Les bons KRI et KPI pour mesurer les risques liés aux tiers

Melissa : Bonjour, bienvenue à tous. Voyons voir. Ah, ils arrivent. Ça devrait être intéressant. Bon jeudi à tous. Je suis ravie de vous voir tous vous connecter. Pendant que nous attendons que tout le monde soit connecté et installé, je vais lancer notre premier sondage sur deux. Si vous avez déjà participé à l'un de nos webinaires, vous connaissez la marche à suivre. Nous sommes toujours curieux de savoir ce qui vous amène à participer au webinaire d'aujourd'hui. Est-ce pour des raisons éducatives ? En êtes-vous aux prémices de votre programme de gestion des risques tiers ? Si vous êtes déjà client de Prevalent, faites-le-moi savoir. Je vais laisser ce sondage en ligne pendant que je commence les présentations. Nous avons un invité très spécial aujourd'hui, Brian Littlefare, ancien CISO mondial du groupe Vodafone et d'Aviva. Nous avons également Scott Lang, notre vice-président du marketing produit ici chez Prevalent. Ainsi qu'Amanda et moi-même, et nous sommes Wave, n'est-ce pas ? Euh, nous travaillons dans le développement commercial et c'est généralement nous qui assurons le suivi après ce webinaire. Je suis sûr que nous avons déjà discuté avec certains d'entre vous. Donc, si ce n'est pas moi ou elle, vous entendrez parler de Landon ou de Null. Gardez donc un œil sur eux. Aujourd'hui, Brian va approfondir le sujet intitulé « Les bons indicateurs clés de performance (KPI) et les bons indicateurs clés de risque (KRI) pour mesurer les risques liés aux tiers ». Il vous montrera comment vous pouvez corréler les mesures de performance et de risque pour obtenir des rapports plus informatifs sur le programme TPRM. Comme mon chien aboie, je vous rappelle que nous voulons respecter votre temps. Assurez-vous simplement d'utiliser... Désolée , Amanda, peux-tu prendre le relais et parler du chat ?

Amanda : Oui, bien sûr. Les chiens, vous savez, tout le monde travaille à domicile ces jours-ci. Euh, oui. Nous allons donc vous demander de rester aussi interactifs que possible. Si vous avez une question, veuillez utiliser la section Q&R. Plus précisément, si vous avez une question ou simplement un commentaire, utilisez le chat. Mais nous voulons vraiment organiser et séparer les choses, car je suis sûre que vous avez beaucoup de questions à poser à Brian et Scott. Voilà, c'est tout. La discussion sera enregistrée. Vous la recevrez dans votre boîte mail aujourd'hui ou demain. À vous de jouer, Brian. Nous sommes prêts.

Brian: Great. Cheers, Amanda. Thanks, Melissa. So, yeah, a really important topic today. How we get the right KPIs and KISS and it’s something, you know, strangely enough, I’m quite passionate about and something that I spend a lot of time advising, you know, boards and executive teams because not a lot of us get it right, myself included. Um, you know, it’s a it’s a hard area to to mature, to get the right KPIs and messagings from your security program up to the board, but it is critical to get correct so that we get that right engagement. So, you know, today I’m going to give you my views and I’m hopefully going to leave plenty of time after Scott’s done his section at the end where we can, you know, get into some of your questions and answers and hopefully I can give you the benefit of some of my experience. So, uh, please, as as Amanda said, use the the Q&A aspect so that we can get those questions flowing in. I think, you know, one really interesting dynamic that I observe and I’m asked to speak at a lot at the moment is you know if you look at all the security conferences around the world so whether you’ve got RSA or infosc over in in Europe there’s specific streams that are pulling uh some fairly big CISOs and leadership teams in security organizations into into focus groups and the topic it might have a different title but it’s focusing on how does the CISO communicate with the board uh and the word chasm is is often used because there’s a gap there’s a there’s a misunderstanding or a miscommunication or the CESU isn’t getting through to the board with the right level of information. So, the board are ultimately disengaging. I just find it’s really interesting that, you know, these discussion groups are happening. If they’re happening, it’s it says there’s a problem because obviously the industry’s kind of picked up on that and how do we resolve that and how do we take it forward? And a lot of that comes down to to the KPIs, how we present, you know, the effectiveness or uneffectiveness of our security programs up to our senior management for intervention for support for backing all of those aspects. So it’s a really key important aspect that we get right. So I think you know it’s not just large enterprises facing this problem. So not all of you on the call will you know have a an expansive global board and leadership teams around the world etc. But it still is important because all of us are on a security journey. No one in security is ever finished. It’s the job for life. You never actually get to tick that box at the end and say well security is done. We can move on. There’s, you know, constant challenges that arise. So, it’s relevant for all of us understanding, you know, how do we capture where we are on that maturity journey and and reach out for that help and support from from upper management. I think the one thing I see and I’ll try and highlight it later on is when security leaders are communicating upwards in the chain around third party risk but but equally more holistic around the security program, they forget the language of the board which is risk and finance. And all too often we’re talking, you know, what a board member would call technical mumbo jumbo, right? They’re they’re very clever people. Uh they certainly shouldn’t be put down because they don’t understand the nuances of security technology. Uh they wouldn’t be on the board if they if they couldn’t add value, but it’s up for us to translate our security technical lingo, if you like, into the language of the board, which is purely centered around risk and finance. So, we can’t go in there with raw security events, firewall logs, and all of those aspects. they’re rapidly lost when they’re not you’re not talking to a technical audience. So, we need to recognize that and you know I’ve coined the phrase meaningful metrics uh because they have to be meaningful to the recipient. They have to understand what you’re trying to tell them. They almost have to jump off the page in terms of clarity and conciseness and you know a lot I see aren’t there and hopefully we can have a good conversation today about how we mature from where everyone is today and and how we kind of get to where we need to be at the end goal. Sorry. So, you know, third party risk management, I’ve run security for numerous organizations, some very big and and some not so big. Uh, so I’ve got a, you know, very good exposure to third party risk. I’ve always managed it when I’ve been a CISA. Um, and certainly if you listen to, you know, the government organizations around the world, so whether it’s NSA in in the US or the NCSC in the UK and the various other bodies around the planet, Everyone is sending out the advice and guidance that it’s not sufficient just to secure your organization. We all have a distributed risk in terms of managing the risk that presents itself from our supply chain. We will all have different levels of suppliers from people that supply ingredients into the kitchens for our staff all the way through to people and organizations that manage our data centers when we outsource them uh to them. So there’s a different complexity in that risk model and in that picture. But we need to get better at, you know, understanding what that risk is and how can that mis risk materialize because we need to know that because we need to mitigate it and if we don’t know about it then it’s really hard for us to actually mitigate it going forward. But many organizations uh and thankfully this is starting to change but certainly when I started in security uh probably 20 25 years ago uh platforms like prevalent weren’t around so we had to do our third party risk on on Excel spreadsheets and similar database processes. But now platforms like Prevalent are around, we really shouldn’t be using Microsoft Excel. And and I apologize in advance if you are a Microsoft Excel user because I’m going to give it a bit of a bashing today because u you know Excel has its its place within an organization, but it it it’s not on managing third party risk and and I’ll get on to that in a few slides. We need to get, you know, our interaction with our customers and suppliers in near real time as possible. uh an Excel won’t allow you to do that. Um we can’t be in a world where we’re gauging risk in a in an annual cycle where we’re sending out questionnaires. Uh uh third party suppliers are filling in those questionnaires. They come back into our analyst teams who are massively overstretched. Uh and then obviously they have to diagnose those results and try and produce a risk position. But as soon as that’s done, it’s out of date. As soon as you get that, you know, questionnaire back, it’s it’s practically useless because we all think about our own organizations, how much management changes, how much strategy changes, how we release new products and services, new policies and procedures that are released internally. That’s exactly the same in in the supplier world. And if you’re just capturing that and analyzing that annually, then you know thousands of changes are going to happen and occur between those cycles and you’re just not going to know about it. So you might think that a supplier is pretty unrisky, but actually they’ve, you know, launched on a new venture or a new product But that actually really increases their risk profile. So it’s about focusing on getting that risk trigger about focusing on getting that information from your suppliers as near real time as as possible. And I think you know moving away from the Excel way of the world into platforms like Prevenant is hopefully why you’re all on the call today to understand how you can achieve that if you’re not already on that journey.

