Risque lié aux tiers : exigences essentielles pour l'évaluation comparative de votre entreprise et de votre chaîne d'approvisionnement

Peter Schumacher: Bienvenue et merci de vous joindre à notre webinaire d'aujourd'hui, intitulé « Exigences essentielles pour l'analyse comparative de votre entreprise et de votre chaîne d'approvisionnement ». Aujourd'hui, nous accueillons deux experts en risques liés aux tiers : Brenda Ferraro, vice-présidente de Prevalent chargée des risques liés aux tiers, et Jeremiah Salberg, directeur général de Tevora chargé des risques liés aux tiers au niveau fédéral. Je m'appelle Peter Schumacher et je suis votre animateur pour ce webinaire. Avant de commencer, j'ai quelques points administratifs à aborder. Tout d'abord, je vous rappelle que toutes les lignes des participants sont coupées. Cependant, afin de garantir le caractère interactif de cette session, nous vous demandons de soumettre vos questions à l'aide de la console Zoom. Si le temps le permet, nous répondrons à ces questions à la fin de la session.

Peter Schumacher: Cela devrait donc durer environ une demi-heure, puis nous passerons aux questions-réponses à la fin. Nous enregistrons le webinaire d'aujourd'hui, nous vous enverrons donc un lien vers cet enregistrement dans les prochains jours. Je sais que vous n'êtes pas venus pour entendre ma voix, je vais donc passer la parole à Brenda et Jeremiah.

Brenda Ferraro: Merci beaucoup Peter. Jeremiah, je suis très heureuse d'être ici avec vous aujourd'hui. Je vais vous parler un peu de moi afin que ceux qui nous écoutent et qui ne me connaissent pas puissent mieux me comprendre. je vis, respire, mange et dors tiers, j'ai une formation en réponse aux incidents et je suis certifiée Process Master, j'ai travaillé dans le secteur financier et celui de la santé, et je suis très heureuse de vous parler aujourd'hui de la résilience des entreprises et de la manière dont nous pouvons aider les communautés à envisager les risques liés aux tiers sous un angle différent, car notre environnement a changé.

Jeremiah Salberg: Merci beaucoup Brenda. Je m'appelle Jeremiah Salberg, pour ceux qui n'ont pas encore eu l'occasion de me rencontrer, et merci Peter pour cette présentation. Tout comme Brenda, je travaille dans le domaine de la cybersécurité depuis plus de 20 ans. J'ai commencé dans le secteur fédéral, puis je me suis orienté vers les marchés financiers, et j'ai passé beaucoup de temps dans le domaine de la santé et de la sécurité des paiements par carte (PCI). J'ai moi-même porté le badge de RSSI, je sais donc ce que c'est que de répondre aux demandes de risques tiers provenant d'organisations, tout comme beaucoup d'entre vous au téléphone.

Jeremiah Salberg: De même, j'ai dirigé des programmes dans de grandes entreprises de divertissement pesant 30 milliards de dollars pour gérer le programme de gestion des risques fournisseurs, donc j'espère pouvoir mettre un peu de cette expérience à profit aujourd'hui. On m'a demandé de partager une anecdote amusante à mon sujet. Si je ne travaillais pas dans le domaine de la cybersécurité, que ferais-je ? Honnêtement, j'adore manger, j'adore le petit-déjeuner, donc dans un monde idéal, je tiendrais un petit restaurant où je proposerais le petit-déjeuner et où il y aurait une bibliothèque, des étagères remplies de livres que les clients pourraient venir consulter ou lire tout en dégustant un bon petit-déjeuner et une bonne tasse de café, et s'ils aiment un livre, ils l'achèteraient. Mais ce n'est pas le monde dans lequel nous vivons, donc je suis professionnel de la cybersécurité. Et vous, Brenda, que feriez-vous si vous ne travailliez pas dans le domaine de la cybersécurité ?

Brenda Ferraro: J'adore l'idée que vous preniez votre petit-déjeuner. Je viendrais chez vous pour le dîner, car j'aime prendre mon petit-déjeuner au dîner. Voyons voir, pour moi, si je ne travaillais pas dans le domaine de la cybersécurité, euh, si je regarde les choses du point de vue de ma jeunesse, on imagine toujours ce qu'on veut devenir quand on est petit. Je voulais être une artiste complète, capable de jouer, de danser et de chanter, donc une sorte d'artiste de scène. Mais j'ai aussi travaillé dans le domaine de la cybersécurité lorsque j'étais dans une entreprise de soins de santé, et je pense que j'aimerais rester dans ce domaine. Je referais peut-être un travail de RSSI si je pouvais rester dans la cybersécurité, puis j'enseignerais, je suppose. Il y a tellement de possibilités, donc je me tournerais peut-être vers ce que je faisais quand j'étais plus jeune ou ce que je voulais être quand j'étais plus jeune si je ne pouvais pas travailler dans la cybersécurité, mais si je devais changer l'objectif de ce que je fais actuellement et rester dans la cybersécurité, ce serait à nouveau un poste de RSSI.

Jeremiah Salberg: Oh, fantastique. Quel est votre plat préféré pour le petit-déjeuner, rapidement, avant que nous entrions dans le vif du sujet ?

Brenda Ferraro: Une bonne omelette avec du pain au levain et une tasse de café avec un peu de crème. C'est mon choix préféré.

Jeremiah Salberg: Miam, j'ai faim. Bon, nous ne sommes pas ici pour parler de nourriture, même si je pense que cela pourrait faire l'objet d'un petit webinaire sympa une autre fois. Euh, nous sommes ici pour parler de la résilience des entreprises, euh, et nous avons donc plusieurs sujets différents que nous allons aborder au cours de la session d'aujourd'hui. Nous allons parler un peu de la planification de la continuité des activités et de ce que vous devez examiner dans vos propres programmes, ainsi que des éléments clés à prendre en considération. Nous sommes clairement entrés dans une nouvelle ère, un nouvel espace, donc...

