Principaux risques que votre programme de gestion des risques technologiques pourrait ne pas prendre en compte

Matt: Commençons par nous présenter. Je m'appelle Matt. Je travaille ici principalement dans le développement commercial et aujourd'hui, nous accueillons un invité qui revient, Brian Littlefair. Il est PDG de Cambridge Cyber Advisors. Il a également occupé le poste de RSSI chez Vodafone Group et A Viva. Bienvenue à nouveau, Brian.

Brian: Merci, Matt. Bonjour à tous, ravi de vous voir.

Matt: Et, enfin, nous avons également Scott Lang parmi nous aujourd'hui. Scott est notre vice-président du marketing produit et il nous expliquera, à la fin de la session, comment nous pouvons faire évoluer votre programme TPRM. Merci Scott.

Scott: Salut Matt, comment ça va ?

Matt: Ravie de vous voir. Ravie de vous voir. Bon, juste une petite précision : ce webinaire est enregistré. Vous recevrez donc cet enregistrement et le diaporama peu après le webinaire. Enfin, vos micros sont tous coupés, veuillez donc utiliser la fonction de boîte de questions-réponses pour toute question que vous pourriez avoir pendant le webinaire. Sans plus attendre, je vais passer la parole à Brian qui va vous présenter les principaux risques que votre programme TPRM pourrait négliger. À toi, Brian.

Brian: Merci, Matt. Je te remercie beaucoup pour cette présentation. Bonjour à tous. Comme Matt l'a dit, je m'appelle Brian. Je suis impatient de vous présenter ce sujet aujourd'hui. Quelques petites précisions d'ordre pratique. J'ai un petit rhume, je vais donc boire de l'eau. J'ai un peu mal à la gorge, mais nous allons aborder ce sujet avec plaisir. Comme Matt l'a dit, nous allons parler aujourd'hui des principaux risques que votre programme TPM pourrait négliger ou qui pourraient lui échapper. Nous allons nous concentrer sur les risques non liés à l'informatique, d'accord ? Comme vous le savez, les professionnels de la sécurité, qui constituent probablement la majorité des participants à cette conférence téléphonique, ont tendance à se concentrer sur les informations, les données, les cyberrisques, etc. Mais je vais examiner d'autres risques et angles d'approche qui, à mon avis, doivent être pris en compte pour avoir un programme TPLR complet, et que nous n'avons peut-être pas encore tous intégrés. D'accord ? Alors, quelques mots sur moi. Voici ma photo. Vous pouvez la voir. Quelques diapositives pour vous mettre dans le contexte avant de commencer. Nous savons d'après les statistiques que la plupart des entreprises effectuent leurs propres évaluations, questionnaires, etc. Mais de manière générale, dans le domaine de la gestion des risques liés aux tiers, nous savons que, très souvent, voire dans la majorité des cas, la responsabilité de la gestion des risques liés aux tiers incombe traditionnellement à la fonction de sécurité, quelle que soit son appellation. Par conséquent, comme je l'ai dit, notre priorité est de nous concentrer sur les risques liés à la cybersécurité et à la sécurité de l'information, mais nous ne sommes pas les seuls destinataires de ces données et nous ne sommes pas les seuls à devoir contribuer à l'ensemble des données collectées et analysées pour le compte de notre clientèle. l'ensemble des données collectées et analysées pour le compte de notre clientèle. Je pense donc que cette tendance va se poursuivre. Vous savez, l'équipe de sécurité sous la direction du CISO restera, vous le savez, le principal utilisateur. Mais afin d'obtenir une vue d'ensemble complète des risques, nous savons, j'ai déjà organisé un webinaire sur l'importance de collaborer avec la fonction achats, mais nous avons également les services juridiques, les services de gestion des risques, les services de conformité, là où ils existent, et ils ont tous un intérêt dans les données qui devraient figurer dans votre programme TPRM.

Et très franchement, ils ont tous des compétences différentes qui complètent les compétences en matière de sécurité et qui peuvent vraiment aider à dresser un tableau complet du risque que représente ce fournisseur pour notre entreprise à l'avenir. Nous connaissons tous la réglementation. Qu'on l'aime ou qu'on la déteste, elle est là pour rester. Et je pense que le niveau de réglementation auquel nous allons tous être soumis, en fonction bien sûr du secteur dans lequel vous travaillez, ne fera qu'augmenter. J'ai une diapositive sur la réglementation plus tard, mais depuis que j'ai commencé dans l'informatique/la sécurité il y a très longtemps, le nombre de réglementations subjectives est aujourd'hui 10 à 20 fois supérieur à ce qu'il était à l'époque. Je pense donc que cette tendance va se poursuivre. Le dernier rapport de Verizon sur les menaces indique que 62 % des compromissions de systèmes proviennent des partenaires et des fournisseurs. Je pense que nous savons tous, grâce à nos sources d'informations sur les menaces, que les groupes activistes, etc. se concentrent clairement sur la chaîne d'approvisionnement, car vous savez que c'est leur vecteur d'attaque le plus lucratif, le phishing étant le moyen le plus utilisé, mais en termes de ciblage des organisations, pourquoi cibler une organisation spécifique et y consacrer tous vos efforts alors que vous pouvez cibler un fournisseur important et mettre la main sur des milliers, voire des dizaines de milliers de ses clients qui sont connectés à ses plateformes et à ses systèmes. Il s'agit donc d'une menace très réelle, ce n'est pas du scareware ou de la peur, de l'incertitude et du doute, comme on l'appelle parfois. C'est quelque chose de très réel et nous devons être attentifs à cela et comprendre comment nous pouvons potentiellement atténuer ce risque à l'avenir. Aujourd'hui, nous savons tout cela, n'est-ce pas ? Nous comprenons cela. Nous comprenons ce sur quoi nous devons nous concentrer, mais comme je l'ai dit, nous allons nous concentrer aujourd'hui sur les domaines auxquels nous ne prêtons probablement pas attention au quotidien, à savoir les domaines non informatiques et leur importance pour garantir notre cyber-sécurité globale. À quoi ressemble donc cette approche globale alignée sur l'activité ?

Je suis donc un fervent défenseur de l'alignement sur l'activité. Je pense que si vous êtes RSSI ou responsable de la sécurité, quel que soit votre titre, si vous n'êtes pas pleinement aligné sur votre stratégie commerciale, vous savez que vous travaillez en vase clos, et que cela n'aide personne. Il faut donc que non seulement votre stratégie TPRM, mais aussi l'ensemble de votre stratégie en matière de sécurité de l'information et de cybersécurité soient parfaitement alignés sur l'entreprise que vous essayez de protéger. Il faut donc vraiment comprendre cette entreprise, savoir quels produits elle propose, dans quelles zones géographiques elle opère, quelle est son approche pour livrer ses clients. S'agit-il d'une organisation B2B ou s'adresse-t-elle directement aux consommateurs ? Car tout cela modifie en fin de compte votre profil de risque. Vous devez donc décider, si vous voulez mettre en place une fonction TPRM efficace, quels sont les résultats que vous devez fournir à l'entreprise afin qu'elle puisse faire des choix judicieux concernant la stratégie à adopter à l'avenir. Et c'est finalement le but de ce programme, n'est-ce pas ? Il permet de comprendre quels sont les fournisseurs externes nécessaires au fonctionnement de l'entreprise, quels risques ils présentent pour la continuité du service et, potentiellement, pour la réputation de l'organisation, et comment nous pouvons nous assurer que cela continue à l'avenir. Je travaille dans le domaine de la sécurité depuis assez longtemps pour me souvenir de l'époque où il n'existait pas d'outils performants comme Prevalent. Vous savez, j'ai commencé à une époque où Microsoft Excel était le seul outil à notre disposition et où nous avions d'énormes feuilles de calcul complexes dans lesquelles nous essayions de suivre les mesures correctives prises par des milliers de fournisseurs différents. Je sais que certains d'entre vous sont peut-être encore dans cette situation aujourd'hui, et il est certainement difficile de mettre en place un programme TPRM efficace sur Microsoft Excel. Certaines astuces sympas, comme les mises à jour en temps réel sur les performances des fournisseurs ou les aspects liés à la veille sur les menaces, sont tout simplement impossibles à réaliser sur Microsoft Excel. Ce logiciel n'a manifestement pas été conçu pour exécuter des fonctions tierces, et c'est pourquoi des outils tels que Prevalent ont été développés. Donc oui, nous devons absolument nous assurer que nous disposons du bon outil. Nous devons nous assurer que nous disposons des ressources humaines adéquates.