Brian: Sorry, wrong way. So three of the common challenges that you know, I think organizations face and hopefully some of you might resonate with this and again feel free to put any questions in the chat and we’ll get into that later on. But I’ve coined this really the the art quadrant. Uh what I see are challenges in third party risk management around the approach, the tooling that’s being used and the resource that’s within the team. So let’s I’m going to run through these and and they all have a slide each but you know that art quadrant if you if you don’t have the right strategy in place, if you haven’t adopted the right tooling and you’re not optimizing your resource and I use optimizing you know why ask for more people when when ultimately you haven’t optimized your tooling. So if you have those three things then it’s almost the perfect storm and you’re going to have a challenge around doing third party risk management correctly uh or being able to advise the business in the right way. So if you if you’re in the art quadrant your priority today is is how do I get out of that and and hopefully we can help give you some answers to that as well. So if we look at the approach, you know, the third party risk management needs to have a strategic approach and and what I mean by that is it has to be designed to assess, evaluate, capture and ultimately treat risk. It can’t be just to run an annual cycle that sends an auditor out to a tier one supplier and sends a questionnaire out to a tier three. The results are assessed. You know, just because you’re running that cycle doesn’t mean to say you’re doing third party risk management. The who is in the M. You’re managing that risk. You’re effectively capturing it. You’re understanding the potential impact on your parent organization. You’re advising the business about that risk. You’re putting in treatment plans. You’re having the dialogue with with the supplier and you’re mitigating or accepting those risks, but you have that informed position. That is, you know, the risk management aspect of of the third party program. It absolutely, you know, needs alignment with the the broader business. But it shouldn’t be driven by the business and and what I mean by that is you are the expertise in this space. You are the expertise in in risk. You are the expertise in security. So it needs to be you know the accountable person whether you’re in procurement or whether you’re in the security function. It doesn’t make much difference. But whoever’s owning and running this process needs to have that pure direction around we’re here to tackle risk. If the business is you know trying to dictate how it happens and you know which which supply buyers get which attention. They need to have that security background. They need to have that risk background to actually understand what the potential impacts on that will be. So you can’t just be purely driven by the business because it won’t lower your risk profile. So let’s look at resources. So when I look around organizations, I think that the third party risk uh uh risk management teams are, you know, often heavily underresourced. But then I start to ask the question, you know, Have you optimized the the resource? If you’re trying to run, you know, three and a half, four and a half thousand suppliers around the globe in 60 70 countries using an Excel-based process, that’s never going to work. It doesn’t matter how many people you throw at it. It doesn’t matter if you spin up a captive in India and put 100 people on it and things like that. It’s just not going to work. Um, so rather than just thinking we haven’t got enough people, we need more people. You need to step back from the problem and say this process isn’t working. Are in the our quadrant. So rather than just looking at resource, what can we do around the technology, what can we do around the process and how do we actually optimize the resource that is needed to run an effective third party risk management program. So I personally have ran um obviously I’m on this presentation because I’ve used preent extensively in my past but I’ve personally ran you know global multinational organizations with four and a half thousand suppliers with a team of six people. U so it absolutely can be achieved if you’ve optimized the process, the technology and you know the data flows that are coming in and out of the team. But you know it is focusing down on how do you support those people bestly you know you need the right resource they need right skill uh they need to be focused in you know tiering the the the companies that are within there effectively so they know who to spend the most time with um and equally they need to know the the global ramifications of those suppliers and I’ll get on to that a little bit later on so Optimization is the key thing about resource. Don’t just throw people at the problem. It’s it’s not going to fix it. And then if we look at the the sorry you keep going the wrong way. And if you look at the uh the tooling aspect so so we talked earlier on around innovation in this space and there’s a lot of innovation in this space because you know governments and organizations are recognizing that they can’t just secure the mothership. They have to effectively secure everything that is interconnected with that mothership. And you know We’ve talked around different suppliers, different criticalities to the organizations. Some might have, you know, physical connectivity into your networks. Some might have staff members on their sites that have virtual logical access into your networks. And we need to understand what that looks like. And that’s a very complex picture. You know, building all of those nuances together and then actually understanding the the global aspect of that. So, for example, if you are working for a large organization, you might have a supplier in one country that is fairly insignificant but actually in another one of your countries they’re major. So you have to actually understand the global ramifications of of your suppliers as well. So we need to we need to mature we need to move up that maturity scale recognizing that if we are looking at what you do today and you would view it as a manual process in terms of manually sending out questionnaires relying on individual analysts to actually interpret those results and you know they’re very skilled people and I’m not doing them a disservice. But the challenge is if you give a questionnaire to analyst A and give a questionnaire to analyst B, you’re going to get two answers coming back. Um, so use the analysts to actually interpret the results that the modern tools are giving you. That’s where, you know, the best use of their skill is. It’s like if we look at a security operation center, we wouldn’t put our level one, two, and three sock analysts on looking at the raw data flowing into the sock. We rely on the scene technology to do the analysis. and we present them with the issues that we think need investigation and that’s the innovation that’s happened in this space. Let the tools like prevalent absorb all the information analyze where the key risks are that you can set the parameters on and then give that information to the analyst. That’s where they can have maximum traction and you know use their skill set to to best effect.

Brian : Passons maintenant aux indicateurs clés de performance (KPI) et aux indicateurs clés de résultat (KRIS). Je voudrais juste préciser ce que j'entends par KPI et KIS. C'est en fin de compte ce dont je parle. Nous utilisons les KPI pour mesurer la performance. Tout est dans le nom, n'est-ce pas ? Indicateur clé de performance. Est-ce que quelque chose fonctionne comme prévu ? Est-ce que la conception est efficace ? Est-ce que la conception est la bonne ? Est-ce que le fonctionnement est efficace ? Est-ce que nous l'utilisons correctement et obtenons les bons flux de données ? C'est ce que nous recherchons du point de vue des KPI. Les KRI sont complètement différents. À quel niveau de risque sommes-nous exposés ? Il y a le risque brut et le risque net. Vous savez, nous avons une base de référence en matière de risque. Nous y appliquons des traitements et nous obtenons évidemment le risque net qui en résulte. C'est donc la base de référence. C'est ce dont nous allons parler à l'avenir. Des mesures significatives. Il s'agit en fait d'un tableau de bord d'un client qui utilisait Excel. Certes, c'était il y a quelques années, mais je vois encore aujourd'hui des choses comme ça circuler. Comme vous pouvez le voir, cela a été présenté à un membre du conseil d'administration. Il n'y avait aucune analyse des données. Il n'y avait aucune documentation à l'appui. Il s'agissait simplement d'une feuille de calcul Excel montrant nos fournisseurs à gauche. Je pense qu'il y a environ 40 lignes. Voici nos contrôles de sécurité de l'information en haut. Et voici les performances d'un fournisseur par rapport à ces contrôles de sécurité. Vous pouvez donc voir qu'il y a deux nuances de jaune, deux nuances de vert et deux nuances de rouge. Et vous savez, je mets au défi quiconque de regarder cette matrice pour comprendre où se trouvent les principaux domaines problématiques. Je pense que si vous regardez les contrôles de sécurité de l'information aux trois quarts du tableau, vous verrez qu'il y a pas mal de fournisseurs qui obtiennent une note rouge. Et, d'après mon expérience, je dirais probablement que cela concerne la sécurité physique, car tous les petits fournisseurs ne disposent pas de caméras de vidéosurveillance, de clôtures périphériques, etc. que vous pourriez avoir dans vos contrôles de sécurité. Mais quoi qu'il en soit, c'est complexe, c'est chargé, c'est statique, car ces contrôles sont évalués une fois par an.