Jeremiah Salberg: Euh, nous recevons et voyons des clients, et même nous-mêmes, qui doivent mettre en œuvre certains de nos plans de continuité des activités, nous allons donc en parler un peu. Euh, pour comprendre la continuité de vos activités, il faut certainement comprendre comment vos tiers interviennent, fournissent des services et, en fin de compte, contribuent à votre réussite dans la manière dont vous vous adaptez et évoluez dans le contexte actuel. Nous allons donc nous pencher un peu sur cette question. Euh, dans le cadre du processus d'examen de la chaîne d'approvisionnement des tiers, vous obtenez une visibilité intéressante sur les fournisseurs qui fournissent des services clés et essentiels à l'organisation. L'une des choses dont nous allons parler est donc la suivante : voyez-vous des chevauchements, y a-t-il une possibilité d'optimiser certaines choses ? En tant qu'ancien CISO, je suis sûr que vous, Brenda, en tant que CISO également, avez déjà reçu des questionnaires. On vous envoie beaucoup de questionnaires. Parfois, ils sont identiques, parfois ils sont différents, mais il est certain qu'on finit par se lasser des questionnaires.

Jeremiah Salberg: Et, en tant que personne chargée d'examiner ces questionnaires, existe-t-il aujourd'hui une meilleure façon de procéder ? Le problème de la lassitude face aux questionnaires nous préoccupe tous à plusieurs égards. Nous allons donc aborder ce sujet. Enfin, alors que nous entrons dans une période de changement, avec la continuité des activités, l'accent sera davantage mis sur la consolidation de nos chaînes d'approvisionnement et la mise en place de contrôles appropriés. Et bien que ces éléments soient aujourd'hui fondamentaux dans certains cadres de conformité, nous nous attendons certainement à ce qu'ils soient évalués de manière un peu plus détaillée à l'avenir, nous aborderons donc également certains concepts clés à ce sujet. Mais ce seront là vos principaux points de discussion, et nous ajouterons quelques autres éléments amusants. Je pense que nous avons préparé quelques sondages pour aujourd'hui, alors Brenda, voulez-vous commencer ?

Brenda Ferraro: Oui, en fait, c'est notre premier sondage. Alors, que vous soyez en train de marcher et de nous écouter ou assis à votre bureau, participez à quelque chose d'amusant. La première question est la suivante : lorsque le monde a pris conscience du problème d'approvisionnement en TP, avez-vous immédiatement pensé que TP ne signifiait pas seulement « papier toilette », mais aussi « tiers » ? Nous vous laissons quelques instants pour y réfléchir. C'était drôle quand tout le monde disait qu'il y avait un problème de TP, et la première chose qui m'est venue à l'esprit, c'est bien sûr que nous avons des projets avec des tiers sur lesquels nous travaillons et que oui, il y aura des problèmes d'approvisionnement auxquels nous devrons faire face, mais cela m'a fait sourire quand j'ai pensé à TP comme à un tiers plutôt qu'à du papier toilette, et je pense que cela a touché tout le monde. Je sais qu'il y avait certainement des pénuries partout où je vis, mais les choses commencent à s'améliorer, elles commencent à se normaliser d'après ce que je vois. Mais absolument, je sais que cela touche tout le monde. Voyons voir quels sont nos résultats. Je me demande, Peter, si vous pouvez nous les communiquer.

Brenda Ferraro: Oh, super, ils trouvent ça drôle. Hé, on a besoin d'un peu plus d'humour ces jours-ci, alors oui, absolument. J'aime bien cette réponse.

Brenda Ferraro: Très bien, parfait. Alors, Jeremia, est-ce que tu vois la réponse, ou est-ce que ça ne s'affiche que chez nous ? Je ne sais pas.

Jeremiah Salberg: Je peux le voir aussi, donc il semble que près de 80 % des gens ont trouvé cela drôle, tandis que 20 % ont établi un lien entre le fait que TP a plusieurs significations et pourrait désigner le papier toilette dans ce contexte.

Brenda Ferraro: C'est génial. Très bien, super. Passons à la suite. Tout à fait. Tu veux bien nous expliquer exactement ce que cela signifie ?

Jeremiah Salberg: Bien sûr, tout à fait. La résilience commerciale est l'un des éléments clés qui font le succès ou l'échec d'une organisation. Et donc, lorsque des événements comme ceux que nous vivons actuellement se produisent, les organisations doivent être capables de s'adapter rapidement. Nous l'avons constaté dans de nombreux secteurs différents. Dans le secteur de la restauration, par exemple, nous avons désormais la possibilité de récupérer nos commandes en bordure de trottoir, plutôt que de manger sur place, et de nombreuses activités de livraison ont vu le jour. Mais l'une des premières choses que les organisations doivent prendre en compte est la sécurité humaine. Cela doit être la priorité absolue dans la résilience de votre entreprise, car vous devez prendre soin de ceux qui soutiennent l'organisation. La deuxième chose à faire est d'examiner et de comprendre qui sont les prestataires de services essentiels au sein de votre organisation. Si vous travaillez dans le secteur aérien, vous avez besoin de pilotes, car ils doivent continuer à faire voler les avions. Si vous travaillez dans le secteur médical, vous avez besoin de médecins disponibles. Vous devez donc identifier les prestataires de services essentiels. Il va sans dire que ceux qui travaillent dans les épiceries méritent notre admiration, car ils veillent à ce que nous puissions nous approvisionner en nourriture. Vous devez donc identifier ces personnes essentielles, puis déterminer comment fournir ces services commerciaux fondamentaux. Que cherchez-vous à fournir et comment vous assurez-vous de pouvoir servir vos clients dans un environnement en constante évolution ? Comment vous préparez-vous réellement à cela ? Vous avez examiné vos processus de continuité des activités et vos processus de reprise après sinistre, et vous devez finalement vous assurer que vous disposez d'un plan de communication solide et bien établi, non seulement en interne, mais aussi envers vos clients, afin de leur indiquer comment vous leur fournissez vos services en tant qu'entreprise. Je sais que vous avez ici une diapositive qui, je pense, va approfondir un peu plus cette question, mais comment continuer à faire ce que vous devez faire ?

