilité, et généralement le risque de sécurité de l'information concerne la confidentialité, mais avec la chaîne d'approvisionnement, c'est la disponibilité qui est en jeu. Nous devons en effet nous assurer qu'il existe un plan de continuité des activités permettant à tous les fabricants avec lesquels nous travaillons et à tous les fournisseurs de nous fournir des produits et qu'ils disposent des contrôles nécessaires pour survivre à une attaque par ransomware ou pour continuer à fonctionner si quelque chose de grave se produit ou même si le COVID frappe. J'ai fait un exercice sur table une fois pour planifier la continuité des activités et nous avons choisi la pandémie comme épisode pour un scénario, et ce des mois avant que le COVID n'arrive. Nous n'avions aucune idée que cela se produirait, mais dans l'analyse d'impact sur les activités de cette entreprise, dans son PCA, on pensait que la pandémie serait le plus gros problème et il s'est avéré qu'ils avaient raison - il s'agissait d'une entreprise totalement différente lorsque j'étais consultant, mais ils avaient raison. C'est vrai. Donc, pour la chaîne d'approvisionnement, si vous voulez vous référer, le NIST a récemment publié un cadre de cybersécurité amélioré, appelé version 1.1, et il y a une section pour le risque de la chaîne d'approvisionnement sous la catégorie de l'identité ou de l'identification, et c'est important parce que cela nous aide à combiner cela avec des évaluations partagées pour vraiment déterminer quels contrôles nous devons rechercher pour la chaîne d'approvisionnement. Nous examinons donc tout cela.
Amanda : Parfait. D'accord. La question suivante est de savoir comment vous traitez les fournisseurs qui ne répondent pas. Tenez-vous ISG pour responsable des retards, etc.
Jefferson : Non. Tout d'abord, nous travaillons avec l'unité opérationnelle. Vous revenez encore une fois au modèle des trois lignes où l'unité commerciale est la première ligne de défense. Nous travaillons avec eux et avec le vendeur et nous leur envoyons des rappels. En fait, les rappels prévalents sont automatiques, ce qui est très bien en fonction d'un certain délai. Nous travaillons avec l'unité commerciale et lui disons : "Voici ce que nous rencontrons. Vous voudrez peut-être contacter votre fournisseur et lui dire que nous n'obtenons pas de réponse." En fin de compte, s'ils ne nous répondent pas alors que nous leur avons donné des chances, ils peuvent finir par obtenir le statut "ne pas recommander".
Brenda : Donc, je veux dire.
Brenda : ce sont des lettres rouges, donc c'est mauvais.
Amanda : Vous voyez ce que je veux dire ? Ok, continuons. Hum, ceci est pour vous, Brenda. La plateforme a-t-elle accès à un référentiel de données sur les fournisseurs ou ces données sont-elles obtenues par le biais d'évaluations ?
Brenda : Il y a donc deux approches différentes. Nous avons des réseaux et nous avons des échanges. Certaines entreprises décident de demander leurs propres questionnaires ou d'utiliser le questionnaire du cadre de contrôle prévalent, tandis que d'autres utilisent le réseau juridique et le réseau de soins de santé, s'ils appartiennent à un certain secteur d'activité. Nous sommes tout à fait disposés à créer un réseau de vente au détail, mais nous attendons d'avoir quelques autres entreprises de ce type qui souhaitent utiliser les mêmes normes. Pour l'instant, elles utilisent toutes leurs propres normes et nous voulons être sûrs de pouvoir leur proposer un scénario de marché. Donc, euh, les évaluations peuvent venir et être complétées et si vous êtes une entreprise qui veut utiliser une norme déjà disponible, nous vous permettons de le faire. Et si vous avez votre propre questionnaire à absorber ou à collecter, nous vous aidons également à le faire.
Amanda : Parfait. Très bien. Nous revenons à Jefferson. Comment gérez-vous les changements dans les relations commerciales ? Comment ces changements se répercutent-ils sur le tarage interne ?
Jefferson : Vous savez, c'est une bonne question. L'une des façons de voir les choses est de considérer le niveau de la relation, qui est en fait la relation avec l'entreprise, et le niveau de l'engagement. Théoriquement, vous voulez tout évaluer au niveau de l'engagement, du moins c'est ce que nous faisons. Ainsi, une relation peut avoir de multiples engagements avec l'entreprise, des fonctions commerciales totalement différentes, des types de données différents, etc. et ces engagements se répercutent idéalement dans le système de gouvernance, de risque et de conformité, de sorte que ces risques d'engagement multiples se répercutent dans un risque de relation global.