Brian : Ensuite, il y a le dialogue avec le fournisseur : « Vous avez échoué à ce contrôle, pouvez-vous mettre en place cette mesure corrective ? », mais la situation reste globalement inchangée pendant des mois et des mois. Ainsi, lorsque vous présentez un rapport mensuel au conseil d'administration, les membres du conseil se disent : « Eh bien, cela n'a pas changé. Quel est l'intérêt de venir aujourd'hui pour présenter quelque chose qui ne changera pas avant 12 mois ? Nous l'avons vu le mois dernier. Et vous ne pouvez pas approfondir les problèmes. Vous savez, cela dépend du présentateur qui doit connaître le problème ou le défi qui se cache derrière chacun de ces carrés, car si un membre du conseil d'administration se concentre sur un fournisseur et le contrôle et demande quelle est la situation avec celui-ci, vous devez être capable d'en parler avec éloquence plutôt que de cliquer dessus et de le visualiser, mais évidemment, celapas nécessairement être ainsi. Des outils comme Prevalent, qui est le tableau de bord à droite, peuvent être utilisés, comme je le faisais pour la communication avec le conseil d'administration. Ainsi, vous n'utilisez pas PowerPoint, mais un site web en direct avec des données en temps réel qui affichent les tableaux de bord et vous permettent d'approfondir et de dire : « Voici les risques actuels que nous gérons au sein de la chaîne d'approvisionnement. Voici les domaines sur lesquels nous pensons devoir nous concentrer et apporter notre soutien. Voici les domaines dans lesquels nous pensons avoir des défis à relever. Discutons rapidement de ce que nous allons faire à ce sujet. Approfondissons l'analyse des données. Tout le monde est informé. Tout le monde est satisfait. Allons de l'avant. » Vous comprenez donc pourquoi je critique un peu Microsoft Excel. Je m'excuse auprès de ceux qui l'utilisent aujourd'hui, mais vous savez, j'ai dû l'utiliser dans le passé, comme je l'ai dit, mais lorsque vous mettez en place une plateforme comme Prevalent dans votre organisation, cela change vraiment la donne. Cela vous permet vraiment d'être plus efficace en tant que responsable de la sécurité, ce qui, en fin de compte, est, je pense, ce que vous souhaitez tous pouvoir faire. Alors, quelles sont les meilleures pratiques en matière de mesures, à mon avis ? N'oubliez pas qu'il ne s'agit que de mon opinion et n'hésitez pas à la contester. Vous savez, j'aime toujours les bons débats, mais vous savez, que devrions-nous mesurer ? Je les ai largement classées en quatre catégories. Et donc, le risque, nous le couvrons assez bien, vous savez.

Brian : Je pense qu'il est assez évident que nous devons évaluer notre chaîne d'approvisionnement du point de vue des risques. Un autre avantage de Prevalent concerne les menaces. Vous ne pouvez pas analyser les menaces à l'aide d'un tableur Excel. Il est important de pouvoir visualiser les menaces potentielles auxquelles vos fournisseurs sont confrontés. Obtenir ces informations sur les menaces, open source, ce que nous appelons les données OINT, qui circulent dans l'empreinte de vos fournisseurs, vous permet de mieux les comprendre et de les mettre au défi, n'est-ce pas ? Donc, si un fournisseur vous renvoie des données qui ne correspondent pas à ses informations sur les menaces, par exemple s'il corrige son périmètre chaque semaine, mais que vous constatez des vulnérabilités sur son périmètre pendant deux mois, cela vous permet d'avoir une conversation éclairée sur la réalité. De même, les menaces ne concernent pas toujours le cyberespace et les risques ne concernent pas toujours le cyberespace. La sécurité est plus holistique que cela. Nous allons donc englober la continuité des activités. Nous allons englober la reprise après sinistre. Nous allons regrouper tous ces éléments dans un tableau de bord unique qui vous permettra de comprendre ce qui se passerait si ce fournisseur n'était plus là. Pensez aux organisations du monde entier qui ont dû retirer la Russie de l'équation. Pensez aux organisations du monde entier qui observent la Chine et examinent ce qu'elle pourrait faire sur le plan militaire avec Taïwan, et qui comprennent ce qui se passerait si la Chine disparaissait et que nous ne pouvions plus compter sur elle comme fournisseur, comme maillon de notre chaîne d'approvisionnement, comme partenaire de développement et comme contributeur à la création de notre code. Tous ces aspects, modéliser ce qui se passerait sur votre chaîne d'approvisionnement, tous ces aspects deviennent beaucoup plus faciles à réaliser lorsque vous utilisez un outil comme celui-ci. La conformité devient également beaucoup plus facile. Je vais également approfondir ces points. Ne vous inquiétez pas, je passe simplement les titres.

Brian : La conformité devient donc beaucoup plus facile, car plutôt que d'avoir à auditer un fournisseur pour vérifier sa conformité à telle ou telle norme (PCI, Sarbain, Oxley, California Act, etc.), vous pouvez codifier ces exigences en cochant une case et en indiquant que ce fournisseur est conforme à notre organisation. Vous pouvez donc les évaluer par rapport à cela. C'est vraiment très utile pour obtenir ces attestations que vous pouvez présenter à un auditeur et lui dire : « Nous les avons examinées, voici notre avis et voici ce que d'autres entreprises pensent de leur conformité, ce qui est tout aussi utile. Et puis, il y a la couverture. Je constate régulièrement que les organisations mettent en œuvre un programme de gestion des risques liés aux tiers, mais qu'elles ne bénéficient pas d'une couverture complète.connaissent pas tous leurs fournisseurs et le cloud computing n'aide pas ici dans la mesure où il permet de lancer un service avec une carte de crédit. Le shadow IT est également un problème, car l'entreprise contourne en quelque sorte les processus normaux du directeur informatique et du directeur technique et met en place des environnements techniques avec de nouveaux fournisseurs de son propre chef, mais c'est notre travail d'aller au-delà de cela, de saisir cette information et de nous assurer que nous avons une bonne vue d'ensemble, afin d'évaluer tous les fournisseurs dans ce mélange. C'est un défi. Je l'ai fait moi-même à plusieurs reprises et c'est le plus gros problème, pour être honnête. Voyons donc quels sont certains des indicateurs clés de performance (KPI) que j'évaluerais d'un point de vue des risques, ainsi que certains des indicateurs clés de résultat (KRIS). Nous avons parlé de la couverture, mais je pense que c'est le plus important.

Brian : Personne ne veut être pris au dépourvu par un fournisseur dont vous ne connaissiez pas l'existence, qui a eu un problème et qui a eu un impact sur l'entreprise, et qui est apparu sur CNN ou dans les actualités, selon l'endroit où vous vous trouvez dans le monde, et dont vous ne saviez rien, vous n'avezn'avez pas effectué d'évaluation et cela a un impact sur l'entreprise. Il est donc absolument essentiel d'obtenir cette couverture, et pour cela, vous devez vous adresser au service des achats et insister pour que rien ne passe par le processus d'achat sans que votre processus de diligence raisonnable ait été mené à bien. Et vous savez, le troisième point là-bas, le potentiel des fournisseurs qui ont terminé l'évaluation d'intégration, s'il y a des flux de trésorerie provenant de l'organisation A, c'est-à-dire de vous vers un fournisseur, et que cette évaluation n'est pas terminée, alors vous avez un problème ou vous risquez d'avoir un problème. Vous ne voulez pas alimenter la peur, l'incertitude et le doute, mais pour concevoir un processus qui vous mènera au succès, cela doit être fait à 100 %. Vous devez vous assurer que vous vous impliquez dans le processus le plus tôt possible afin de pouvoir effectuer votre évaluation. Mais encore une fois, je vais m'étendre sur ce sujet. L'avantage d'utiliser un outil comme Prevalent est que si l'entreprise vient vous voir et vous dit : « Bonjour, Monsieur le Ministre et Madame la CISO, nous avons besoin de vous pour intégrer ce nouveau fournisseur. Il est essentiel pour nous. Nous lançons un nouveau produit, etc. Nous devons le comprendre très rapidement. Dans l'ancien monde, avec Excel et les questionnaires, cela n'aurait pas été possible. Cela prend du temps, car vous ne trouverez que ce que vous savez déjà à son sujet sur Google, n'est-ce pas ? Vous ne connaissez donc pas ce fournisseur. Vous ne savez absolument rien à son sujet.