Brenda Ferraro: Et je pense que ce qui est intéressant à ce sujet, c'est que nous travaillions tous dans des bureaux et que nous ne pensions pas que nous allions travailler à domicile à temps plein dans certains cas et dans certains domaines. J'ai donc trouvé très intéressant que nous ayons mis en place des plans de continuité des activités, des plans de reprise après sinistre, mais que l'accent n'ait pas vraiment été mis sur la manière dont nous allions faire évoluer notre situation professionnelle et sur les contrôles qui devaient être mis en place à cet effet. Parmi les huit points que nous avons énumérés ici, nous commençons à rechercher des tiers qui puissent fournir des informations non seulement à l'extérieur, mais aussi à l'intérieur de nos propres entreprises, car cela joue un rôle essentiel dans notre résilience globale. Si vous regardez les huit points ici, l'un de ceux dont j'aimerais parler est la réponse aux incidents cybernétiques. Un aspect très important et essentiel d'une politique de réponse aux incidents n'est pas seulement de savoir que vous avez un plan en place, mais aussi de mener régulièrement des tests basés sur des scénarios, à partir desquels vous trouverez généralement des plans d'action corrective afin de connaître les incohérences et les lacunes de votre plan et d'être mieux préparé en cas d'incident. Qu'avez-vous observé sur le terrain chez Tevora concernant les entreprises avec lesquelles vous avez travaillé du point de vue de la réponse aux incidents, Jeremiah ?

Jeremiah Salberg: Excellente question. Hum, je voudrais juste préciser un peu les choses. En tant qu'organisation, nous sommes des enquêteurs spécialisés dans la sécurité informatique, et nous intervenons donc beaucoup dans la gestion des incidents et la planification de crise. Nous avons accompagné plusieurs de nos clients dans ce processus dans le cadre d'un exercice annuel où nous avons réuni les dirigeants et leur avons présenté différents scénarios. Euh, et c'est intéressant, car depuis que nous sommes passés à ce modèle de travail à distance, euh, l'un des éléments que nous avons mis en avant dans bon nombre de ces scénarios était ce qui se passe dans des scénarios d'environnement physique, euh, où le bureau n'est pas là et où vous êtes contraint de travailler à distance depuis votre domicile. Euh, avec cela, euh, nous avons passé en revue un certain nombre de scénarios et c'est intéressant, si vous mettez en pratique vos plans d'intervention en cas d'incident, si vous faites ces exercices sur table, vous commencez à acquérir une certaine mémoire musculaire sur la manière d'évoluer et de pivoter vers une main-d'œuvre alternative. Et nous avons donc reçu de très bons commentaires de la part des clients, qui nous ont dit que nous avions justement passé en revue ce scénario il y a trois mois pour savoir comment y parvenir. Nous savions que nous avions quelques lacunes concernant le passage de certaines personnes au modèle de travail à distance, mais nous avons pu garder cela à l'esprit. Nous savions quelles mesures nous devions prendre. Donc, vous savez, s'entraîner à ce processus de réponse aux incidents, même si vous n'avez pas d'incidents, mais, vous savez, simplement faire ces exercices sur table et passer en revue ces scénarios hypothétiques, cela porte vraiment ses fruits. Donc, une partie de la résilience de l'entreprise consiste certainement à avoir ces, euh, vous savez, à faire ces activités clés, à en tirer des leçons et à s'assurer que vos cadres en sont conscients afin qu'ils puissent prendre les bonnes décisions lorsque cela se produit.

Brenda Ferraro: Oui, je suis tout à fait d'accord. C'était drôle quand j'ai fait un test basé sur un scénario dans l'entreprise où je travaillais, euh, deux semaines plus tard, peut-être deux à quatre semaines plus tard, nous avons réellement vécu ce scénario hypothétique, et nous y étions parfaitement préparés. Cela montre donc que, euh, cela aide de s'entraîner. Et qu'en est-il de la protection des infrastructures critiques ? Notre protection des infrastructures critiques concernait davantage le fait de se rendre au bureau ou chez un fournisseur, ou de s'assurer que nos ordinateurs portables et nos appareils étaient sécurisés afin de pouvoir se rendre au bureau. Maintenant, nous sommes passés au télétravail, mais nous constatons également des situations sur Internet où les entreprises doivent limiter le débit ou font face à des latences et doivent intégrer davantage de serveurs dans leurs plans de reprise après sinistre, etc. Que constatez-vous sur le terrain en matière de protection des infrastructures critiques ?

Jeremiah Salberg: Vous savez, c'est intéressant. Cela dépend vraiment de la manière dont l'infrastructure a été mise en place. Il y a eu une adoption massive et j'ai vu récemment plusieurs rapports différents sur, euh, le degré d'adoption des services cloud, euh, non seulement dans les communications, les réunions Zoom, les téléconférences, mais aussi dans le transfert de ces services essentiels, car vous essayez de limiter ceux qui se trouvent réellement dans le bâtiment. Donc, euh, pour les entreprises qui ont fait cet investissement et qui ont adopté ce modèle de transfert il y a quelques années et qui, au cours des deux dernières années, l'ont optimisé, nous constatons qu'elles sont en mesure d'en tirer parti et qu'elles y sont préparées. Mais certaines organisations, notamment dans le secteur manufacturier et d'autres domaines où elles possèdent des usines physiques, sont en quelque sorte bloquées, elles doivent déterminer comment elles vont fonctionner. Je constate donc que cela varie selon les secteurs, mais celles qui ont investi dans certaines de ces optimisations, dans l'adoption des technologies cloud, commencent à en voir les avantages. La sécurité des terminaux est également un élément qui entre vraiment en jeu si, tout à coup, vous avez des données qui se trouvaient sur des postes de travail et que vous transférez sur des ordinateurs portables, en vous assurant que ces ordinateurs portables sont correctement configurés, gérés et préparés pour le type d'activités informatiques qu'ils doivent désormais effectuer à distance. Il est donc certain que cette planification préalable a été utile.