Amanda : Parfait. Et une autre pour vous, Jefferson. Quels sont les noms et où se trouvent les groupes de pairs auxquels vous avez fait référence ?
Jefferson : Eh bien, le premier, je dirai que je vais jeter Brenda sous le bus pour celui-là parce qu'elle nous a mis en contact avec d'autres clients qui avaient eu des problèmes similaires et nous avons travaillé avec eux. RH Isac est une excellente solution, du moins pour nous, pour l'industrie de la vente au détail. Il existe différents ISAC pour les groupes de partage de l'information, essentiellement pour les différentes industries. Ils sont en fait très informels et vous pouvez en fait contacter d'autres entreprises en développant des relations et en partageant les meilleures pratiques sans divulguer quoi que ce soit de propriétaire. Il y a aussi les conférences locales, les conférences Isaka que nous avons ici en ville, d'autres conférences de réseautage où vous pouvez en fait, à mesure que vous connaissez vos pairs dans l'industrie, les contacter et créer des liens avec eux. Et au moins dans notre région, c'est un petit cercle pour la sécurité de l'information. Beaucoup de gens connaissent donc des personnes différentes dans des entreprises différentes et vous travaillez en quelque sorte dans les coulisses. Il n'y a pas encore de groupe officiel de mise en réseau, mais j'espère que nous y parviendrons.
Brenda : Donc, du point de vue de Prevalent, si vous êtes déjà client de Prevalent, vous pouvez contacter info prevalent.net pour savoir si vous pouvez faire partie de l'équipe de stratégie peer-to-peer. Nous avons déjà environ cinq types d'entreprises différentes dans le groupe et nous essayons de ne pas le rendre trop grand parce que nous avons une approche très systématique. Ils invitent certains de leurs cadres à écouter et seuls les directeurs ou les responsables des programmes s'occupent des sujets de discussion et, par le biais d'équipes et de discussions, ils obtiennent des informations. Jefferson amène trois ou quatre de ses collaborateurs qui posent des questions en arrière-plan à Jefferson et Jefferson les évoque s'il s'agit d'un sujet pertinent, mais sinon, ils font partie du prévalent et découvrent comment ils peuvent s'impliquer et nous trouvons comment faire fonctionner le tout.
Jefferson : C'est exact.
Amanda : J'ai encore quelques questions à poser. J'aime bien celle-ci. Quel est le domaine ou la préoccupation qui se profile à l'horizon et qui retient votre attention en ce qui concerne les tiers ?
Jefferson : Vous savez, quand vous regardez les plus grandes menaces pour les tiers à l'heure actuelle, vous savez, le ransomware est un vieux terme, mais il est toujours très répandu. Il faut donc s'assurer que les entreprises sont sécurisées. La gestion des correctifs ne disparaîtra jamais. C'est toujours un problème avec les tiers. Et comme nous dépendons de plus en plus de la technologie opérationnelle par rapport à la technologie de l'information, il n'y a pas de bonne connexion entre les deux. Il y a un risque énorme entre les technologies de l'information et les technologies opérationnelles, et beaucoup d'entreprises ne l'ont pas encore compris.
Brenda : Oui. Et je pense que de votre point de vue, Jefferson, lorsque vous examinez la gestion de votre chaîne d'approvisionnement, la résilience de la capacité à fournir du contenu, des produits ou des services aux clients est tout aussi importante maintenant que nous n'examinons pas seulement les ransomwares et les attaques comme une menace de ce point de vue, mais aussi les conséquences de cette menace sur l'approvisionnement pour le transport ou la fabrication.
Brenda : Que pensez-vous de cette question ? Oh, désolé. Jefferson, tu y vas toujours ?
Jefferson : Non. Allez-y.
Amanda : D'accord. Qu'en est-il des SIG 2020 des évaluations partagées ? Y a-t-il de grandes différences entre 2018 et 2019 ?
Brenda : Je pense que la réponse peut venir directement des évaluations partagées. Elles font un excellent travail en partageant les différences qu'elles ont mises en place. Et encore une fois, shared assessments.org peut vous dire ce qu'il en est de 2019 à 2020. Je pense que c'est le meilleur endroit où aller. Je pense que nous avons l'intention de mettre à disposition la version 2020 dans un avenir très proche, conformément aux lignes directrices des évaluations partagées. Vous pourrez donc y jeter un coup d'œil et j'espère que nous serons en mesure de partager le contenu du Delta uh.