Brian : Lorsque vous vous inscrivez sur Prevalent, il y a de fortes chances qu'une autre personne dans le monde ait déjà fait appel à ce fournisseur et soit inscrite sur la plateforme Prevalent. De même, Prevalent contacte proactivement les fournisseurs et leur dit : « Venez sur notre plateforme, remplissez vos questionnaires ici », et bien sûr, les nouveaux fournisseurs ont accès à ces informations, donc vousbénéficiez de cette gestion collective des risques, vous bénéficiez de ce que d'autres organisations ont demandé à ce fournisseur et vous pouvez accéder à ces informations. Vous n'êtes donc pas face à une feuille Excel vierge, vous pouvez commencer à voir que 90 à 95 % des questions que vous allez leur poser de toute façon se trouvent sur la plateforme, ce qui vous permet de vous lancer immédiatement et d'aller de l'avant. Mais je pense que, d'un point de vue des indicateurs clés de performance, ce sont les quelques éléments que je retiendrais. Cependant, la seule chose que vous devez mesurer et qui nuit vraiment à la réputation en matière de sécurité, c'est le fait de devenir un obstacle. Vous avez probablement déjà entendu cela auparavant. Nous ne voulons pas nous occuper de la sécurité. Ils nous ralentissent ou les services d'approvisionnement disent qu'ils ne veulent pas travailler avec nous sur ce processus parce qu'il est trop lent. Il faut donc vraiment suivre le temps nécessaire à ce processus pour passer par votre organisation de sécurité et, encore une fois, examiner ce qui peut être optimisé. Je pense que nous sommes en train de passer par beaucoup de choses de ce genre, et si nous regardons les KRIS, vous savez que je regarde toujours les indicateurs retardés et les indicateurs avancés, donc le retard est ce quis'est produit dans le passé, tandis que les indicateurs avancés permettent en quelque sorte de se projeter dans l'avenir. Nous devons constamment garder un œil sur ces indicateurs et nous concentrer sur eux. Nous voulons toujours examiner les incidents, savoir qui, dans notre chaîne d'approvisionnement, nous a causé des problèmes et des défis, et vous savez que cela n'a rien à voir avec la cybersécurité. Le canal d'égouts était bloqué. Vous savez, vous aviez peut-être des expéditions sur l'un de ces bateaux qui n'ont pas pu passer. C'est un problème de chaîne d'approvisionnement. Ce n'est pas un problème cybernétique, mais un problème de chaîne d'approvisionnement. Et vous devez toujours comprendre si ce risque peut être atténué. Et, vous savez, pouvez-vous y réfléchir à l'avance avant que cela ne se produise réellement ?

Brian : Et des éléments tels que le nombre de fournisseurs qui présentent un risque élevé continu après leur intégration réussie. Ainsi, même si vous avez suivi le processus, ils présentent toujours un risque élevé, qu'il soit géopolitique ou lié aux produits qu'ils fabriquent. Cela pourrait nuire à votre réputation ou avoir un impact sur votre chaîne d'approvisionnement, mais vous devez tout de même continuer à travailler avec eux. Vous n'avez pas d'autre choix ou vous savez que c'est le choix de l'entreprise. Vous allez donc les surveiller de très près. Vous les placerez dans le niveau 1 et vous voudrez continuer ainsi. Il s'agit donc vraiment de concentrer votre attention sur les risques. Votre attention sur les risques doit être comme une loupe qui vous permet d'examiner en détail ce dont il s'agit, n'est-ce pas ? Ensuite, examinez les menaces. Les menaces sont donc essentielles. Si vous ne vous occupez pas des menaces dans le cadre de votre programme de gestion des risques liés aux tiers pour le moment, vous devez absolument comprendre comment vous pouvez intégrer cela. Évidemment, cela fait partie de cette plateforme. Mais de la même manière, si vous ne le faites pas, vous devez le faire. Et cela consiste vraiment à examiner le nombre de fournisseurs pour lesquels vous pouvez obtenir des informations sur les menaces. La plupart des fournisseurs de la plateforme courante seront déjà préremplis avec des informations sur les menaces. Mais cela dépend vraiment de vos programmes de conformité et des informations que vous pouvez réellement obtenir à leur sujet, car vous savez, au-delà du risque, qui est en fait quelque chose qui peut arriver. Une menace est quelque chose qui s'est déjà produit ou qui est sur le point de se produire, et vous en recevez des indications précoces. Il est donc très utile de faire circuler ces informations sur les menaces au sein de votre organisation. Il faut donc vraiment analyser cela en profondeur, en le considérant sous l'angle de la conformité, mais aussi sous l'angle des niveaux. Si vous êtes confronté à une menace élevée, c'est-à-dire à quelque chose qui pourrait se produire à court terme dans votre base d'approvisionnement de niveau 1, vous savez alors que cela va poser problème et vous devez déterminer comment vous allez atténuer ce problème à l'avenir. Encore une fois, cela est vraiment utile si le risque est la loupe, alors la menace est le microscope.

Brian : Cela vous permet de comprendre ce qui se passe réellement en temps quasi réel et cela peut avoir un impact assez significatif sur votre entreprise, n'est-ce pas ? Et puis, si l'on considère la conformité, celle-ci ne va faire que s'accroître. Et si l'on regarde les régulateurs du monde entier qui commencent à harmoniser leurs programmes de conformité, car vous savez, lorsque vous dirigez une grande multinationale, cela peut être très complexe en raison des différences entre les programmes de conformité à travers le monde, ils commencent donc à s'harmoniser. Je pense que vous savez que lorsque l'on examine les données,environ 63 exigences différentes à travers le monde qui concernent uniquement les données. En Europe, nous avons le RGPD, aux États-Unis, vous avez la loi californienne, le Canada a sa propre loi, l'Afrique du Sud a la sienne, etc. Et ceux qui n'en ont pas encore sont en train de les élaborer, mais nous commençons à voir des points communs dans cette approche. Mais la conformité ne va pas disparaître, surtout si vous travaillez dans un secteur réglementé. Et la raison pour laquelle elle existe, c'est parce que, de toute évidence, les régulateurs observent les personnes qui travaillent dans leur secteur et ne voient pas les comportements qu'ils souhaitent observer. Ils imposent donc cette conformité par le biais de la réglementation. Vous ferez ceci. Voici comment nous voulons que vous abordiez la question. Et ils deviennent très prescriptifs à cet égard. Auparavant, la conformité était un véritable défi à relever. Vous savez, dans un monde manuel, c'était très difficile Il fallait non seulement les évaluer par rapport à votre propre politique de sécurité, mais aussi par rapport à tous ces différents régimes de conformité. Mais honnêtement, cela peut se faire en un clic. Je ne veux pas simplifier à l'extrême, car il faut bien concevoir la plateforme et comprendre qui est concerné et qui ne l'est pas. Mais c'est vraiment un changement radical en termes de rythme et de capacité à faire tout ça le plus vite possible. Du coup, la conformité devient un jeu d'enfant. Et puis, il n'y a pas de couverture non plus. Absolument. C'est vraiment très important. On doit s'assurer qu'on a bien couvert ça. Je ne le soulignerai jamais assez.

Brian : J'ai constaté que cela posait un réel problème, en particulier pour les grandes organisations, lorsqu'elles segmentaient leur programme de gestion des risques tiers pays par pays. Elles ne comprennent tout simplement pas l'importance que peut avoir un fournisseur pour leur organisation. Et de la même manière, elles sont divisées et conquises par le fournisseur. Un fournisseur ne va pas vous dire de manière proactive qu'il fournit une grande multinationale dans tous ses différents pays avec des prix et des contrats différents, etc. Il incombe donc vraiment au service des achats de s'appuyer sur le programme de gestion des risques liés aux tiers pour comprendre l'impact potentiel de cette situation à l'avenir. Et encore une fois, assurez-vous qu'il n'y ait aucun flux d'argent entre l'entreprise A et l'entreprise B tant que cela n'est pas fait. Et bien sûr, suivez également ce délai pour vous assurer que vous comprenez bien si vous êtes un frein, car vous savez que votre processus n'est peut-être pas optimisé, que vous ne disposez pas des bons outils et qu'il peut être très difficile de faire passer un fournisseur par ce programme. Si c'est le cas, soyez proactif en identifiant ces difficultés et en les résolvant, puis assurez-vous bien sûr quedisposez des KRIS autour de vous, en vous concentrant sur les niveaux 1, 2, etc., ceux avec lesquels vous voulez vraiment passer du temps, et que vous comprenez vraiment leur couverture au sein de votre organisation, puis en y appliquant différentes perspectives pour différents publics, ce qui est vraiment important. Un outil comme Prevalent vous permet à nouveau de le faire, en reconnaissant que lorsque j'étais CESO d'une organisation, jene pense pas avoir été un maniaque du contrôle, mais je voulais beaucoup plus d'informations que celles que je montrais au conseil d'administration. Je voulais une perspective qui me permette de plonger dans les détails techniques que je pouvais assigner à mon équipe technique afin d'obtenir une compréhension plus approfondie. Il y a donc une perspective différente que je veux voir en tant que responsable de la sécurité et que vous voudrez également voir en tant que responsable de la sécurité.