Je ne suis jamais entré dans une organisation et n'ai jamais vu leur fonction TPRM tierce partie et pensé « waouh, il y a beaucoup trop de personnes là-dedans ». Je me rends souvent dans des organisations et je vois deux ou trois personnes sous-équipées qui essaient de comprendre quels sont les principaux risques stratégiques pour l'organisation et qui, très franchement, ont du mal à le faire, soit parce qu'elles ne sont pas assez compétentes, soit parce qu'elles ne disposent pas des outils adéquats pour mener à bien cette tâche. Nous devons donc reconnaître que nous collectons ici une source de données très riche. Nous devons nous assurer de rassembler toutes ces données. Nous obtenons ainsi une vision harmonisée des risques à l'échelle de l'organisation. J'en parle également dans mes autres webinaires pour Prevalent. Le problème des silos n'est pas seulement organisationnel. Il ne sert à rien de collecter toutes ces données et de les conserver uniquement au sein de la fonction sécurité, tout comme il ne sert à rien d'avoir deux visions différentes du risque qu'un fournisseur représente pour votre organisation. Si la sécurité a une vision et que le service des achats en a une autre sur un système différent qu'il utilise, nous avons alors deux perspectives au sein de la même entreprise, ce qui n'a aucun sens. Une consolidation et une collaboration entre toutes les différentes unités commerciales à l'aide d'un outil vraiment professionnel vous permettront de gérer les risques au sein de votre organisation. Parlons maintenant de la portée et de la segmentation, car ces éléments sont essentiels pour pouvoir évaluer les risques liés à vos fournisseurs. Vous savez, nous ne pouvons pas accorder le même niveau d'attention à chaque fournisseur qui fournit des produits ou des services à notre organisation. Trop souvent, je pense que les programmes TPRM ne sont pas vraiment globaux. Je me rends dans de grandes organisations multinationales et je constate que leur processus est très efficace dans leur pays ou leur région d'origine. Et puis, quand on vous demande comment ce processus est mis en œuvre en Asie, comment ce programme est mis en œuvre en Europe ou en Amérique, etc.

Ce n'est pas toujours au même niveau, vous savez, en matière de gouvernance, ce n'est pas toujours au même niveau en termes de normes et d'autres choses de ce genre. Il s'agit donc vraiment de s'assurer que vous disposez, dans la mesure du possible, d'un processus global, d'un outil global, et il y a une bonne raison à cela. Si vous inversez cette question et que vous la considérez du point de vue du fournisseur, celui-ci est évidemment incité à vendre autant de produits et de services que possible, et il divisera et conquerra une organisation. Je l'ai vu à maintes reprises, même dans les organisations que j'ai dirigées, si vousn'avez pas mis en place une gouvernance adéquate pour ce fournisseur et un contrôle sur ses interactions au sein de votre organisation, vous n'avez pas vraiment de niveaux de service et de risques différents. Vous aurez également des prix et des accords de niveau de service différents, etc. partout dans le monde. Il est donc vraiment logique de comprendre tous les endroits où ce fournisseur opère et interagit avec votre organisation. Et pour ce faire, vous devez évidemment être véritablement mondial. Vous savez, la réglementation existe bel et bien dans ce domaine. Ce serait formidable si les régulateurs commençaient à normaliser leur approche. J'ai passé beaucoup de temps avec les régulateurs et j'ai constaté qu'il y a un chevauchement important entre certaines réglementations à travers le monde, mais chaque pays ou nation souhaite avoir son propre ensemble de normes réglementaires qui s'appliquent à différents secteurs relevant de sa compétence. Donc, même si elles sont assez similaires, il existe des nuances et des différences entre elles. Il est donc important que nous les comprenions parfaitement et que nous comprenions ce qu'elles sont. J'y reviendrai un peu plus tard, mais là encore, je tiens à faire la promotion de Prevalent. Je dois dire que dans le cadre de mon travail, j'ai travaillé pour de grandes multinationales et je parle au nom de Prevalent parce que j'ai utilisé cet outil de manière intensive. Je comprends la valeur qu'il peut apporter à une organisation. Il est donc vraiment impératif que notre programme couvre également le cycle de vie complet d'un fournisseur. Trop souvent, nous concentrons nos efforts et nos ressources sur le début du processus.

Nous avons donc un nouveau fournisseur qui rejoint notre organisation. Nous mettons donc tout en œuvre pour comprendre son modèle de propriété, son domaine d'activité, etc. Mais nous ne maintenons pas toujours cet effort. S'il s'agit d'un fournisseur de premier rang ou d'un fournisseur essentiel pour notre organisation, et bien sûr certains fournisseurs de deuxième rang également, nous devons nous assurer que nous exerçons une surveillance constante sur cette organisation. Et encore une fois, pour ceux d'entre vous qui utilisent Microsoft Excel ou même un processus manuel d'envoi de questionnaires, vous ne disposez en réalité, si vous y réfléchissez bien, que d'une mise à jour tous les 12 mois. Vous n'avez pas une vision en temps réel de ce qui se passe dans cette entreprise, de sa situation financière, des violations qu'elle a subies, etc. Et parfois, vous pourriez être pris au dépourvu si l'un de vos fournisseurs venait à subir un incident majeur. Les principaux acteurs de votre organisation sont au courant, mais peut-être pas vous. Vous voulez donc être le premier à le savoir et être celui qui conseille l'entreprise, et non l'inverse. Pour y parvenir efficacement, ce qui est, je l'espère, le souhait de tous, Nous devons nous assurer que nous avons une couverture holistique de tout ce dont nous sommes responsables. Et cette segmentation en plusieurs niveaux est également très importante. Nous passons également au n-ième niveau. Beaucoup de gens ne s'intéressent pas au n-ième niveau, mais je pense que c'est vraiment très important. Par n-ième niveau, j'entends les fournisseurs de vos fournisseurs. Vous pouvez donc attribuer un contrat à l'un de vos fournisseurs. Celui-ci pourrait le sous-traiter à d'autres fournisseurs dont vous n'avez peut-être pas connaissance, mais dans les secteurs réglementés, lorsqu'il s'agit d'informations personnelles identifiables, il est vraiment essentiel que vous connaissiez le parcours complet de ces données. Nous en parlerons un peu plus tard. Examinons donc les domaines d'activité sur lesquels nous allons nous concentrer pour ce que je considère comme les risques non informatiques qu'il est essentiel, à mon avis, de surveiller à l'avenir.

Il s'agit donc, d'une part, de s'assurer que nos partenaires et fournisseurs sont en mesure de continuer à fournir les produits ou services que nous leur avons achetés. Nous devons nous assurer que la continuité de leurs activités, leur plan de reprise après sinistre et toute une série d'autres mesures sont à la hauteur, sinon, si quelque chose leur arrive, cela nous affectera également et comment pouvons-nous potentiellement couvrir ce risque également. Ensuite, il y a bien sûr le domaine de la conformité, que nous connaissons très bien dans le domaine de la cybersécurité, mais qui va bien au-delà de l'information et de la cybersécurité. Il existe de nombreuses autres réglementations en matière de conformité dont nous devons également tenir compte. Et puis, selon l'endroit où vous vous trouvez dans le monde, il y a les exigences en matière de RSE/ESG, car nous voulons tous être de bons citoyens du monde. Nous voulons tous nous assurer que nos produits et services sont exceptionnels. Absolument. Mais nous ne voulons exploiter personne pour y parvenir. Alors, comment pouvons-nous nous assurer, lorsque nous externalisons ou délocalisons vers des pays lointains, que nous bénéficions du même niveau de gouvernance et de contrôle sur ce que nous cherchons à accomplir ? Et puis, sur le plan financier, nous voulons nous assurer que la liquidité de cette organisation est solide, qu'elle ne va pas faire faillite demain, ce qui nous mettrait à nouveau dans l'incapacité de servir nos clients lorsqu'un fournisseur clé fait faillite. Je vais donc aborder chacun de ces domaines de manière un peu plus approfondie. Je vais bien sûr donner quelques exemples, mais comme Matt l'a dit au début, n'hésitez pas à poser vos questions dans le chat et j'y répondrai également. Examinons donc le risque opérationnel. Voici quelques exemples. Je vais également les aborder. Nous avons évidemment la COVID. Nous avons donc une pandémie mondiale qui cause des problèmes. Nous avons une instabilité politique. Nous avons la crise russo-ukrainienne. Nous avons le risque d'une invasion de Taïwan par la Chine. Et puis nous avons également des défis logistiques.