Brenda Ferraro: Oui, j'ai demandé à certaines des 50 plus grandes entreprises de notre classement si elles constataient un changement dans leur liste des tiers critiques et non critiques. Et elles répondent que non, elles ne constatent pas vraiment de changement dans les entreprises et dans la manière dont elles sont classées, euh, selon une approche de niveau 1 et critique. Cependant, nous constatons un changement dans nos contrôles clés, car certains d'entre eux n'étaient pas en place et deviennent de plus en plus importants. Elles commencent donc à mettre en place ces contrôles, ce qui est vraiment une bonne chose. Le dernier point dont je voudrais parler sur cette page, car ils sont tous importants, mais nous en aurions pour des heures et des heures, est la continuité des opérations. Nous constatons donc différentes hausses de l'utilisation de la gestion de la chaîne d'approvisionnement et nous voyons des objectifs de niveau de service qui peuvent être atteints ou non dans le cadre de nos obligations contractuelles. Quels sont les exemples que vous pouvez donner ou les conseils que vous pouvez donner en matière de continuité des opérations ?

Jeremiah Salberg: Absolument. Donc, euh, vous savez, en examinant votre chaîne d'approvisionnement et la manière dont vous achetez des biens et des services, euh, cela évolue et change. Euh, les prix changent pour certains équipements, car les chaînes d'approvisionnement s'amenuisent un peu, euh, il est certain qu'il existe plusieurs moyens de s'approvisionner et que la planification de cela fait certainement partie d'un bon modèle de résilience commerciale. Je vais vous donner un exemple très personnel : ma femme m'a fait remarquer quelque chose. Elle cherchait un panier de Pâques pour ma fille et elle est allée le chercher sur Amazon, mais il n'était pas disponible avant le 20 avril, ce qui l'a surprise. Le modèle d'Amazon a changé. Nous avons donc dû aller chez Walmart. Nous avons donc dû trouver une autre chaîne d'approvisionnement. De même, d'un point de vue organisationnel, nous constatons qu'ils doivent trouver d'autres moyens d'obtenir et d'acquérir certains des biens ou services dont ils ont besoin pour maintenir leurs activités. Nous sommes sur le point de le constater dans la situation actuelle, mais en fin de compte, vous devez vous assurer que vous disposez de plans et de plans de secours pour obtenir et fournir vos services par le biais de votre écosystème tiers, et réaliser que vous pourriez avoir besoin d'une solution de secours. Il ne sera peut-être pas toujours possible de compter sur le seul fournisseur dont vous disposez. Une bonne continuité des opérations dans le cadre de la résilience de l'entreprise nécessite donc vraiment que vous disposiez d'une chaîne d'approvisionnement diversifiée.

Brenda Ferraro: Et comme tout le monde travaille à domicile, il y a probablement des enfants qui traînent dans les parages, alors nous aidons le lapin de Pâques en remplissant ces paniers, ce qui est une bonne chose.

Jeremiah Salberg: Absolument. Très bien, passons à la deuxième question du sondage, Peter, si tu peux l'afficher. Super. Voici la question pour tout le monde. Lorsque vous vous êtes habillé ce matin, vous êtes-vous demandé si vous alliez participer à une visioconférence aujourd'hui et dans quelle mesure vous deviez vous habiller correctement ? Euh, oui, parce que je dois être aussi élégant que ces présentateurs météo à la télévision, qui travaillent tous depuis chez eux. Euh, non, parce que je m'en fiche, ou non, parce que mes collègues s'en fichent, ou non, parce que je ne veux pas montrer à quoi ressemble ma maison, car il y a trop de linge sale qui traîne. Hum, j'ai certainement vu quelques personnes avec, hum, différentes vidéos montrant leur maison et peut-être parfois trop de détails. Mais ce que cela signifie vraiment, c'est que vos exigences ont changé. Les exigences que vous aviez en tant que personne qui se rendait au bureau tous les jours, hum, ces exigences changent, et cela modifie votre approche, hum, de vos routines, hum, et de ce que vous devez faire. De même, dans le monde des affaires, vos exigences vont changer et évoluer, et nous allons donc devoir examiner ces changements, est-ce que cela modifie ce qui est réellement nécessaire ? Peut-être que je n'ai pas besoin de faire cette action particulière et que nous pouvons changer et pivoter dans une direction différente, euh, et nous concentrer sur autre chose.

Brenda Ferraro: Oh, au fait, je me suis habillée, mais nous ne sommes pas filmés aujourd'hui, donc... Mais j'ai appris que la nouvelle tenue de travail à domicile, c'est la veste en polaire. Je me demande donc ce que nous allons devenir quand l'été arrivera. Je sais. J'espère que ce n'est pas trop d'informations. Je ne sais pas si nous avons les résultats du sondage, euh, Peter, si tu peux les afficher à l'écran ou non, euh, pour nous, mais, euh.

Peter Schumacher: Oui, vous devriez le voir.

Brenda Ferraro: Non, nous ne le sommes pas. Vous pouvez donc peut-être partager ces informations pour vous.

Peter Schumacher: Les résultats sont mitigés, donc le leader ici était, oui, je dois soigner mon apparence. Nous avons obtenu 33 % avec cette réponse, suivie par non, je sais que mes collègues s'en moquent. Cela représente 31 %, puis non, je m'en moque arrive à 20 %, et enfin la réponse concernant la lessive, 15 %. Les résultats sont donc mitigés. Merci pour cela.