Brian : Et puis, être capable de modéliser des situations hypothétiques. Et si nous faisions cela ? Et si nous ne faisions pas cela ? Et si quelqu'un d'autre faisait cela et pas nous ? Être capable de modéliser des scénarios, d'accéder à ces informations sur les menaces et de comprendre ce qui se passerait si cela arrivait à ce fournisseur. Quel était notre plan de secours ? Avions-nous un fournisseur B dans ce domaine ? Et vous savez, un exemple important dans ce domaine à l'heure actuelle est celui des puces en silicium. Il y a une énorme pénurie mondiale de puces en silicium et les organisations qui, comme vous le savez, se concentraient spécifiquement sur le fournisseur A et n'avaient pas de plan de secours en place lorsqu'elles ont rencontré des problèmes pour commencer immédiatement à s'approvisionner auprès du fournisseur B ont raté le coche, car celles qui l'avaient fait avaient déjà obtenu les puces du fournisseur B. Elles étaient donc également hors jeu. Il s'agit donc vraiment de réfléchir, pas seulement d'un point de vue cybernétique, c'est ce que je répète sans cesse, la cybersécurité est absolument essentielle. Et bien sûr, c'est mon expérience et mon parcours, mais nous parlons ici du risque lié à la chaîne d'approvisionnement, et vous savez que cela va au-delà de la cybersécurité et de la sécurité de l'information. Le RSSI a donc besoin d'une perspective. L'entreprise a également besoin d'une perspective. Nous pouvons débattre de cette question, mais mon opinion personnelle est que le RSSI ne devrait assumer aucun risque en matière de remédiation. Nous avons des chefs d'entreprise, ou vous devriez avoir des chefs d'entreprise, qui sont responsables de la gestion de ces partenaires au sein de votre entreprise. Ainsi, les partenaires, les tiers externes, n'entrent pas en relation commerciale avec le CISA. Ils entrent en relation commerciale avec une unité commerciale ou une division au sein de votre organisation, et c'est à eux qu'il incombe de gérer cette organisation et ce fournisseur à l'avenir. Votre travail consiste à leur fournir les informations nécessaires pour ce faire. Permettez-leur donc de hiérarchiser les priorités et d'entrer dans les détails : « Nous avons un problème avec ce fournisseur » ou « Vous voulez faire appel à ce fournisseur, mais cela pose également un problème ». Nous préférons largement que vous utilisiez cette approche. Mais vous pouvez présenter les informations et les faits, et leur donner les moyens de mener à bien ce plan de résolution à l'avenir.

Brian : Encore une fois, plutôt que d'utiliser le tableur Excel très complexe que je vous ai montré, un outil tel que Prevalent vous permettra simplement d'attribuer cette tâche à différents utilisateurs. Ainsi, vous n'êtes pas responsable du risque, ce sont eux qui en sont responsables, mais vous suivez les mesures correctives mises en place. Vous pouvez également recevoir des alertes en cas de problèmes ou de difficultés. Encore une fois, cet outil est très puissant de ce point de vue. Et puis, vous avez le conseil d'administration. J'utilise ici les termes « conseil d'administration » et « équipe de direction » de manière interchangeable, mais ce qu'ils recherchent, c'est une vue d'ensemble, une image très générale. Quelle est l'image consolidée du risque ? Donnez-moi l'argumentaire éclair, la vue d'ensemble à 30 000 pieds d'altitude. Mais je veux pouvoir approfondir. Si vous me dites qu'il y a un problème, je veux pouvoir accéder à ces données, car ils sont personnellement et individuellement responsables dans de nombreux secteurs de la gestion efficace des risques. Et si vous vous présentez devant ce conseil d'administration et qu'il y a un problème ou un défi potentiel. Vous devez leur fournir les informations, mais ils ne peuvent pas parcourir des pages et des pages de données, ils ont besoin que celles-ci leur soient présentées sur un plateau. L'analyse doit être effectuée en leur nom. Et ce que vous devez simplement être capable de faire, c'est dire : « Je pense que nous avons un problème. J'ai besoin de votre soutien. » Et si vous utilisez évidemment le langage universel des conseils d'administration en matière de risques et de finances, vous attirerez évidemment l'attention des membres du conseil et obtiendrez leur soutien. C'est également très important. Alors pourquoi est-ce que je préconise des indicateurs et des KPI significatifs dans ce domaine ? Pour résumer l'intervention de Scott avant de lui passer la parole, car je vois que beaucoup de questions se posent, ce processus existe pour une raison et nous devons nous rappeler que je vois beaucoup de gens passer par ce cycle, mais que la réduction des risques ne se produit pas. Le processus est donc en cours, mais le risque ne diminue pas. Nous devons donc absolument nous concentrer sur le fait qu'il est là pour réduire les risques et les gérer efficacement à l'avenir. Et il est tout à fait acceptable d'accepter les risques. Je vois des organisations accepter des risques tout le temps.

Brian : Vous savez, je pourrais vous donner de nombreux exemples. J'ai travaillé pour une grande entreprise qui avait investi massivement dans des imprimantes. Ces imprimantes étaient aussi grandes qu'un entrepôt, mais pour remplacer la console de gestion qui fonctionnait sous Windows XP Service Pack 2, dont nous connaissons tous les vulnérabilités, il n'y avait pas d'autre solution que de dépenser 10 millions pour acheter une nouvelle imprimante, alors que l'ancienne fonctionnait parfaitement. Il n'y avait pas d'autre solution que de dépenser 10 millions pour une nouvelle imprimante, mais celle-ci fonctionnait parfaitement bien. Le programme de gestion des risques tiers pourrait dire : « Nous devons remplacer l'imprimante. » L'entreprise répondrait : « Je ne vais pas dépenser 10 millions pour une nouvelle imprimante. Trouvez une autre solution. » Nous n'allons donc pas accepter le risque dans son intégralité. Nous allons mettre en place un plan d'action. Nous allons réduire le risque en mettant en place des mesures de sécurité. Mais nous avons mis le problème au jour. Nous avons eu une conversation éclairée. Nous comprenons désormais le risque et nous arrivons à un point où il est plus gérable et où nous pouvons le comprendre. C'est le processus que nous devons mettre en place à l'avenir. La manière dont vous signalez ce risque à l'entreprise est également essentielle. Je constate que de nombreux acteurs de l'entreprise sont éloignés de ce processus, car ils n'en voient pas la valeur. Il est important de rester en contact avec ces acteurs, les responsables des différents domaines au sein de votre entreprise, et de comprendre si cela apporte une valeur ajoutée. Obtenez-vous ce dont vous avez besoin grâce à ce processus ? Car mon objectif est de réduire les risques et j'ai besoin de travailler avec vous pour y parvenir efficacement. Alors, atteignons-nous notre but ? Obtenez-vous ce dont vous avez besoin ? De quoi d'autre avez-vous besoin ? Vous devez également vous adapter à ces exigences et les prendre vraiment en compte. Ne restez donc pas dans votre tour d'ivoire sécurisée. Abattez ces murs, engagez-vous auprès de l'entreprise et assurez-vous de fournir un service de qualité, car si vous ne le faites pas, ils iront simplement chercher ces informations ailleurs. Et en tant que responsable de la sécurité, vous ne voulez pas cela.