Cela n'a donc pas immédiatement trait au cyberespace, mais peut avoir un impact certain sur la capacité de notre organisation à mener à bien ses activités. Les événements mondiaux peuvent donc, comme nous l'avons vu, avoir un impact évident sur votre organisation. Je ne pense pas que le risque opérationnel soit souvent considéré avec le sérieux qu'il mérite, compte tenu de l'impact qu'il peut avoir sur votre organisation. Nous avons évidemment vu ce qui peut arriver lorsque des conflits mondiaux éclatent entre des nations. Ils ont considérablement perturbé le commerce mondial, tant sur le plan physique que virtuel. Il ne s'agit donc pas seulement d'un problème logistique. Beaucoup de gens avaient des organisations qui travaillaient à la fois en Russie et en Ukraine. Les liens avec la Russie ont dû être rompus. Une grande partie de la main-d'œuvre en Ukraine a dû prendre les armes, etc. La main-d'œuvre et les employés ont donc disparu du jour au lendemain. Il ne s'agit donc pas seulement d'actifs physiques que vous achetez. Si la ressource disparaît, alors si vous utilisez des codeurs ou des développeurs, etc., et qu'ils ne sont plus disponibles, cet actif numérique est également perturbé. Et les défis opérationnels peuvent facilement conduire à la faillite d'entreprises très connues. J'ai pris l'exemple de Revlon, et il est très intéressant de noter que dans leur demande de mise en faillite aux États-Unis, ils ont en fait invoqué l'incapacité de fabriquer suffisamment de produits et les amendes imposées par les grossistes comme raisons de leur mise en faillite. Leur chaîne d'approvisionnement a donc été perturbée. L'accès aux matières premières a été perturbé. Ils s'étaient engagés auprès de leurs fournisseurs à livrer un certain nombre d'unités chaque mois. Ils n'ont pas pu respecter ces engagements. Les pénalités infligées à la société mère ont été importantes, et cela a fait boule de neige, jusqu'à ce qu'une marque aussi connue que Revlon soit contrainte de déposer le bilan, citant la chaîne d'approvisionnement comme principal problème. Mais il existe également de nombreux secteurs qui dépendent des produits et services provenant à la fois d'Ukraine et de Russie, comme nous venons de le mentionner. Désolé.

Si l'on examine la production céréalière de l'Ukraine, il est bien connu que d'énormes quantités de céréales s'accumulent dans ce pays et que seul un très faible pourcentage des navires qui transportent habituellement ces céréales en dehors de l'organisation peut être utilisé. En réalité, 80 % de ces céréales ont été achetées par le Programme alimentaire mondial des Nations unies, ce qui a un impact énorme sur les pays en développement et ceux qui ont besoin d'aide. Cela perturbe donc considérablement la chaîne d'approvisionnement. Si l'on regarde la Russie, en Europe, nous dépendions énormément du gaz naturel acheminé par de grands gazoducs depuis la Russie vers plusieurs pays, mais cela s'est arrêté du jour au lendemain, ce qui a eu un impact considérable sur les prix du gaz et du pétrole ici au Royaume-Uni, qui étaient déjà élevés, mais qui ont à des niveaux exponentiels. Mais cela ne concerne pas seulement l'essence, mais pratiquement tous les dérivés du pétrole, ce qui a entraîné d'énormes défis en aval de la chaîne d'approvisionnement. Nous devons vraiment réfléchir à ce qui se passerait si la Chine envahissait Taïwan et si les mêmes sanctions que celles que nous avons imposées à la Russie étaient imposées à la Chine. Et réfléchir à notre dépendance vis-à-vis des produits, des biens, des services, de l'externalisation vers des entreprises et des services chinois, etc. Même des domaines comme la logistique et le transport maritime, qui sont en quelque sorte les magnats dans ce domaine, auraient un impact considérable sur pratiquement toutes nos organisations, que ce soit directement ou indirectement. Nous devons donc établir des modèles basés sur les événements passés. Que savons-nous de ce qui s'est passé dans le passé et comment pouvons-nous prédire ce qui pourrait se passer à l'avenir ? Si l'on examine nos fournisseurs, sont-ils peut-être surexposés dans une région spécifique qui pourrait connaître des perturbations politiques ? Si vous êtes Intel ou AMD ou une organisation de ce type, et que vous regardez l'Ukraine qui produit 54 % de votre néon de qualité semi-conductrice, alors vous espérez qu'ils ont un plan A, un plan B, un plan C et un plan D.

pour remplacer en quelque sorte les quelque 55 % de néons qu'ils auraient achetés à l'Ukraine, car cela a été et est encore fortement perturbé, et certainement lorsque nous avons vu l'invasion et le début de la guerre, leur industrie des semi-conducteurs a certainement été affectée par cela. Examinons donc les risques de conformité. J'ai mentionné chaque site individuel, et il s'agit en réalité uniquement de conformité en matière de sécurité des données, qui va de pair avec leurs propres activités. Il existe donc de nombreuses réglementations et priorités individuelles, et cela augmente de manière exponentielle. Je dirais que le continent africain sera pratiquement saturé d'ici un an environ. Il existe donc de nombreuses approches individuelles sur la manière dont les données doivent être gérées. Si vous êtes une organisation nationale implantée dans un seul pays, vous n'avez évidemment à vous soucier que des citoyens de ce pays. Mais si vous êtes une multinationale mondiale, opérant dans 60 ou 70 pays différents, etc. alors cela devient très complexe à gérer pour vous. Excusez-moi, passez à la diapositive suivante. Les gens pensent souvent qu'ils peuvent externaliser leurs problèmes. Je parle à de nombreuses organisations qui me disent que ce n'est pas vraiment un problème pour elles, car elles font appel à un prestataire externe. Ce n'est pas le cas en réalité. Vous ne pouvez pas externaliser vos problèmes en matière de conformité. Ils n'ont certainement pas disparu. Vous restez le propriétaire des données. Si votre fournisseur a un problème lié à vos données, cela reste votre problème. Comme je l'ai mentionné, le paysage de la conformité pour les multinationales est complexe aujourd'hui. Il ne fera que devenir de plus en plus complexe à mesure que nous avançons. Un outil comme Prevalent peut vraiment vous aider à comprendre vos exigences individuelles en matière de conformité dans chaque site et vous aider dans des domaines tels que vos audits internes ou externes en produisant des rapports sur le fonctionnement des choses dans différentes zones géographiques, etc. Je pense que le thème commun que je viens d'évoquer est que, parmi ces 60 exigences différentes, la seule chose qui les relie toutes est que vous restez responsable.