Brenda Ferraro: Très bien, nous avons ici ensuite, c'était amusant. Nous allons maintenant parler des indicateurs de risque clés. Nous identifions donc beaucoup de changements, tout comme nous en parlions à propos de ce que vous portez lorsque vous travaillez à domicile. Nous nous concentrons beaucoup sur les parties finales et l'étendue des risques liés à notre collaboration avec toutes ces autres entreprises et à ce qui pourrait se passer dans le paysage des menaces auquel nous sommes confrontés aujourd'hui. Dans le même temps, nous suivons également tous les risques que nous avons identifiés dans le passé, afin de déterminer s'ils sont atténués ou s'ils doivent être ajustés, s'ils sont moins importants qu'auparavant. Ensuite, nous surveillons les scores de menace à l'aide de questionnaires qui nous donnent une vue d'ensemble complète de ce qui est analysé et de la façon dont nous envisageons la surveillance de l'entreprise, et pas seulement la cyber-surveillance, et ensuite en les examinant de manière très globale, en nous demandant s'il existe différents points de connexion, s'il y a des données qui sont traitées, s'il y a des unités commerciales qui dépendent de ces informations pour fonctionner, si elles fournissent un service, si elles fournissent une application logicielle qui doit être opérationnelle pour que l'entreprise continue à fonctionner. Très souvent, nous examinons des éléments de ces vues globales et nous devons les corréler avec différents types de produits. Ce dont vous avez besoin, c'est d'un produit et d'une solution comme Prevalent, qui peuvent vous fournir toutes ces informations dans une seule vue. Par exemple, si Acme Inc, qui se trouve au centre, a de nombreuses interconnexions et associations avec des tiers, des entités de niveau, des sous-traitants ou des données qui circulent d'un point à un autre. Et j'ai constaté que cela est très critique et important aujourd'hui, compte tenu du contexte dans lequel nous vivons et de la manière dont nous modifions notre façon de faire des affaires. C'est l'un des aspects que nous pouvons aider les entreprises à comprendre : pourquoi ces tiers ou ces n-ièmes parties sont essentiels à l'activité et si nous pouvons modifier l'un des éléments mobiles en fonction de ce que nous apprenons d'eux, à savoir s'ils sont affectés ou non.

Jeremiah Salberg: Très bonne remarque. Euh, il est absolument essentiel d'avoir cette visibilité, et ce diagramme en araignée est vraiment très utile, car il permet de visualiser où ils se trouvent et, euh, quels sont les tiers que vous devez comprendre dans ces quatrièmes parties, euh, très bonne analyse. Remettez donc en question votre fatigue. Vous en avez un peu parlé. Approfondissons le sujet.

Jeremiah Salberg: Bien sûr, tout à fait. Et cela joue vraiment sur plusieurs fronts. Mais, euh, d'un point de vue tiers, euh, toute personne qui a été RSSI ou qui a été chargée de répondre ou de gérer les réponses des tiers comprend certainement, euh, justement aujourd'hui, je remplissais un autre questionnaire pour notre propre organisation, euh, pour une organisation médicale avec laquelle nous travaillons. C'est l'un de ces cas où nous, ils viennent constamment là-bas, et dans l'ensemble, il est surprenant que, euh, il y ait encore un certain nombre de personnes qui sont restées coincées dans le modèle des années 1990 consistant à utiliser des tableurs. Euh, et bien que le modèle de questionnaire existe bel et bien, euh, le mécanisme qui permet de gérer ce processus a certainement été amélioré ces dernières années, et des solutions telles que Prevalent peuvent aider, vous savez, à automatiser et à simplifier ce processus. L'une des choses importantes, lorsque vous examinez le contenu de ces questionnaires, est de pouvoir normaliser ces informations entre les différentes entreprises qui utilisent des fournisseurs particuliers ou des types de fournisseurs à certains seuils, qu'il s'agisse de petites ou moyennes entreprises, ou de fournisseurs de services cloud, et d'être en mesure d'augmenter l'efficacité de ce processus d'examen par des tiers. Ce qui est bien avec ces plateformes, c'est que vous pouvez commencer à y créer des règles automatiques. L'un des problèmes classiques que je constate dans une organisation est que vous envoyez un questionnaire, euh, et cela concerne les anciens questionnaires où vous aviez, vous savez, un tableau Excel indiquant : « Effectuez-vous telle activité ? Si oui, veuillez joindre la politique. » Et ils répondent oui, mais ils ne joignent pas la politique. Cela crée alors un va-et-vient. Nous avons mis en place un système qui peut automatiser et créer des règles intelligentes et des exigences qui, en cas de réponse affirmative, obligent l'utilisateur à joindre une preuve ou autre chose. Cela rend certainement le processus plus efficace. Cela minimise les allers-retours, ce qui, en fin de compte, réduit le temps nécessaire pour réaliser cette évaluation, qui est un indicateur clé du succès de ces programmes. Comment puis-je réduire le temps nécessaire, comment puis-je m'assurer que cela soit fait avec précision, et comment puis-je disposer d'horodatages pour savoir qui a rempli quoi et quand ? De plus, une fois que vous disposez de toutes ces informations dans votre référentiel, vous pouvez revenir en arrière et vous demander : dans ce scénario, quels fournisseurs ont ce type de profil ? Tout à coup, vous êtes peut-être confronté à une nouvelle vulnérabilité qui est apparue et vous vous demandez je veux savoir combien de mes fournisseurs de services cloud pourraient être affectés par cela, car je souhaite peut-être contacter mon écosystème de fournisseurs pour obtenir des informations afin de mieux gérer les risques pour mon organisation. En fin de compte, et c'est quelque chose que nous ne cessons de rappeler, l'objectif de ces programmes d'évaluation des tiers est vraiment de comprendre les risques liés à l'externalisation. Ainsi, en disposant de ces informations, en corrélant ces données, en les rassemblant, vous pouvez réutiliser ces données, et vous obtenez en plus des analyses en temps réel sur l'état du programme, l'état de mes fournisseurs, combien d'entre eux j'ai évalués, combien d'entre eux sont en train de suivre le processus de correction et d'approbation. Il existe donc certainement des solutions pour aider à éliminer la lassitude liée aux questionnaires.