Amanda : Très bien, encore quelques questions si nous pouvons nous y glisser. Comment susciter l'adhésion des différentes unités commerciales afin d'utiliser une nouvelle plate-forme, un nouveau processus, etc.
Jefferson : Ce n'est pas facile. Euh, il y a beaucoup de sensibilisation à la sécurité qui se fait dans les coulisses, en fait, vous savez, pour nous, c'est le mois d'octobre de la sensibilisation à la sécurité ou le mois de la sensibilisation à la cybersécurité. Nous en profitons donc pour faire des tournées, des présentations au sein de l'équipe, pour faire passer le message et pour éduquer les gens au fil du temps, en demandant des déjeuners et des sessions d'apprentissage et en parlant avec différentes équipes. Si vous êtes pressé, cela ne se fera pas rapidement, mais avec le temps, lorsque les gens verront que vous êtes là pour rester, que vous n'allez pas disparaître et que vous êtes pertinents pour eux, ils commenceront à venir vers vous.
Brenda : Par exemple, une unité opérationnelle est responsable de plus de 20 fournisseurs. J'ai remarqué que vous êtes également allé les voir et leur avez dit : " Hé, nous sommes là. Nous allons vous aider et voici ce que nous pensons que vous possédez. Est-ce que c'est correct ?" Vous avez donc fait preuve de beaucoup d'empathie et je pense que cette approche vous a rendu service.
Jefferson : C'est un bon point.
Amanda : D'accord. Je pense que nous aurons le temps de poser une dernière question : l'accord de niveau de service de 25 jours est-il lié à une détermination ou à l'ensemble de la procédure de passation de marché ? Bonne question. Et non, c'est pour que nous puissions remettre notre rapport final. C'est notre objectif.
Brenda : Oui. Cela va de la collecte à l'analyse, à l'identification des risques, à la vérification et à la validation afin d'obtenir un rapport de représentation final qui indique les risques. Vous êtes soit recommandé, soit recommandé avec mesures correctives, soit non recommandé. Cela représente donc 25 jours. Et ils s'en sortent plutôt bien en respectant ce délai d'exécution.
Amanda : J'aimerais le voir. Très bien. Il y a une dernière question. Vous y avez en quelque sorte répondu. Mais je vais la répéter encore une fois. Comment gérez-vous les évaluations de dernière minute lorsqu'un fournisseur ne peut ou ne veut pas s'engager ? Vous ne pouvez pas accéder euh vous ne pouvez pas évaluer les risques lorsqu'il n'y a pas d'informations. Point d'interrogation.
Jefferson : Il n'y a pas d'information à ce moment-là et nous ferons avec ce que nous pouvons. Si nous disposons d'une plate-forme d'évaluation de la sécurité, comme une évaluation bit, nous l'utiliserons. Nous utiliserons tout ce que nous pourrons obtenir et nous regarderons s'il y a eu des incidents de sécurité dans le passé. Nous donnerons une recommandation, mais nous dirons aussi et nous soulignerons cela en sachant que hé, cette base, nous connaissons le risque, mais nous n'en savons pas beaucoup. Nous avons besoin d'en savoir plus et nous laissons l'unité commerciale prendre cette décision.
Brenda : Je crois que vous avez un peu augmenté le risque, en disant qu'ils sont plus à risque parce que vous utilisez ce qui est disponible par rapport à ce que vous leur demandez de fournir.
Amanda : C'est vrai.
Amanda : Eh bien, c'est tout pour l'instant. C'est en haut de l'heure ou en bas de l'heure. Comment cela fonctionne-t-il ? Je ne sais pas. Il est 11 heures ici en Arizona. Très bien, tout le monde. J'espère que vous avez tous apprécié. Merci beaucoup, Jefferson et Brenda. C'est un plaisir. C'est un plaisir de vous rencontrer, Jefferson. Et nous nous reverrons la prochaine fois.
Brenda : Merci, Amanda. Et encore toutes mes félicitations, Jefferson. Au revoir.
Jefferson : bye, Jefferson. Au revoir.
©2026 Mitratech, Inc. Tous droits réservés.
©2026 Mitratech, Inc. Tous droits réservés.