Vous pouvez externaliser la responsabilité, mais vous ne pouvez pas externaliser l'obligation de rendre des comptes. Vous pouvez demander à quelqu'un de gérer un processus ou de traiter vos données en votre nom, ou encore de gérer un centre d'appels et d'avoir accès à vos dossiers clients, mais en fin de compte, aux yeux des autorités de réglementation et des systèmes juridiques de la plupart des pays, vous restez responsable de ces données et c'estc'est là qu'il devient vraiment essentiel de comprendre votre exposition si vous avez conclu un contrat avec une organisation individuelle, celle-ci a-t-elle externalisé cela à quelqu'un d'autre et c'est vraiment essentiel lorsqu'il s'agit d'informations personnelles identifiables, alors que pouvons-nous faire dans ce contexte critique ? Évidemment, utiliser un outil comme Prevalent qui vous sera vraiment utile si vous avez une violation de données, les exigences réglementaires dans différents endroits ont des délais très différents. J'ai passé la majeure partie de ma vie à travailler dans les services financiers et les télécommunications. Je connais donc très bien le paysage réglementaire de ces deux secteurs. Et je sais que si j'ai une violation à Singapour par rapport à une violation en Inde, mes délais de réponse doivent être, vous savez, très différents. La façon dont je catalogue l'incident doit être très différente. Les personnes à qui je m'adresse et celles qui sont impliquées sont également très différentes. Il faut donc bien comprendre cela et être capable de garder cela à l'esprit à l'avenir. Il y a deux choses qui sont certaines. La complexité et l'incertitude sont, selon moi, les ennemis de la sécurité. Si quelque chose est très complexe, il est très difficile de le sécuriser. Et si vous évoluez dans un environnement incertain, avec de nombreux facteurs changeants, il est également très difficile d'y appliquer des mesures de sécurité. Cela se résume en fait à votre processus TPRM ainsi qu'à votre stratégie de sécurité globale. Dans un monde comme celui-ci, les contrats et les méthodes de travail doivent donc être absolument clairs. Vous savez qui est le propriétaire des données, vous avez un petit indice, c'est toujours vous-même, comme je l'ai dit plus tôt, vous ne pouvez pas externaliser cela. Il faut donc reconnaître que le contrat que vous mettez en place n'a pas d'importance.

Peu importe qui effectue les tâches quotidiennes. Vous restez le propriétaire des données qui va réellement interagir avec elles et les traiter. Et lorsque vous traitez des informations vraiment sensibles, comme les enregistrements de paiement, etc., vous devez vous pencher sur les noms individuels. Vous devez être en mesure de gérer à distance qui a accès à vos informations au quotidien. Quel est leur processus de gestion des arrivées et des départs ? Si quelqu'un quitte l'organisation, son accès est-il immédiatement révoqué ? Et pour les nouveaux arrivants, s'ils ont accès à des informations sensibles, avons-nous également procédé à une vérification adéquate de leur profil ? Quelles sont les exigences de conformité qui s'appliquent aux données individuelles des citoyens dans chaque pays ? Car elles diffèrent. Dans certains pays, par exemple, même si vous externalisez, il faut que ce soit quelqu'un originaire de ce pays qui accède à ces données. Et c'est soit trop difficile à faire, donc ça ne se produit pas, mais vous devez quand même tenir compte du fait que c'est une exigence. Et un bon moyen d'avancer ici est d'identifier ce qui serait parfait. J'ai découvert que lorsque l'on se lance dans un nouveau domaine ou que l'on entreprend quelque chose comme ça, il faut s'assurer de trouver ce qui correspond à la perfection. Contactez vos organisations homologues. Je trouve rarement que les gens sont en concurrence les uns avec les autres en matière de cybersécurité ou de sécurité de l'information. Je pense que les gens sont prêts à être vraiment ouverts et transparents sur ce qu'ils font et sur leurs processus avec les personnes en qui ils ont confiance ou dans leur cercle de confiance. Alors, impliquez-vous dans des groupes de discussion et des forums, et assurez-vous de bien comprendre comment les autres s'y prennent, puis mettez en place des processus similaires. Vous n'avez pas besoin de partir d'une feuille blanche. Examinons donc les risques ESG et RSE. Selon l'endroit où vous vous trouvez, peu importe le nom que vous leur donnez, comme je l'ai dit, nous voulons être de bons citoyens.

Nous voulons nous assurer que nous faisons ce qu'il faut d'un point de vue organisationnel, nous voulons tous avoir d'excellents produits et services, mais nous devons reconnaître que le monde est très vaste et qu'il n'est pas toujours tel que nous le percevons dans nos pays d'origine. Qu'il s'agisse simplement d'étendre les acronymes, comme la responsabilité sociale des entreprises, nous voulons nous assurer que nous faisons ce qu'il faut, ou l'ESG, nous voulons nous assurer que nous protégeons l'environnement, que nous agissons correctement sur le plan social et que nous avons une bonne gouvernance, etc. L'une des tendances que nous reconnaissons tous est la délocalisation et l'externalisation. L'un des principaux moteurs de cette tendance est la réduction des coûts. L'une des principales conséquences est donc que nous nous tournons vers des régions du monde où les coûts sont moins élevés. La main-d'œuvre y est toujours hautement qualifiée, mais les prix sont moins élevés, ce qui nous permet de réduire les frais généraux liés à ce service, ce qui a un impact sur la rentabilité de notre organisation. Cependant, comme je l'ai dit, nous devons reconnaître que tous les endroits ne sont pas identiques, que tous les pays n'ont pas le même niveau d'éthique d'entreprise que celui dont nous bénéficions, et que dans certains endroits, il est clair que les employés sont toujours exploités, mais c'estc'est un fait auquel nous devons faire face dans certains autres pays. Vous savez, dans le passé, j'ai dû faire face à cela, au paiement de pots-de-vin pour, disons, graisser les rouages ou faire disparaître du jour au lendemain des bureaucraties très complexes. C'est une pratique courante depuis des générations. Vous savez, c'est une façon très normale de travailler pour certaines personnes dans certains de ces endroits, mais vous savez, je dirais que pour la plupart d'entre nous qui participons à cette conférence téléphonique, même si je ne connais évidemment pas toutes les régions d'où nous appelons, je dirais que pour la plupart d'entre nous, nous avons des réglementations juridiques et autres règles de conformité qui stipulent que c'est illégal pour notre entreprise de fonctionner de cette manière.

Nous sommes donc confrontés à ce défi qui consiste à appliquer notre façon de travailler, notre éthique, nos croyances et notre culture, et nous devons, je dirais, les imposer, car c'est un mot fort, maisce que je veux dire, c'est que nous devons imposer cette façon de travailler dans une région éloignée, et peu importe la façon dont ils ont toujours travaillé, s'ils veulent travailler avec notre organisation et faire affaire avec nous, ce sont les normes que nous imposerons. Ensuite, nous avons le défi de nous assurer que cela soit fait en premier lieu, mais aussi de nous assurer que nous avons la bonne gouvernance pour que cela continue après l'attribution des contrats. Nous avons tous vu dans les journaux et à la télévision des problèmes de ce type. Nous avons vu des marées noires, par exemple, qui ont endommagé l'environnement. Nous avons vu des fabricants de baskets ou de chaussures de sport recourir au travail des enfants. Nous avons vu des fabricants de café payer un salaire dérisoire à leur main-d'œuvre. Et nous savons tous combien coûte une tasse de café de nos jours, n'est-ce pas ? Les marges doivent donc être énormes. Il est donc important pour la plupart des organisations de s'assurer que les personnes qui cultivent le produit, le torréfient, cueillent les grains de café, etc. reçoivent un salaire équitable pour un produit équitable. Et ce ne sont là que quelques exemples. Même les personnes qui travaillent dans les centres d'appels, etc. Il s'agit donc vraiment de réfléchir à ce que fait mon organisation. Où sommes-nous externalisés ? Quels sont nos engagements, nos positions éthiques, nos obligations en matière de conformité et nos réglementations légales dans cet environnement, et comment nous assurer que nous disposons d'un processus de gouvernance efficace pour gérer tout cela. Il s'agit vraiment de s'assurer, vous savez, je parle en tant que professionnel de la sécurité, mais cela va bien au-delà de la sécurité, tout cela alimente votre programme TPRM. Nous devons nous assurer de bien comprendre, vous savez, toute la chaîne de contrôle au sein de la chaîne d'approvisionnement. Et puis il y a le risque financier, n'est-ce pas ? Donc, euh, vous savez, nous avons vu la pandémie mondiale de COVID et vous savez que cela a été une grande surprise pour nous tous.