Brian : Si vous repensez à mon exemple de feuille de calcul Excel et que vous vous dites « c'est un peu ce que je fais actuellement », vous savez que je ne clarifie pas suffisamment les choses pour l'entreprise, qui doit effectuer l'analyse à ma place lorsque je présente mes résultats. Nous devons donc comprendre comment changer cela, comment l'adopter, afin que vousvous épuisiez probablement vos ressources humaines limitées au sein de l'équipe de sécurité. Comprenez donc ce que vous pouvez faire pour faire évoluer votre programme de gestion des risques tiers, loin des feuilles de calcul et des bases de données, et examinez les plateformes innovantes. Nous avons beaucoup innové dans ce domaine, car nous reconnaissons qu'il s'agit d'un problème. Nous reconnaissons qu'il y a des défis à relever. Nous ne pouvons pas traiter les menaces à l'aide d'un tableur Excel. De par sa nature même, cela ne peut pas se faire en temps réel. Nous devons adopter une approche communautaire des risques afin de pouvoir exploiter les questionnaires, les renseignements sur les menaces et les approches de milliers d'autres clients de ce fournisseur. Nous pouvons voir toutes ces informations. Nous ne nous appuyons pas uniquement sur notre ensemble de données. Il y a donc beaucoup de puissance dans cela. L'intelligence collective que vous pouvez obtenir à partir de plateformes comme celle-ci et vous savez, rappelez-vous vraiment une chose que j'ai toujours dite à mes équipes de sécurité : vousn'êtes pas responsables de ce processus de bout en bout, vous devez travailler avec l'ensemble de l'entreprise. J'ai organisé de nombreux webinaires pour Prevalent et je vous suggère d'en regarder un autre qui explique comment nous établissons une relation efficace avec les équipes d'approvisionnement, car nos objectifs sont parfaitement alignés, mais nous avons besoin d'une communication claire au sein de l'entreprise et de mesures significatives afin de pouvoir informer les parties prenantes de ce qui se passe. C'est un véritable défi que de rassembler toutes ces données et de les replacer dans leur contexte, mais vous savez, l'utilisation d'outils tels que Prevalent vous aidera vraiment. Je vais donc passer la parole à Scott, qui va vous parler un peu de Prevalent, puis nous passerons aux questions-réponses. Scott, c'est à vous.

Scott : Merci beaucoup, Brian. Je vous en suis reconnaissant. Tout ce dont Brian a parlé aujourd'hui concernait en fin de compte la maturation de votre approche actuelle pour comprendre, organiser et communiquer les indicateurs les plus importants, si vous voulez, à vos supérieurs ou à la hiérarchie de l'organisation. C'est la raison pour laquelle nous avons conçu notre solution de cette manière, afin de vous permettre de passer d'un point A à un point Z, ou B, ou tout autre point situé plus bas dans la chaîne. Et nous proposons notre approche de solution de trois manières différentes. La première consiste à vous aider à maîtriser rapidement les indicateurs de risque les plus importants pour vous en consultant une évaluation des risques déjà réalisée, une évaluation des risques déjà réalisée à partir de notre bibliothèque, notre réseau mondial de renseignements. Ces évaluations sont basées sur des types d'évaluation standard dans le secteur et peuvent vous aider à télécharger et à assimiler ces informations, à les charger dans votre instance locale, afin que vous disposiez déjà d'un registre des risques complet et que vous puissiez ensuite mapper les risques liés à ce fournisseur au cadre sectoriel ou au cadre de sécurité qui vous importe. Vous pouvez ainsi hiérarchiser et calculer les risques. Cela inclut les risques inhérents, n'est-ce pas ? Donc, les risques que le fournisseur fait peser sur une organisation sans le traitement de contrôles, vos contrôles, n'est-ce pas ? Les contrôles dont vous avez besoin, spécifiques à votre organisation. Et ensuite, cela peut vous aider à quantifier ces risques dans ce que nous appelons une carte thermique basée sur la probabilité et la vraisemblance de survenue. Le deuxième mécanisme que nous utilisons pour vous aider à contrôler les risques consiste à le faire pour vous. Vous savez, nous avons trois centres d'opérations de gestion des risques différents, avec des professionnels de la gestion des risques situés aux États-Unis, au Canada et au Royaume-Uni, qui vous aident à concevoir l'évaluation appropriéeil est important pour vous de collecter auprès de vos fournisseurs, de collecter ces informations, de les analyser et de les présenter de manière à ce que vous puissiez facilement signaler au sein de l'organisation quels sont vos fournisseurs les plus risqués, quels contrôles doivent être appliqués davantage pour tout, de l'intégration jusqu'au départ dans ce cycle de vie, ou si vous souhaitez utiliser la solution vous-même, vous pouvez le faire. Euh, donc la plateforme de gestion des risques tiers est euh notre solution principale qui vous permet de euh intégrer des fournisseurs, d'identifier les risques, de créer le contenu approprié pour collecter ces risques une fois l'évaluation des risques inhérents effectuée euh, puis d'organiser, d'analyser et ensuite euh de remédier aux risques grâce aux recommandations intégrées dans la plateforme. Toutes ces fonctionnalités sont fournies avec un fil conducteur cohérent, à savoir les risques cybernétiques, commerciaux et financiers continus des fournisseurs, car collecter les risques une fois par an ne sert à rien, car dès que l'évaluation des risques est terminée, quelque chose se produit. C'est pourquoi nous incluons un élément continu en temps réel dans la gestion des risques, ainsi que la collecte et l'analyse des informations sur les risques. Diapositive suivante, Brian.

Scott : Euh, comme je l'ai déjà dit, notre objectif est de vous aider à passer du point A au point X, et nous avons une approche très normative pour vous aider à y parvenir. Tout, depuis, disons, le moment où vous commencez et où vous n'avez même pas tous vos fournisseurs au même endroit, sans parler des indicateurs à rapporter. Nous pouvons vous aider à intégrer et à évaluer ces fournisseurs de manière programmatique afin de vous aider à hiérarchiser les mesures de gestion des risques à prendre à leur égard. Ensuite, pour revenir à ce que Brian a dit il y a quelques minutes, il ne faut pas trop critiquer Microsoft Excel. Je sais que nous l'utilisons tous à un certain degré, mais si vous êtes prêt à sortir de la prison des feuilles de calcul, nous pouvons vous aider à automatiser ce processus grâce à notre plateforme afin de créer le contenu approprié, de l'envoyer à vos fournisseurs, puis de l'analyser automatiquement dans la plateforme sans avoir à vous soucier de changer de système. Nous pouvons vous aider à automatiser ce processus, vous savez, dans notre plateforme, pour créer le bon contenu, euh, envoyer ce contenu à vos fournisseurs, euh, puis l'analyser automatiquement dans la plateforme sans avoir à vous soucier de passer d'un tableur à l'autre. Euh, nous avons mentionné la validation des résultats d'évaluation grâce à une surveillance cybernétique continue. Intel est la prochaine étape du processus. Il vous aide à prendre des décisions plus intelligentes en gardant ces données à jour, pertinentes et actualisées. Ainsi, lorsque vous présentez des informations sur les risques clés, ou même sur les indicateurs clés de performance, vous savez que ces données sont à jour, ce qui vous permet de résoudre ces problèmes grâce aux conseils de correction intégrés et aux meilleures pratiques de la plateforme, puis d'évaluer de manière proactive et continue ces risques. À mesure que votre programme mûrit, il devient intrinsèquement moins réactif et plus proactif. Votre visibilité augmente, votre efficacité augmente si vous adoptez la bonne approche. Euh, pour y parvenir. Slides suivante, s'il vous plaît, Brian.

Scott : Eh bien, ce qui nous différencie, c'est la manière dont nous collectons les informations et les différentes sources dont elles proviennent. Ce diagramme, si vous voulez, n'est qu'un échantillon des différentes sources de données que nous utilisons pour alimenter le système en informations afin de vous aider à comprendre où se situent vos risques les plus importants et comment les quantifier et les communiquer. Tout, depuis la communauté des fournisseurs jusqu'au crowdsourcing, en passant par les sources privées dont nous obtenons les informations sous licence, la surveillance réglementaire que nous mettons à jour dans le système, les partenariats industriels, les intégrations aux systèmes que vous utilisez probablement déjà, les évaluations réalisées dans notre laboratoire ou notre bibliothèque, et enfin les sources publiques telles que les informations OSENT que nous collectons également. Toutes ces informations que nous recueillons pour vous permettent d'ajouter du contexte, de la saveur et de la clarté à votre évaluation que vous envoyez, de sorte que lorsque vous faites votre rapport, lorsque vous définissez votre KISS et votre KPI, ils ne disposent pas seulement des informations, mais aussi du contexte derrière ces informations. C'est en tout cas notre approche. Je vous redonne la parole.