Brenda Ferraro: Oui, et je pense que ce qui est intéressant, c'est que, pour revenir à l'essentiel, vous devez savoir exactement qui sont vos fournisseurs et quel est leur profil. Et nous commençons à remarquer une tendance chez les particuliers, qui veulent connaître leur risque inhérent en posant simplement les questions essentielles. Ainsi, comprendre en quoi consiste cette activité, ce qu'ils font pour moi, comment j'interagis avec eux, aidera à classer, hiérarchiser ou filtrer tous les éléments de la longue liste de milliers et de milliers de fournisseurs et de tiers, puis à utiliser ces informations pour déterminer ce qui est pertinent et à demander ce que vous devez savoir par rapport à tout ce qui existe. Je commence donc à voir des choses comme ça, ce qui aide non seulement les entreprises qui doivent faire preuve de diligence raisonnable, mais aussi les fournisseurs et les tiers qui doivent répondre à ces questions. Donc, ça va dans la bonne direction.

Jeremiah Salberg: Tout à fait. Et puis-je revenir un instant sur un dernier point ? Je sais que nous dépassons un peu le temps imparti, mais, euh, vous savez, en tant que responsables des programmes tiers, l'une des toutes premières questions que vous posez lorsque vous discutez avec un fournisseur est de lire et de comprendre les services qu'il fournit à une organisation, euh, et il est également important de vérifier s'il existe un chevauchement entre les fournisseurs qui offrent des types de services similaires. Et cela a vraiment un impact sur la résilience de l'entreprise. Si vous pouvez commencer à savoir, signaler et comprendre que ces deux fournisseurs peuvent faire exactement la même chose. Souvent, nous évaluons les fournisseurs, l'un peut faire appel à un fournisseur tiers dans le domaine de la publicité, un autre dans le domaine financier, ou encore un autre dans le domaine du contenu ou des opérations, mais ils font peut-être la même chose, mais ce sont simplement deux entreprises différentes parce qu'elles ont, euh, des contacts, des relations. Lorsque vous atteignez la taille d'une organisation de taille moyenne, vous commencez à voir beaucoup de fonctions qui se chevauchent dans votre écosystème de fournisseurs, ce qui peut être, si vous suivez correctement ces informations, un moyen d'apporter une résilience supplémentaire à vos processus.

Brenda Ferraro: Tout à fait, je suis tout à fait d'accord.

Jeremiah Salberg: Euh, donc les régulateurs, euh, tout le monde fait preuve d'une grande flexibilité, euh, en ce moment, en permettant aux organisations de procéder à des évaluations à distance, à des audits à distance, mais au cœur de tout cela, euh, l'un des éléments essentiels de tous ces cadres est que vous devez avoir une bonne connaissance de vos programmes tiers et parfois des quatrièmes parties ou des n-ièmes parties qui fournissent des services essentiels. Il y a donc certaines choses dont vous devez vous assurer, euh, vous savez, ces exigences vous obligent à disposer d'un inventaire, nous en avons parlé, un inventaire complet et fiable de tous vos prestataires de services, mais pas seulement, il doit également être intégré à votre processus d'intégration dans le cadre de l'arrivée d'un nouveau, euh, fournisseur. Vous devez mettre en place un processus de vérification pour vous assurer qu'ils ont mis en place les contrôles de sécurité appropriés. En fin de compte, vous voulez vous assurer que ceux qui fournissent des services respectent vos propres politiques et attentes en matière de sécurité de l'information et qu'ils satisfont au moins aux exigences minimales que vous avez fixées pour votre organisation.

Jeremiah Salberg: Euh, ces cadres exigent également que vous évaluiez régulièrement vos tiers. Ces plateformes et outils, Prevalent, peuvent certainement vous aider à atteindre cet objectif. Euh, lorsque je discute et aide à gérer ces programmes avec nos clients, certains des indicateurs clés de performance qu'ils examinent sont, vous savez, combien de temps prend ce processus d'évaluation ? Donc, en disposant d'un système qui vous permet de mesurer le temps écoulé entre l'envoi d'un questionnaire, le temps qu'il leur a fallu pour remplir ce questionnaire afin de faire l'analyse, pour déterminer quelle personne désignée effectue l'évaluation, pour leur donner le feu vert ou peut-être le feu rouge signifiant « hé, nous ne pouvons pas aller de l'avant », euh, mesurer le temps nécessaire pour passer par ce processus est certainement un indicateur clé. Un autre indicateur important est de savoir combien de fournisseurs vous avez évalués et si vous respectez le processus d'évaluation. Il est également essentiel de comprendre combien je dépense pour mon programme d'évaluation par fournisseur. Donc, en revenant là-dessus et en disant, d'accord, mon programme coûte X, j'ai Y fournisseurs, quel est mon coût par évaluation et en m'assurant que cela correspond au risque et à la tolérance au risque de l'organisation. Et le plus important est probablement d'être capable de mesurer et de maintenir une disposition de vos fournisseurs, vous savez, combien d'entre eux sont approuvés, combien sont en cours de remédiation mais avec lesquels vous travaillez toujours et qui ont un plan de remédiation en place, et peut-être combien d'entre eux ont été rejetés. Voilà donc quelques éléments clés à prendre en compte lorsque vous évaluez un programme, en gardant à l'esprit, comme je l'ai mentionné précédemment, que l'objectif du programme d'évaluation des tiers est vraiment de comprendre et d'avoir une bonne connaissance des risques liés à l'externalisation. Je sais que nous arrivons à la fin, mais avez-vous des commentaires à faire sur ces points, Brenda, de votre point de vue ?