Vous savez, la plupart des professionnels de la sécurité de l'information, si vous adhérez au NIST ou à l'ISO ou à quelque chose de ce genre, vous avez toujours eu une politique mondiale en cas de pandémie de grippe dans votre arsenal, mais vous savez que la plupart des gens auraient pensé que c'était assez irréaliste et vous savez que vous n'auriez jamais pensé que cela verrait le jour, mais en fait, cela s'est produit et nous avons tous vu que les organisations qui en ont souffert n'avaient pas l'infrastructure informatique appropriée pour permettre à leurs employés de travailler immédiatement à domicile. Elles n'ont pas été en mesure de s'adapter rapidement en termes de fonctionnement ou de livraison de produits et services à leurs clients, ni de transférer rapidement leurs activités en ligne depuis leurs locaux physiques, etc. Cela a donc eu un impact réel sur les résultats financiers et le bilan de plusieurs organisations. Et puis, nous ajoutons à cela le fait que nous sortons maintenant de cette situation, mais vous regardez la planète dans son ensemble en ce moment, n'est-ce pas ? Nous avons une inflation en hausse, des taux d'intérêt en hausse, une augmentation des emprunts par les gouvernements à travers le monde. Et pour aggraver encore la situation des organisations, nous avons le taux le plus élevé de crypto-malware jamais vu. Vous savez, des attaques contre des organisations qui cryptent littéralement leurs données et les retiennent en otage. Donc, vous savez, si elles n'ont pas souscrit la bonne assurance, vous savez, cela peut, vous savez, nous l'avons vu avec, vous savez, plusieurs organisations à travers le monde, euh, vous savez, qui ont effectivement été victimes d'un incident de crypto-malware. Leurs finances n'ont pas pu y faire face. Elles n'étaient pas assurées ou leur police d'assurance ne couvrait pas ce type de paiement. Elles n'ont pas pu se remettre rapidement sur pied et ont fini par faire faillite. Et cela peut arriver à pratiquement n'importe quelle organisation si elle n'a pas mis en place les plans adéquats. Nous devons donc être proactifs et réfléchir à tout cela. Nous devons poser des questions qui ne concernent pas seulement la cybersécurité et la sécurité de l'information, mais aussi la liquidité de l'organisation. Dans quelle mesure ses finances sont-elles capables de résister à certaines des situations dont nous venons de parler ?

Et dans quelle mesure est-elle stable ? Vous savez, pourrait-elle s'effondrer du jour au lendemain dans certains cas ? Alors, que pouvons-nous faire ? Vous savez, quelle est la tendance chez chaque fournisseur ? La plupart des grandes organisations publient leurs états financiers, nous pouvons donc commencer à exploiter ces informations et comprendre quelle est la tendance. Ont-elles plus de trésorerie disponible au sein de leur organisation ? Remboursent-elles leurs dettes ? Ou bien ont-ils moins de flux de trésorerie et accumulent-ils plus de dettes ? Cela commence-t-il à sembler plus risqué d'année en année ? Ou bien ce risque commence-t-il à diminuer ? Se sont-ils assurés contre les impacts potentiels sur leur organisation ? Pas seulement du point de vue des risques cybernétiques, mais aussi du point de vue de l'impact commercial. Sont-ils assurés contre les pertes qu'ils pourraient subir s'ils ne sont pas en mesure de payer leurs fournisseurs ? Si l'on prend l'exemple de Revlon, ont-ils couvert ce risque potentiel et ont-ils obtenu une couverture sur le marché de l'assurance ou non ? Et en fait, où sont-ils basés ? Où se trouvent leurs sites à travers le monde ? Où se trouve leur siège social ? Ont-ils la possibilité d'être manipulés ou contestés par des gouvernements corrompus ? Sont-ils potentiellement exposés à l'instabilité politique ? Toutes ces questions doivent donc être prises en compte et il est essentiel d'obtenir des informations précises, mais comme je l'ai dit au début, il est tout aussi important de s'assurer que nous disposons de toutes ces informations et que nous pouvons les diffuser au sein de nos organisations, aux personnes qui en ont besoin pour prendre des décisions fondées sur les risques à l'avenir. Donc, avant de passer la parole à Scott, vous savez, que pouvons-nous faire différemment, qu'est-ce qui ferait vraiment la différence ? Je pense que nous devons travailler en collaboration, nous le faisons souvent et jeJe suis moi-même coupable de cela, vous savez, nous sommes des professionnels de la cybersécurité et de la sécurité de l'information, et il y a peut-être beaucoup d'autres disciplines représentées dans cette conférence téléphonique, mais comme je l'ai dit, vous savez, plus les utilisateurs de cet outil, de cette technologie et de ce processus sont actifs, mieux c'est.

En tant que professionnels de la sécurité de l'information, nous devons reconnaître que nous n'avons pas toutes les réponses. Nous avons un certain état d'esprit et une certaine vision de la manière dont nous abordons les problèmes. Nous devons collaborer largement au sein de notre organisation. Donc, comme je l'ai dit, regardez mon webinaire sur la collaboration avec la fonction achats et vous verrez que le RSSI et le directeur des achats ou le directeur général des achats ont des responsabilités qui se recoupent vraiment en matière de risque. Et beaucoup d'indicateurs de performance communs. Il faut donc s'assurer de tirer parti de ces différentes fonctions et de leurs différentes expertises. Il faut donc travailler avec les RH, le service juridique et le service financier pour s'assurer que nous avons mis en place les bons indicateurs clés de performance afin de pouvoir commencer à voir quand les choses tournent mal. Ce que nous ne voulons pas, c'est découvrir que tout est déjà complètement déraillé. Il existe des indicateurs avancés et retardés qui nous permettent de détecter les problèmes dès leur apparition et, lorsque nous les voyons, nous pouvons commencer à bien comprendre quelle serait notre réponse. Vous savez, la plupart des organisations matures ne mettraient pas tous leurs œufs dans le même panier avec un seul fournisseur critique. Vous auriez donc déjà cette résilience intégrée, que vous vous approvisionniez en matières premières auprès de deux ou trois fournisseurs différents géographiquement dispersés. Ainsi, en cas d'impact, cela ne représente évidemment pas un problème majeur pour vous. Vous vous assurez alors évidemment de fonctionner de manière holistique à travers l'ensemble de vos fournisseurs. Comme je l'ai dit, la plupart des organisations qui utilisent un outil tel que Prevalent ont la capacité de le faire. Vous avez la possibilité de programmer les endroits où vos fournisseurs vous fournissent des produits et des services à travers le monde. Mais si vous utilisez un processus manuel, cela peut s'avérer un peu difficile à mettre en place, surtout si vous êtes une multinationale où vos fournisseurs interagissent avec votre organisation.

Donc, dans la mesure du possible, créez ce processus global, assurez-vous que vous utilisez ce processus unique à l'échelle mondiale, puis assurez-vous que vous avez bien réfléchi à ces relations finales dans toute votre organisation, puis modélisez vraiment des scénarios, certainement avant que la COVID ne frappe. Un bon RSSI que je connais a fait un exercice avec son conseil d'administration sur une pandémie mondiale de grippe et tout le monde a trouvé cela très bien. Je pense que le PDG l'a pris à part après coup et lui a dit : « La prochaine fois, pourrions-nous choisir un scénario un peu plus probable ? Mais bien sûr, quelques mois plus tard, quelque chose comme ça s'est produit. C'est vraiment un investissement judicieux de s'asseoir avec vos parties prenantes dispersées et de modéliser ce qui se passerait si le canal des égouts était à nouveau bloqué et que nous ne pouvions pas livrer nos produits à nos clients ou obtenir nos matières premières. Que se passerait-il, vous savez, euh, quel serait l'impact sur notre organisation avec les Houthis actuellement dans la mer Rouge, vous savez, qui détournent 200 milliards de commerce et ajoutent des semaines au temps de transit vers certains pays et certaines destinations. Toutes ces choses ont des répercussions et il est très utile de modéliser certains de ces scénarios. Donc oui, modélisez les scénarios cyber traditionnels, mais élargissez également votre réflexion et comprenez bien ce qui pourrait réellement avoir un impact sur notre organisation, car il ne s'agit pas toujours d'une cyberattaque. Et je pense que si nous sommes responsables de ce processus de gestion des risques, nous devons être en mesure de guider efficacement l'entreprise, ce qui implique évidemment de voir plus large et plus loin que le cyberespace. Et puis, vous devez être à l'affût de tout. Évidemment, vous devez disposer de ces flux d'informations en temps réel sur les menaces. Encore une fois, c'est quelque chose que vous ne pouvez pas obtenir avec un processus manuel. Vous pouvez indiquer qui sont vos fournisseurs essentiels. Vous pouvez disposer d'une surveillance en temps quasi réel de ce qui se passe. Vous pouvez voir ce que d'autres personnes ont découvert à leur sujet. Et il est vraiment essentiel que vous puissiez être en temps quasi réel lorsqu'il s'agit de gérer et de surveiller l'empreinte de vos fournisseurs.