Brian : Merci Scott. Nous en arrivons maintenant à la séance de questions-réponses. Je vais donc passer la parole à Melissa et Amanda pour qu'elles nous fassent part de vos questions, mais je crois qu'il y a d'abord un sondage, n'est-ce pas ?

Melissa : Oui, nous venons de lancer notre deuxième et dernier sondage. Nous sommes simplement curieux de savoir si vous envisagez de mettre en place ou de renforcer un programme de gestion des risques liés aux tiers au cours de l'année à venir. Soyez honnêtes, car nous ferons un suivi. Comme je l'ai dit plus tôt, ce sera moi, Amanda, Null, Landon. Donc, l'un d'entre nous. Nous ferons certainement preuve de diligence raisonnable. Mais passons à quelques questions-réponses. C'est très chargé. Celle-ci s'adresse peut-être à Scott, mais je vous laisse décider. La première question est la suivante : la plateforme dominante dispose-t-elle d'informations sur les grandes entreprises telles que Microsoft ?

Scott : Absolument. Nous disposons de deux sources complémentaires d'informations sur les grandes entreprises telles que Microsoft. La première est une évaluation complète qui a été réalisée à leur sujet. Disons une évaluation standard de collecte d'informations. Il peut s'agir d'un rapport SOCK 2. Nous complétons ensuite cette évaluation par une surveillance continue des informations relatives à la cybersécurité, aux activités commerciales, aux finances, à la réputation et aux violations de données. Cela nous permet de compléter le profil du fournisseur et d'ajouter des informations supplémentaires à l'évaluation déjà réalisée. Donc, oui, nous le faisons.

Melissa : Je vois. Très bien. Question suivante. D'après votre expérience, comment calculer et communiquer au mieux l'exposition globale au risque annuel du point de vue de la gestion des risques liés aux tiers ?

Brian : Waouh. Vous savez, c'est l'une des choses les plus difficiles à faire, euh, vous savez, collectivement. Euh, personnellement, j'ai toujours abordé cela par niveaux. Donc, vous savez, en examinant les fournisseurs de niveau un, deux, trois et peut-être même quatre. Euh, parce que si vous mélangez le niveau quatre et le niveau un, par exemple, cela ne fait que brouiller les pistes. Il s'agit donc de se concentrer sur les fournisseurs qui sont absolument essentiels pour vous, vos clients ou la réussite de votre entreprise. Peut-être produisent-ils des articles pour votre compte. Et pour évaluer l'efficacité du programme, il faut se demander : par où avez-vous commencé ? Quels étaient vos objectifs en termes de réduction des risques chez ces fournisseurs ? Et qu'avez-vous accompli à la fin de l'année ? Mais vous savez, c'est un processus itératif. Je ne communiquerais donc pas ces informations une fois par an. J'en parlerais tous les mois, car d'après mon expérience, l'équipe de direction souhaite soutenir la sécurité et les achats face à ces défis, et il s'agit de dire : « Nous travaillons avec ce fournisseur, ils ne sont peut-être pas conformes à ceci ou cela, etc. » Et il s'agit de faire évoluer les choses en permanence. Donc oui, si vous voulez le faire chaque année, assurez-vous de le faire selon une approche progressive, mais au moins, vous savez, décomposez-le en cycles de 12 mois afin que les gens ne soient pas, vous savez, surpris et choqués à la fin de l'année. Ils reconnaissent ce que vous dites parce qu'ils ont également participé à la conversation tout au long de l'année. Exactement.

Melissa : Parfait. Merci. Très bien. Question suivante. Les informations sur les menaces liées aux fournisseurs sont-elles automatisées, comme un flux automatique, ou Prevalent propose-t-il simplement des champs permettant à une organisation d'effectuer ses propres analyses OS int sur ses fournisseurs ? Cette question s'adresse plutôt à Scott.

Scott : Oui. Euh... Nous proposons nos propres flux de surveillance continue, n'est-ce pas ? Nous intégrons donc des flux cybernétiques. Euh... Nous avons également créé nos propres flux cybernétiques afin de collecter des informations et de les intégrer à la plateforme. Euh, et puis nous avons euh des informations sur la réputation des entreprises que nous obtenons également de sources externes, ainsi que des informations financières euh euh. Il s'agit donc d'une combinaison de flux que nous avons créés, euh euh, vous savez, que nous avons créés, et d'informations que nous collectons également, mais nous disposons également d'une API ouverte et d'un marché de connecteurs qui vous permettent d'établir une connexion entre la plateforme courante et tout autre système que vous utilisez actuellement à cette fin.

Melissa : Super. Merci, Scott.

Melissa : Très bien, c'est parti. Le processus d'intégration des fournisseurs est souvent un mystère dans de nombreuses organisations en termes d'intrants et de résultats, selon les responsables du processus. Quelles sont les meilleures pratiques en matière d'intégration des fournisseurs pour garantir la robustesse du processus ?

Brian : Oui. Je pense que c'est encore une fois une approche à plusieurs niveaux. Je prends toujours l'exemple suivant : si vous avez quelqu'un qui fournit des ingrédients pour la cuisine ou quelqu'un qui gère un centre de données, le processus d'intégration sera légèrement différent. Je pense que toutes les questions que vous poseriez au fournisseur de la cuisine seraient également posées au fournisseur du centre de données, mais ce dernier en recevrait beaucoup plus. Je trouve que le processus est complexe lorsque le même processus d'intégration est utilisé pour les deux. C'est là que vous demandez à quelqu'un qui fournit des ingrédients pour la cuisine s'il dispose d'un système de confidentialité, de vidéosurveillance, d'une surveillance 24 heures sur 24, de portiques de sécurité pour entrer et sortir, etc. Il y a une pertinence que vous devez être en mesure de demander à votre fournisseur. Donc, encore une fois, adoptez cette approche à plusieurs niveaux. Je pense que pour l'intégration, il s'agit vraiment de connaître le fournisseur à un niveau élevé, de savoir quelles politiques et procédures il a mises en place, qui sont les dirigeants de l'organisation, quelle est la situation financière de l'organisation. Vous ne savez peut-être rien à leur sujet. Vous avez besoin d'une collecte rapide de données. Et c'est là que j'ai dit que si vous utilisez Excel, vous partez d'une feuille blanche. C'est difficile à faire. Si vous utilisez un outil tel que Prevalent, vous pouvez généralement trouver une grande partie des informations sur ce fournisseur. La meilleure pratique consiste donc à ne pas tout leur demander dans le cadre du processus d'intégration. Demandez-leur ce qui est essentiel pour continuer, puis vous pourrez évidemment découvrir le reste au fur et à mesure que la relation se développe. Mais ensuite, utilisez un processus qui vous permet d'obtenir ces informations le plus rapidement possible afin de ne pas passer au second plan.

Melissa : Très bien, parfait. Voyons voir. J'en ai une autre. Pour une entreprise qui doit gérer son budget de manière rigoureuse, comment trouver le meilleur équilibre entre la nécessité de choisir des fournisseurs plus petits qui répondent à ses besoins commerciaux et respectent son budget, et la réduction des risques, qui sont plus importants avec des fournisseurs plus grands et plus coûteux ?