Brenda Ferraro: Oui, très rapidement en ce qui concerne la conformité, il est important de s'assurer que même si vous utilisez un tableur Excel, ce qui, espérons-le, ne sera plus le cas à l'avenir après avoir écouté ceci, vous avez la possibilité de consulter ce contenu sous différents angles et perspectives, par exemple si quelqu'un souhaite voir comment le contenu a été renvoyé par un tiers et comment il se rapporte à la conformité aux normes PCI, RGPD ou HIPAA, afin que vous puissiez transmettre ce contenu à toute personne qui a besoin de le consulter sous cet angle et éliminer les informations qui ne les concernent pas, mais qui sont importantes pour l'entreprise dans son ensemble. Et bien sûr, connaissez vos chiffres et agissez en fonction de ceux-ci. Je suis très attaché aux mesures, donc assurez-vous de disposer de ces informations. Je suis tout à fait d'accord avec ce que vous venez de dire. Donc, pour vous aider, Prevalent propose une offre gratuite de résilience commerciale à tout le monde, afin de vous aider dans la période que nous traversons et de nous assurer que nous corrélons ce contenu et nos efforts pour savoir ce dont nous aurons besoin à l'avenir, lorsque les régulateurs auront pris leurs décisions et commenceront à nous dire ce que nous devons savoir sur X, Y et Z. nous avons réfléchi de manière proactive aux éléments qui, d'un point de vue très limité, sont pertinents et que vous devez connaître. Vous trouverez ici les liens vers ces informations, mais Peter va également fournir cette présentation au format PDF afin que vous puissiez simplement cliquer dessus ou les recevoir par e-mail. Vous y trouverez des démonstrations, des exemples de rapports et des PDF présentant les questions. Que fait Tevora pour vous aider à faire face à la situation actuelle ?

Jeremiah Salberg: Absolument. Donc, euh, l'un des éléments clés pour lesquels nous aidons nos clients dans ce domaine, euh, nous proposons deux services principaux ici. Premièrement, nous aidons nos clients à créer, reconstruire ou réorganiser leurs programmes tiers, et nous les aidons à les exploiter. Il est certain qu'il faut disposer des outils et des plateformes appropriés, comme Prevalent, mais il y a beaucoup de travail de conseil à faire en amont pour s'assurer que, premièrement, vous disposez des bonnes données dans vos systèmes d'inventaire des fournisseurs, que vous les importez à partir de systèmes contractuels ou d'ailleurs. Hum, et ensuite, vous devez vous assurer que vous avez un alignement correct, non seulement avec vos propres politiques de sécurité de l'information, mais aussi avec les contrats de sécurité que vous avez mis en place avec vos tiers. Ainsi, lorsque vous passez par ce processus de contractualisation, si vous avez une annexe sur la sécurité ou tout autre document dans lequel vous indiquez les obligations que vous attendez d'eux, assurez-vous que ces deux éléments sont en harmonie, ainsi qu'avec le processus d'examen lorsque vous posez des questions, par exemple : « Faites-vous cela ? Est-ce que cela correspond à ce que vous avez déjà stipulé dans le contrat avec eux du point de vue des exigences de sécurité et est-ce que cela correspond à votre propre politique de sécurité de l'information ? Il est donc essentiel d'assurer une harmonisation adéquate pour garantir l'efficacité et l'efficience du système tiers. C'est là que nous intervenons.

Jeremiah Salberg: Nous aidons les organisations à socialiser ce processus au sein de leurs propres entreprises afin de nous assurer que ces entités commerciales, lorsqu'elles passent par le processus d'approvisionnement, lancent correctement et suffisamment tôt le programme d'examen par des tiers, car cela prend un certain temps. Enfin, nous aidons les organisations à définir les règles d'escalade lorsque, par exemple, vous souhaitez échapper au processus ou s'il existe des exceptions mises en place par un dirigeant qui exige que nous fassions appel à un certain tiers, même si cela comporte des risques pour la sécurité. Cette entité dispose-t-elle alors du processus d'acceptation des risques approprié pour documenter cela ? Il peut donc y avoir des exceptions à la règle, mais nous sommes clairement ici du côté du conseil en cybersécurité des programmes tiers.

Brenda Ferraro: Oui, je pense que lorsque nous avons abordé ce sujet, ce que j'ai préféré dans votre présentation, c'est que votre entreprise aide à élaborer le processus de questionnaire en harmonisant les questions, le flux de travail, les contrats, etc. C'était vraiment très intéressant. Très bien, passons à la troisième question du sondage, puis nous passerons aux questions de ceux qui sont restés en ligne avec nous. Peter, voulez-vous vous en charger ? Seriez-vous intéressé par une évaluation gratuite de la résilience de votre entreprise par Prevalent afin d'évaluer votre programme ? Nous avons constaté un énorme succès avec cette approche, qui permet aux gens d'identifier certains des fournisseurs et tiers essentiels, et nous pouvons vous aider dans ce domaine. Nous vous donnons donc la possibilité de le faire. Et comme nous sommes, euh, nous allons passer aux questions.

Peter Schumacher: Oui, euh, nous avons besoin à ce moment-là que vous commenciez à taper vos questions dans la console Q&A, que vous verrez sur votre écran Zoom, euh, et profitez bien de cette occasion. Nous avons deux experts en risques tiers en ligne, prêts à répondre à toutes vos questions. Vous pouvez donc les saisir dans la section Q&A de Zoom, ou même dans le chat. Nous allons laisser quelques secondes à tout le monde pour poser ses questions.

Peter Schumacher: Et puis, on dirait que la plupart des gens sont restés pendant les 36 dernières minutes, ce qui est une bonne nouvelle.

Brenda Ferraro: Merci de rester avec nous. Oui.