Quand il y a eu, euh, vous savez, le problème avec Neon dont j'ai parlé tout à l'heure dans la fabrication des puces, il y avait en fait un employé chez IBM qui était très réactif et qui a compris que cela allait poser un gros problème. Il a donc acheté en gros, et des millions de tonnes ont été achetées en gros pour cette organisation afin de s'assurer qu'il n'y aurait pas d'interruption de service. Vous savez, toutes les organisations n'auraient pas eu cette information en temps réel, toutes les organisations n'auraient pas été en mesure de réagir, car cet homme savait qu'il avait une couverture aérienne à l'avance pour pouvoir faire quelque chose comme ça, alors réfléchissez-y vraiment et assurez-vous que cela soit intégré dans votre processus global, car comme il est dit en bas, vous savez, si vous gérez un programme de gestion des risques fournisseurs vraiment efficace, vous aurez, vous savez, sans doute réfléchi à pratiquement tout ce qui peut arriver dans votre chaîne d'approvisionnement et qui peut perturber, euh, la gestion de vos produits et services. Et puis, tout se résume à une question de coût. Combien êtes-vous prêt à investir pour couvrir ce risque ? Allez-vous vous tourner vers un assureur ? Allez-vous ajouter à votre liste quelques autres fournisseurs capables d'offrir les mêmes produits et services ? Juste pour vous assurer d'avoir couvert ce risque à l'avenir. Bien. J'espère que cela vous sera utile. Vous avez beaucoup de questions à me poser. Je vais laisser la parole à Scott pour quelques diapositives, puis nous passerons aux questions-réponses. Scott, c'est à vous.

Matt: Génial. Merci beaucoup, Brian. Euh, vous pouvez passer à la diapositive suivante si vous le souhaitez.

Scott: Eh bien, vous savez, l'une des choses que j'ai vraiment retenues de la discussion de Brian, c'est cette grande diversité de types de risques dont nous devons être conscients et dans laquelle nous sommes tous tombés. Nous avons tous tendance à nous inquiéter principalement des risques de cybersécurité qu'un fournisseur ou un prestataire fait courir à l'organisation de deux manières différentes. La première est le risque lié à la chaîne d'approvisionnement logicielle. Vous faites affaire avec un fournisseur ou vous avez acheté un logiciel que vous utilisez dans votre organisation. Cela se transforme en une situation de type « move it or wind it ». Le code est compromis. Tout à coup, ce code se retrouve dans votre environnement. Eh bien, ce code pourrait également se retrouver dans les environnements de vos tiers. Et s'ils gèrent vos données ou ont des connexions à vos systèmes, là encore, cela constitue une voie d'accès à votre organisation. Le deuxième cyber-risque est le risque de violation, n'est-ce pas ? Une situation de type PJNA où, par exemple, un prestataire de facturation médicale qui gère votre base de données clients pour émettre des factures médicales est attaqué. Vous savez que les informations de vos clients sont compromises et, tout à coup, elles se retrouvent en vente quelque part sur le dark web, et c'est vous qui en êtes responsable. Ce sont ces choses-là qui font la une des journaux. Mais comme Brian l'a dit plus tôt dans la présentation, ce sont certains de ces risques plus insidieux, moins tangibles, plus qualitatifs, qui peuvent se cacher en arrière-plan, que nous devons vraiment surveiller pour éviter qu'ils ne se transforment en une sorte de perturbation pour nous à l'avenir. Vous savez, l'impact sur la chaîne d'approvisionnement, la perturbation de la chaîne d'approvisionnement, quelqu'un qui est racheté ou une fusion-acquisition chez un fournisseur, euh, tout à coup, cela a des implications stratégiques pour votre écosystème. Quoi qu'il en soit, ce que nous constatons chez les organisations qui ont des difficultés en matière de gestion des risques liés aux tiers, ce sont en réalité trois choses, alors qu'elles essaient de mettre en place leur programme, vous savez, de développer ce programme, peu importe, et c'est le numéro un : les processus manuels.

Vous savez, nous menons chaque année une enquête auprès des acteurs du secteur, et l'une des questions que nous posons dans cette enquête est la suivante : utilisez-vous des tableurs ou quels outils utilisez-vous pour gérer les risques liés aux tiers, c'est-à-dire votre programme de gestion des risques ? Près de la moitié, soit 48 % des personnes interrogées, ont répondu qu'elles utilisaient uniquement des tableurs pour gérer leur programme de gestion des risques liés aux tiers. Je sais que beaucoup d'entre vous sont au téléphone aujourd'hui. Ce n'est pas grave. Il y a toujours un bon moment pour commencer à abandonner vos tableurs, et aujourd'hui pourrait être le jour idéal pour faire ce choix. C'est un processus très manuel. Vous comprenez les risques liés à un processus manuel. Il est difficile de le maintenir à jour. Il est difficile d'obtenir des informations en temps réel. Il est difficile de cartographier efficacement les contrôles dans une feuille de calcul pour remédier au problème et, en fait, boucler la boucle sur le problème du risque lié aux tiers. Deuxièmement, vous savez que cette étude a montré qu'environ 20 % des entreprises suivent les risques à au moins une étape du cycle de vie des risques liés aux fournisseurs tiers. 20 %, soit deux sur dix, suivent les risques tout au long de ce cycle de vie. C'est problématique. Je pense que notre tendance naturelle est de procéder à une évaluation approfondie lorsque nous intégrons un fournisseur ou lorsque nous évaluons un fournisseur pour voir si nous voulons faire affaire avec lui. Nous examinons sa posture cybernétique, sa posture concurrentielle, sa posture financière, ses scores ESD, sa réputation, etc. Une fois que c'est fait, nous passons à autre chose. Nous sommes rassurés. Ils correspondent à l'appétit pour le risque de l'entreprise. Nous allons de l'avant avec eux. Et puis nous procédons à une réévaluation périodique. Mais après cela, vous savez, le temps passe et puis, vous savez, comme c'est dans la nature humaine, nous avons tendance à nous concentrer sur le prochain gros problème et peut-être avons-nous certains fournisseurs qui, vous savez, font partie de notre cycle de vie depuis un certain temps. Nous continuons à faire affaire avec eux, mais ils continuent à nous présenter certains risques. Euh, et les données montrent que peu d'entreprises examinent vraiment les risques du début à la fin.