Brian : Oui. Et c'est absolument nécessaire, n'est-ce pas ? J'ai vu de petits fournisseurs qui risquaient de faire faillite en passant par le processus de gestion des risques tiers d'une grande multinationale, car vous savez que le temps qu'ils doivent investir pour répondre à toutes les questions, saisir toutes les données, etc. peut représenter un véritable défi et que vous pouvez en fait étouffer l'innovation ou dissuader les petites entreprises de vous approcher en mettant en place un processus trop contraignant. Je pense donc que nous devons tous reconnaître que même les grandes multinationales veulent travailler avec de petites entreprises innovantes, ce qui peut être un facteur de différenciation important pour elles. Nous devons donc faire preuve de souplesse dans notre approche et dans notre processus, et là encore, il s'agit non seulement de l'importance pour l'organisation, mais aussi de la taille et de l'échelle de cette organisation. Si vous travaillez avec une petite start-up de quatre personnes, vous devez simplement faire preuve de bon sens dans les questions que vous leur posez et votre programme doit être suffisamment souple pour s'adapter à la taille et à l'échelle de l'organisation, car beaucoup d'éléments que vous vous attendez à trouver dans une grande organisation ne seront pas présents dans une petite start-up ou une entreprise en phase de croissance, mais cela ne signifie pas pour autant que vous ne souhaitez pas travailler avec elles. Hum, et encore une fois, vous avez tout à fait raison. Vous savez, vous pouvez épuiser beaucoup de ressources internes en essayant de cerner les risques présentés par une grande organisation, mais c'est là que des éléments tels que les rapports Sock Two, Sock Three et Sock One prennent tout leur sens. En fin de compte, ce que vous recherchez, c'est l'assurance de pouvoir gérer vos risques. Que cela doive être fait personnellement et individuellement par votre équipe ou que vous puissiez tirer parti des informations disponibles ou des données contenues dans les rapports Sock Two et autres, cela devient également très utile. Donc.

Melissa : Merci. Très bien, continuons. Nous avançons vraiment dans toutes ces questions. Dans quelle mesure les nuances culturelles sont-elles intégrées dans le calcul de l'évaluation des risques afin d'inclure l'impact d'une organisation sur les coutumes ou les pratiques établies au sein de la communauté où elle opère ?

Brian : Et quelles morales établies. Pensez-vous que cela signifie ou ?

Melissa : Je pense que oui. Oui. Eh bien, tu peux supposer ça.

Brian : Oui. Je pense que la culture est un prisme très intéressant dont nous devons toujours tenir compte. Des pratiques telles que la corruption existent en raison de la culture qui prévaut dans certains pays où certains d'entre nous peuvent être amenés à travailler. Il était assez courant de passer une enveloppe par-dessus la table lorsqu'une transaction commerciale était conclue. Nous devons donc comprendre la culture de notre organisation et savoir comment nous attendons de notre chaîne d'approvisionnement qu'elle se comporte. Et vous savez qu'il peut même y avoir des organisations qui opèrent dans des pays où les meilleures pratiques ne sont pas respectées et que cela peut être culturellement accepté pour eux, mais vous savez que nous sommes soumis à une réglementation qui garantit que cela ne se produit pas au sein de notre chaîne d'approvisionnement. Nous devons donc être assez fermes et exercer une gouvernance sur ces aspects en matière de lutte contre le blanchiment d'argent, la corruption, etc. afin de nous assurer qu'ils sont bien couverts. Nous devons donc comprendre que des différences culturelles existent et y être sensibles. Mais nous devons également comprendre quelle est la culture fondamentale de notre entreprise. Comment nous attendons-nous à nous comporter ? Comment nous tenons-nous responsables ? Et c'est finalement ce que vous imposez à votre chaîne d'approvisionnement, puis vous mettez en place les contrôles appropriés pour pouvoir mesurer cela également. C'est pourquoi je disais que ce n'est pas seulement une question de cyber-risque, c'est une question de risque, et vous savez que la culture elle-même peut présenter un risque. Il suffit donc d'en être conscient. Parfait. Très bien, c'est parti. Comment attribuez-vous une valeur monétaire à la note ou à l'évaluation globale d'un fournisseur tiers particulier ?

Melissa : Désolée, les amis. Il en reste encore ?

Melissa : Euh, cette question s'adresse peut-être à toi ou à Scott. Je ne sais pas qui est le mieux placé pour y répondre. Vas-y.

Brian : Comment attribuer une valeur monétaire à la note globale d'un fournisseur tiers particulier ? C'est toujours difficile. C'est comme, vous savez, comment évaluer l'impact monétaire d'un incident de sécurité qui vient de se produire sous tous ces aspects. Donc, vous savez, Scott, vous pouvez répondre après moi, mais je dirais que cela peut être largement subjectif, vous savez, il faut comprendre votre activité. Par exemple, je travaille beaucoup dans le secteur manufacturier. Ils savent combien d'unités ils produisent par jour, par heure, par minute, etc. dans leur usine. S'ils subissent un incident cybernétique, par exemple chez un fournisseur, et que leur usine ferme, ils peuvent très facilement quantifier la perte de production et l'impact financier que cela aura sur leur organisation. Il existe toutefois une dynamique différente autour du coût de la reprise des activités, car avez-vous besoin de nouveaux ordinateurs portables, de nouveaux serveurs ? Devez-vous rémunérer vos employés pendant leur arrêt de travail ? Il existe de nombreux facteurs différents à prendre en compte. Je ne dis pas que vous pouvez le faire pour chaque fournisseur de votre réseau. Mais là encore, il s'agit de déterminer quels sont nos fournisseurs essentiels pour lesquels nous devons établir une cartographie. Je me concentre toujours sur ceux qui peuvent nous poser problème, qui peuvent nous empêcher de servir nos clients physiquement ou logiquement, et sur ce que nous pouvons faire pour atténuer cela à l'avenir. Et vous savez, il y aura toujours une fourchette. Essayez donc de réduire cette fourchette autant que possible. Mais ne vous lancez pas avec un seul chiffre. Il y aura toujours une fourchette.

Brian : Scott, as-tu quelque chose à ajouter à ce sujet ou... ?

Scott : Scottva chercher un café ? Non.

Brian : Très bien, ça me va.

Scott : Désolé, c'est moi qui parle dans mon téléphone en mode silencieux. Je suis encore en mode vacances. Je suis rentré de vacances hier après-midi. Honnêtement, cela dépend vraiment de chaque entreprise. Je veux dire, il existe un cadre général pour déterminer les priorités en fonction de la probabilité et de l'impact, etc., ainsi qu'une méthode de notation propre à chaque entreprise, mais il y a si peu de standardisation en fonction de l'impact que cela a sur vous que je n'ajouterais vraiment rien de différent à ce qu'a dit Brian.

Melissa : Génial. Bon, j'ai le temps pour une dernière question. D'après votre expérience, dans quelle mesure le fait de collecter des données dans un format plus facile à comprendre a-t-il aidé une organisation à négocier ses coûts d'assurance afin d'inclure une couverture en matière de cybersécurité ?

Brian : Oui, cela aide beaucoup, car cela montre que vous avez compris ce risque et que vous le gérez efficacement. Il faut savoir que l'assurance cyber est de plus en plus difficile à obtenir. Sa valeur est également en train de diminuer. Je comprends qu'il soit très à la mode d'en avoir une et que c'est une bonne pratique de la mettre en place, mais il y a toujours moyen de s'en sortir grâce à ces clauses. C'est vrai. Donc, si vous n'avez pas fait ce qu'il fallait, vous avez peut-être une cyberassurance, mais quand il s'agit de toucher l'argent, s'ils viennent vous dire : « Eh bien, vous n'avez pas quantifié et géré efficacement le risque dans votre chaîne d'approvisionnement, alors vous n'obtiendrez pas d'argent, n'est-ce pas ? Ou vous n'avez pas appliqué efficacement votre gestion des vulnérabilités ou vos correctifs. » C'est comme si votre maison était cambriolée, mais que vous aviez laissé la porte d'entrée ou la porte arrière ouverte. Ils ne seront pas très contents de vous. Donc, avoir cette vision globale dès le départ et montrer, vous savez, si vous faites appel à un courtier ou si vous vous adressez directement à une grande compagnie d'assurance, il sera en fait obligatoire que vous ayez compris ce risque avant qu'ils ne vous accordent l'assurance. Mais en montrant que vous avez été proactif et que vous gérez efficacement ce processus, vous obtiendrez une prime moins élevée. Plus vous aurez de capacités et serez en mesure de démontrer que vous prenez la sécurité au sérieux dans votre organisation, plus les primes de votre organisation seront réduites à l'avenir. Vous savez donc que cela a également des répercussions de ce côté-là.

Melissa : Super. Eh bien, c'est tout le temps dont nous disposons pour aujourd'hui. J'espère vraiment que vous avez apprécié ce webinaire présenté par Brian. Je suis sûre que nous vous avons donné matière à réflexion et nous vous donnons rendez-vous très bientôt dans vos boîtes mail. Prenez soin de vous. Au revoir.

Brian : Merci à tous.