Jeremiah Salberg: Nous apprécions vraiment que vous ayez pris le temps, malgré votre emploi du temps chargé, de passer quelques instants avec nous pour discuter de certaines de nos réflexions dans ce domaine. Donc, même si ces questions ou d'autres vous viennent à l'esprit après la session d'aujourd'hui, n'hésitez pas à nous contacter. Il y aura certainement des communications de suivi. Sachez que Brenda et moi-même sommes là pour répondre à ces questions, peut-être pas tout de suite, mais dès qu'elles se présenteront. C'est certainement quelque chose pour lequel nous serons heureux de vous aider.

Peter Schumacher: Oui, merci, Jeremiah. Je crois que plusieurs personnes ont levé la main. Je pense qu'il y a un bouton pour lever la main. Si cela ne vous dérange pas, veuillez simplement taper votre question dans la section Q&R. Je préfère ne pas ouvrir les lignes audio si ce n'est pas nécessaire.

Brenda Ferraro: Mais n'ayez crainte, s'ils devaient finalement ouvrir leur ligne audio, je pourrais certainement participer en amenant un chien et en le faisant aboyer en arrière-plan si nécessaire.

Jeremiah Salberg: Oui, heureusement, je travaille à domicile depuis plusieurs années maintenant, donc j'ai ma situation, euh, sous contrôle, j'espère, avec les enfants à la maison et aucun animal domestique à proximité. Mais, euh, nous avons tous récemment fait l'expérience, euh, de collègues qui ne travaillent généralement pas à domicile et qui ont, euh, des distractions que nous partageons tous. Euh, je vois dans le chat des commentaires positifs, euh, et voici la question. Voyons voir, comment évalueriez-vous, euh, la résilience à l'aide d'un questionnaire, et comment le vérifieriez-vous, Jeremiah ?

Brenda Ferraro: Vous voulez que je m'en charge ou préférez-vous commencer ? Je peux compléter si cela ne vous dérange pas.

Jeremiah Salberg: D'accord, très bien.

Brenda Ferraro: Les questionnaires ont donc pour but non seulement d'engager la conversation, mais aussi de prendre conscience des différents contrôles qui sont en place. Et lorsqu'il s'agit de la résilience de l'entreprise, assurez-vous de poser des questions et de prendre des mesures en fonction des réponses. Par exemple, si vous posez 10 questions, vous devez vous assurer que ces questions seront transmises à un service spécifique, qu'elles permettront de recueillir les informations dont vous avez besoin ou qu'elles vous inciteront à prendre des mesures et à faire des efforts pour acquérir ces connaissances. Le plus important est de savoir s'ils sont touchés, et le deuxième plus important est de savoir s'ils vont devoir fermer leur entreprise, car vous devrez prendre une décision fondée sur les risques pour changer. Mais cette collecte d'informations est essentielle, car si vous ne le saviez pas auparavant avec vos questionnaires actuels, cela met en lumière la nécessité de renforcer les relations avec ces fournisseurs et de les aider à déterminer avec vous exactement ce qui doit être fait lorsque des changements doivent être apportés. Qu'en pensez-vous, Jeremiah ?

Jeremiah Salberg: Tout à fait. Et pour faire écho à votre remarque, euh, vous savez, les questionnaires permettent vraiment d'entamer la discussion et d'amorcer le dialogue afin que vous puissiez commencer à poser ces questions secondaires et à avoir des questions complémentaires. Chaque fournisseur qui vous fournit des services aura une particularité légèrement différente par rapport à ce qui est important pour vous. Ils peuvent développer des logiciels, vous fournir des biens ou des services, d'une manière ou d'une autre. Il est donc important de savoir où ils se trouvent, quel type d'organisation ils sont et quelle est leur taille. C'est pourquoi certaines questions de profilage sont toujours incluses afin de vous donner une idée et de préparer le terrain. Mais lorsque vous posez ces questions et que vous savez quels services ils fournissent, cela vous aidera à prendre une décision, à savoir s'ils ont besoin, s'ils dépendent, s'ils utilisent un centre de données, quel type de centre de données ils utilisent, s'ils utilisent AWS, s'ils utilisent peut-être un centre de données hors marché. Hum, et donc, d'accord, qu'est-ce que ce centre de données hors marché, ont-ils le type de résilience, vous savez, quatre neuf, cinq neuf, quel que soit le nombre de neuf dont ils disposent pour aider à fournir le type de services qui sont nécessaires derrière cela ? Donc, comme vous l'avez mentionné, Brenda, cela lance la discussion, mais cela dépend vraiment du service qui vous est fourni pour comprendre et poser les questions hypothétiques et dire : « D'accord, est-ce que cela offre suffisamment de résilience pour ce dont vous avez besoin en tant qu'organisation ? J'espère que la réponse est positive. Si ce n'est pas le cas, veuillez nous contacter. Nous serons heureux d'approfondir la discussion par la suite.

Peter Schumacher: Merci, Jeremiah. Oui, et nous avons, euh, sur cette diapositive, euh, quelques adresses e-mail. Mais, euh, vous recevrez également ces diapositives dans un enregistrement de cette session. Je vous l'enverrai d'ici demain matin. N'hésitez pas à y répondre et je transmettrai votre question à Brenda et Jeremiah. Hum, mais je ne vois rien d'autre dans la file d'attente. Hum, vous avez fait un travail formidable en fournissant des conseils et des astuces et en menant une conversation intéressante. Je pense que vous avez satisfait la curiosité de tout le monde ici, donc il n'y a pas d'autres questions. Je pense que nous allons, euh, conclure. Merci beaucoup, Brenda. Merci, Jeremiah, et restez tous en sécurité, euh, je dirais là-bas, mais je veux dire chez vous. Restez en sécurité chez vous, euh, et bonne chance à tous. Prenez soin de vous.

Brenda Ferraro: Merci. Portez-vous bien.