Troisièmement, il y a cette situation absurde où tout le monde s'occupe de la gestion des risques liés aux tiers dans de nombreuses organisations. Euh, 71 % des entreprises déclarent que l'équipe informatique est responsable des risques liés aux tiers, mais 63 % affirment que c'est l'équipe des achats qui gère les relations. Je vais donc vous poser cette question. Est-ce que c'est le cas dans votre environnement ? N'est-ce pas ? Si vous faites partie de l'équipe chargée de la sécurité, de la conformité ou des risques liés aux tiers, vous êtes probablement chargé de gérer le processus d'évaluation ou de comprendre, vous savez, quel type d'informations vous devez gérer en ce qui concerne les tiers. Mais c'est en réalité l'équipe chargée des achats qui est en contact quotidien avec eux, ou du moins qui paie les factures. Elle doit donc être tenue informée. Cette dichotomie, cette responsabilité, si elle n'est pas gérée de manière appropriée, si vous ne fournissez pas les informations adéquates à toutes les parties prenantes concernées, peut entraîner des conflits ou, dans le pire des cas, une situation délicate où personne ne gère réellement la relation. Slide suivant, s'il vous plaît, Brian. En fin de compte, ce que nous avons compris après 20 ans d'expérience, c'est que les organisations veulent atteindre trois objectifs avec leurs programmes de gestion des risques liés aux tiers. Le premier est d'obtenir les données dont elles ont besoin pour prendre de meilleures décisions. Nous avons parlé du caractère manuel de ce processus. Nous avons expliqué comment la disparité des sources de données peut empêcher une approche en temps réel ou empêcher d'examiner les risques tout au long du cycle de vie. Deuxièmement, il s'agit d'accroître l'efficacité des équipes et de supprimer les silos. Si votre équipe de sécurité informatique doit effectuer une évaluation pour comprendre la posture de sécurité d'un fournisseur potentiel, l'équipe des achats veut connaître sa santé financière. Peut-il payer ses factures ? A-t-il une bonne cote de crédit ? Peut-être que l'équipe chargée de la conformité ou de la gestion des risques souhaite savoir s'il a des problèmes de réputation. A-t-il fait l'objet d'articles dans la presse ? Y a-t-il des problèmes de qualité des produits dont il faut se préoccuper ? Des choses comme ça. Au final, vous vous retrouvez avec trois publics différents qui souhaitent obtenir des informations sur ce tiers.

Et il est très rare de trouver dans les entreprises, quelle que soit leur taille, la capacité de rassembler toutes ces informations afin d'avoir une vue d'ensemble sur ce tiers, quel que soit le type de risque que vous souhaitez gérer. Euh, et puis troisièmement, faites évoluer et adaptez votre programme au fil du temps. Je veux dire, écoutez, je comprends. C'est un défi, n'est-ce pas ? Vous devez vous préparer à l'arrivée de nouveaux tiers, à la mise hors service, vous savez, des fournisseurs avec lesquels vous ne travaillez plus. Et vous avez besoin d'une certaine souplesse dans vos processus et vos solutions pour pouvoir le faire, et vous savez que les feuilles de calcul et les processus manuels ne suffiront pas. Slide suivant, s'il vous plaît, Brian. Ce que nous cherchons à faire, c'est d'examiner les risques de manière globale dans le cadre d'une relation avec un fournisseur ou un prestataire tiers. Nous reconnaissons que nous voyons des risques à chaque étape de cette relation, depuis le moment où vous décidez de trouver un nouveau fournisseur, de le choisir et de l'intégrer, jusqu'au moment où le contrat expire et où vous ne souhaitez pas le renouveler et où vous voulez vous séparer du fournisseur et mettre fin au contrat et à la relation. Chacune de ces étapes présente des risques uniques, qui concernent plusieurs équipes différentes au sein de l'organisation, qu'il s'agisse ou non d'avoir une bonne connaissance des risques liés à un fournisseur potentiel que vous souhaitez sélectionner. C'est une chose de déterminer si l'offre d'un fournisseur est adaptée à vos besoins, mais est-elle adaptée au profil de risque de votre entreprise ? Les processus RFX traditionnels ne résolvent généralement pas cette question. Deuxièmement, en ce qui concerne l'intégration, nous constatons que le processus contractuel n'est généralement pas très bien intégré à l'analyse des risques ou au processus d'atténuation des risques. Ne serait-il pas formidable de pouvoir unifier la gestion des KPI, des KRI, des SLA et des mesures de performance dans un contrat et de les traiter comme des risques de non-performance ou de non-respect des attentes, ou encore comme des cyber-risques, afin de gérer ce type de choses de manière globale ? Le troisième grand défi que nous voyons est celui de tous les processus manuels nécessaires pour mesurer le risque inhérent.

Vous savez que vous ne savez pas vraiment quelle devrait être la prochaine étape si vous n'avez pas de point de départ pour dire « OK, ces fournisseurs particuliers présentent un profil de risque élevé dans ce domaine ». Nous devons approfondir la question pour déterminer, par exemple, quelles sont leurs politiques en matière de confidentialité des données. Troisièmement, l'évaluation et la correction. Nous avons parlé d'abandonner les feuilles de calcul, les processus manuels et autres, mais je pense qu'un facteur de réussite essentiel dans le processus d'évaluation est de disposer d'une bibliothèque de questionnaires ou de questions qui traitent des risques que les différents services de votre entreprise voudront connaître plus en détail. Comme je l'ai dit, l'équipe financière veut savoir ceci, l'équipe des achats veut savoir cela, l'équipe informatique veut savoir autre chose. Vous savez donc qu'un processus manuel basé sur des feuilles de calcul ou un questionnaire unique ne satisfera généralement personne. La surveillance et la validation constituent en quelque sorte la cinquième étape du processus. C'est là que nous voyons apparaître des silos d'informations. Vous obtenez un cyber-score, un score ESD, une notation financière, une cote de crédit, quelque chose comme ça. Que faites-vous de tout cela ? Si vous êtes chargé de gérer la relation, avec qui partagez-vous ces informations, comment les partagez-vous, sous quel format, quel est leur impact sur la décision- en établissant des SLA et des performances de troisième niveau, nous avons en quelque sorte parlé de l'intégration entre la passation de contrats et la gestion des risques, puis finalement, lors du départ, vous arrivez au point où vous savez qu'il est temps de mettre fin à cette relation. Ce que nous constatons, c'est que de nombreuses organisations n'ont pas de processus d'intégration très prescriptif, centralisé, avec une hiérarchisation des tâches, qui vous permette de dire en toute sécurité : « Bon, nous avons terminé ici et tous ces éléments ont été cochés. Nous pouvons passer à autre chose. » Euh, diapositive suivante, s'il vous plaît, Brian. Vous savez, pour résoudre ce problème, nous combinons trois éléments.

Le premier point, c'est que nous disposons d'une plateforme de gestion des risques tiers qui est exploitée par notre équipe interne de services gérés si vous choisissez cette option. Mais nous nous chargerons de toutes les tâches liées à la gestion des risques tiers en votre nom. Cela comprend l'intégration des fournisseurs, l'évaluation des risques inhérents, la publication d'évaluations, l'analyse, la formulation de recommandations de mesures correctives, l'aide à la rédaction des contrats, etc. Nous couvrons l'ensemble du cycle de vie des risques liés aux tiers. Si vous souhaitez le faire vous-même, c'est également possible, car nous disposons de la plateforme nécessaire pour cela. Le deuxième élément de l'équation est les données. Je veux dire par là que je n'hésiterais pas à comparer notre plateforme à n'importe quelle autre plateforme du secteur. En termes de quantité et de qualité des informations que nous avons importées dans la plateforme, puis que nous vous présentons sous forme de tableaux de bord très intelligents, ainsi que dans des registres de risques centralisés pour aider à valider la présence de certains contrôles, ces données sont importantes pour prendre de bonnes décisions. Et enfin, j'ai mentionné la plateforme, la capacité à héberger l'ensemble du flux de travail, les questionnaires, les risques, les rapports, les cadres de conformité et bien plus encore, dans une plateforme unique pour vous aider à vous savez, réduire le temps et tous les efforts de correction nécessaires pour, euh, réaliser vos évaluations des risques. Slide suivant, s'il vous plaît, Brian. Euh, vous savez, le cœur de la présentation d'aujourd'hui est, vous savez, que nous faisons cela pour un grand nombre de types de risques différents et je viens de mettre six catégories d'entre eux ici sur le slide. Et tous les petits points sont les éléments d'information ou les questionnaires que nous avons dans la plateforme pour vous aider à recueillir ces informations. Bien sûr, il s'agit des risques cybernétiques, opérationnels, financiers, ESG, de réputation et de conformité. Encore une fois, nous centralisons ces informations dans la plateforme afin de vous aider à prendre de bonnes décisions en matière de risques, que ce soit pour décider de faire affaire ou non avec un fournisseur particulier, de continuer à faire affaire avec un fournisseur ou de recommander des mesures correctives afin d'atteindre un niveau de risque résiduel qui vous satisfait et qui correspond au reste de l'entreprise.

Slide suivant, s'il te plaît, Brian. Je pense que c'est tout ce que je voulais partager avec vous aujourd'hui, à savoir comment nous pouvons aider à résoudre le problème des multiples types de risques dans l'environnement et comment nous pouvons rassembler tout cela dans une solution unique, vous aider à effectuer des analyses, à établir des rapports, à mettre en place des mesures correctives afin, au final, d'atténuer ce risque à long terme. C'est tout ce que je voulais partager avec vous aujourd'hui. Je pense, Matt, que nous allons vous redonner la parole et ouvrir la séance aux questions.

Matt: Très bien, merci beaucoup, Scott. Bon, écoutez. C'est le moment idéal pour vous poser toutes vos questions dans la boîte de questions-réponses. Je lance le dernier sondage à l'écran pendant que vous faites cela, afin que nous puissions vous contacter au sujet de tout projet TPRM qui vous intéresse. En gros, souhaitez-vous que Prevalent vous contacte pour discuter de l'amélioration de votre programme TPRM ? Soyez honnêtes, car nous vous contacterons réellement. Je lance donc rapidement ce sondage. Oui. D'accord. Le sondage est lancé et il semble que nous ayons un peu plus de questions que de temps, Brian. Je vais donc vous donner la priorité si vous avez des questions qui vous viennent à l'esprit. Sinon, je me ferai un plaisir d'en choisir une et nous pourrons en discuter. Non. Il semble que vous soyez en mode silencieux.

Brian: Oui, je vais juste vous donner quelques informations sur Matt, si cela vous convient. Nous avons donc des questions concernant les documents dont nous avons besoin pour contrôler les sous-traitants. Donc, pour conclure, vous savez, ce dont nous parlions tout à l'heure, vous devez en fait leur poser les mêmes questions que vous poseriez à votre fournisseur principal, n'est-ce pas ? Donc, s'ils ont accès aux données, vous devez également tout savoir à leur sujet. Leur emplacement, leur modèle de propriété, leurs produits, leurs services, leurs sites, etc. Il s'agit donc d'une extension. Ce n'est pas un supplément. C'est une reproduction de ce que vous demanderiez à votre fournisseur actuel, et vous devez également le transposer à ces personnes. Quelques questions sur l'ESG, vous savez, euh, je ne comprends pas bien la relation entre l'ESG et les défis qu'il pose à votre fonction TPRM. Imaginez simplement que l'un de vos principaux fournisseurs soit impliqué dans l'esclavage des enfants ou dans des violations importantes en matière de santé et de sécurité, etc. Euh, et évidemment, les journaux en ont vent et disent que l'entreprise X utilise le travail des enfants, etc. Ce n'est pas quelque chose que vous souhaitez vraiment associer à votre marque. Ce sont donc là les liens, n'est-ce pas ? Et il faut reconnaître qu'il existe des facteurs réglementaires et juridiques pour s'assurer que cela ne se produise pas. Je pense que vous savez que la plupart des entreprises ont la responsabilité de les intégrer dans leur chaîne d'approvisionnement afin de s'assurer qu'ils ne se produisent pas. Scott, je pense que je m'adressais à vous, Patrick, concernant le transfert du SIG actuel vers l'outil courant.

Scott: Oui. Oui. La question est la suivante : le SIG actuel peut-il être importé dans l'outil courant afin d'identifier les cotes de risque inhérent et résiduel, puis de les comparer à l'appétit pour le risque de l'entreprise ? La réponse est oui. Nous avons déjà importé le SIG 2024 dans la plateforme courante. Vous pouvez ensuite migrer les réponses précédentes de 2023 et avant vers la nouvelle version avant de commencer à évaluer vos fournisseurs à l'aide du SIG 2024 cette année. Cela inclut l'analyse des risques résiduels inhérents, puis le mappage des risques commerciaux et enfin le mappage du cadre de conformité.

Brian: Super. Et puis nous avons une question : quels sont les trois éléments principaux sur lesquels il faut se concentrer pour faire mûrir une organisation TPRM ? Non, je veux dire, n'importe quelle question sur la cybersécurité, n'est-ce pas ? Les personnes, les processus, la technologie. Et j'ai vu que Scott avait une plateforme de données sur les personnes dans sa diapositive 19. Donc, c'est assez similaire, n'est-ce pas ? Nous devons donc nous assurer que vous disposez des bonnes personnes, c'est-à-dire des personnes compétentes qui sont capables de reconnaître les résultats fournis par l'outil et de prendre les mesures appropriées au sein de votre organisation. Vous avez besoin de processus globaux et de bons ensembles de données pour vous assurer d'avoir une bonne vue d'ensemble, puis, comme Scott l'a dit et comme je l'ai répété plusieurs fois au cours de ce webinaire, si vous utilisez actuellement un processus manuel, je pense que c'est un bon point de départ, mais le monde a définitivement évolué. Je pense que vous savez ce qu'un outil comme Prevalent peut faire pour vous et que vous reconnaissez la transformation de votre capacité à gérer les risques pour votre organisation. Il y a une autre question : pourquoi l'unité commerciale qui contacte ou contracte le service n'est-elle pas propriétaire de la relation avec le client ? Je pense que cela dépend de chaque organisation. J'ai certainement travaillé pour des organisations qui n'avaient pas de service d'approvisionnement centralisé et qui possèdent la relation avec l'utilisateur final. Je pense que vous savez qu'il s'agit de mettre en place une collaboration. Je pense que tant que vous avez cette vision unique, c'est vraiment essentiel. Vous ne voulez pas que le service des achats ait une vision de la clientèle et que vous en ayez une autre, car il est évident que vous guidez alors l'entreprise de manière différente. Je pense donc que c'est vraiment essentiel. Scott, voulez-vous répondre à cette question ? Avec Prevalent, pouvons-nous choisir une catégorie spécifique de renseignements sur les risques, par exemple uniquement financière ?

Scott: Oui, tout à fait. Euh, pour répondre brièvement à la question, oui. Si vous souhaitez uniquement surveiller les risques financiers liés aux fournisseurs, vous pouvez tout à fait le faire avec une plateforme courante. Mais la plus grande valeur ajoutée de cette plateforme réside dans sa capacité à examiner les risques de manière globale, à travers différents types de risques provenant de différentes équipes internes de l'entreprise. Il existe donc des outils, comme D&B ou Credit Safe, qui peuvent vous fournir des rapports financiers sur les fournisseurs, mais c'est ce que vous faites avec ces données qui compte. La valeur ajoutée que nous apportons réside dans le fait que nous collectons les données, nous les mettons en correspondance avec les risques potentiels, les signaux d'alerte et les alertes, et nous vous permettons d'agir en conséquence.

Brian: Bien. Et la dernière question, Scott, est également pour vous.

Scott: Oui, oui. La question est la suivante : si j'utilise l'outil pour envoyer le SIG sous forme de questionnaire, mais que mon fournisseur me renvoie le SIG par e-mail, puis-je télécharger ses réponses dans le questionnaire que j'ai envoyé ? La réponse est oui, vous pouvez le faire. Vous pouvez ensuite appeler ce fournisseur et lui passer un savon au téléphone pour avoir fait cela.

Brian: Bien, Matt. On a réussi.

Matt: Très bien. D'accord. Super. Eh bien, merci beaucoup, Brian, et bien sûr, Scott également. Et merci à tous pour toutes vos questions. Donc, si vous souhaitez rester informés sur le TPRM, n'hésitez pas à nous poser vos questions sur LinkedIn. Et enfin, j'espère voir certains d'entre vous dans vos boîtes de réception et peut-être même lors d'un de nos prochains webinaires. Encore merci à tous et prenez soin de vous.

Brian: Merci à tous. À bientôt.

Scott: Prenez soin de vous, tout le monde. Au revoir. Salut.