Gestion durable des risques liés aux tiers Partie 3 : Triage, évaluation et suivi

Melissa: Bonjour à tous, bienvenue. Je vous souhaite un excellent mercredi. Je suis ravie de vous voir tous vous connecter. Pendant que nous attendons que tout le monde arrive, je vais lancer notre tout premier sondage. Si ce n'est pas votre première fois, vous avez sûrement déjà vu cela auparavant. Mais nous voulons simplement savoir ce qui vous amène au webinaire d'aujourd'hui. Est-ce pour des raisons éducatives ? En êtes-vous aux prémices ? Si vous êtes déjà client, faites-le-moi savoir. Je vais laisser ce sondage en ligne pendant une minute ou deux, puis je vais rapidement commencer les présentations. Nous avons ici un invité très spécial, le fondateur et PDG de Cyber Marathon Solutions, Bob Wilkinson. Bonjour, Bob.

Bob Wilkinson: Bonjour, Bob.

Melissa: Nous avons également notre propre Scott Lang, vice-président du marketing produit ici chez Prevalent, ainsi que moi-même. Je m'appelle Melissa. Je travaille dans le développement commercial et c'est généralement moi qui assure le suivi après ce webinaire. J'ai déjà discuté avec certains d'entre vous. Vous avez donc peut-être déjà entendu ma voix. Je m'en excuse. Vous avez probablement déjà entendu parler d'Amanda, de Landon ou de Null. Alors, restez à l'affût. Aujourd'hui, Bob va se pencher sur la troisième partie du sujet intitulé « Évaluation du triage et surveillance continue ». Si vous avez malheureusement manqué les deux premières parties, nous pouvons vous fournir les enregistrements. Petit rappel : nous voulons bien sûr valoriser votre temps, alors n'hésitez pas à utiliser la section Q&A pour toutes les questions que vous pourriez avoir. Elles ne se perdront pas dans le chat, je vous le promets. Assurez-vous donc d'utiliser cette fonction Q&A au mieux de vos capacités. Euh, cela est également enregistré, donc ne vous inquiétez pas. Vous le trouverez dans votre boîte de réception plus tard dans la journée ou demain. Euh, enfin, vous êtes tous en mode silencieux, donc utilisez le chat si vous avez besoin de communiquer autre chose qu'une question ou une réponse. Euh, à part cela, je vais mettre ce sondage en pause et laisser Bob prendre le relais.

Bob Wilkinson: Merci beaucoup, Melissa. Comme Melissa l'a dit, il s'agit de la troisième partie d'une série en quatre volets consacrée à la mise en place d'un programme durable de gestion des risques liés aux tiers. Aujourd'hui, nous allons aborder plusieurs sujets, notamment ce que j'appelle les domaines de risque de la chaîne d'approvisionnement, le triage, l'évaluation des risques, la surveillance continue et la liste de contrôle automatisée du programme de gestion des risques liés aux tiers. L'automatisation est en effet un facteur clé du succès de votre programme de gestion des risques liés aux tiers. Nous allons donc commencer par parler de l'importance cruciale des tiers. Savez-vous lesquels de vos tiers et des chaînes d'approvisionnement étendues qui leur sont associées sont liés à vos services et produits commerciaux critiques ? Nous examinerons ensuite les tiers et la manière dont ils sont répartis et classés au sein de votre organisation. Ce que nous visons ici est différent d'une catégorisation de la gestion des achats ou des approvisionnements basée sur les fonctions. Elle est basée sur les risques et sur la manière dont nous pouvons trier les tiers en fonction du domaine de risque dans lequel ils se situent afin d'accélérer et de simplifier le processus d'intégration des tiers. Nous aborderons ensuite les évaluations périodiques des risques et les événements qui déclenchent une réévaluation des tiers, dont nous devons tous être conscients. Nous allons ensuite nous intéresser à la science et à l'analyse des données, et à la manière dont celles-ci peuvent jouer un rôle essentiel pour vous aider à quantifier les risques liés à votre inventaire de tiers et vous guider dans les mesures à prendre à l'avenir. À partir de là, nous aborderons la surveillance continue des tiers, comment vous pouvez vous y mettre, une liste de contrôle des facteurs importants pour une surveillance continue, puis nous conclurons en parlant du rôle de l'automatisation dans un programme de gestion des risques liés aux tiers et de certains des éléments clés que cette automatisation devrait traiter. Commençons donc par l'importance des tiers. Selon la taille de votre organisation, votre chaîne d'approvisionnement peut compter un petit nombre de tiers ou littéralement des dizaines de milliers. Lorsque vous réfléchissez à la manière d'évaluer les risques qui y sont associés, il s'agit donc de déterminer lesquels sont les plus critiques pour votre entreprise et comment les identifier et vous concentrer sur eux. Cela peut impliquer le rôle d'un tiers dans certains de vos processus opérationnels clés, la fonction qu'il remplit, la classification des informations qu'il traite. Lorsque vous examinez ces différents tiers, il est très important d'avoir un point de départ. L'une des choses que vous pouvez faire pour identifier le point de départ d'une définition de la criticité est de travailler avec vos responsables de la reprise après sinistre et de la continuité des activités, car ils disposent généralement d'une liste des processus et services critiques fournis par votre entreprise, ce qui vous donnerait un premier aperçu des tiers qui sont définis comme critiques. Il existe plusieurs autres façons de procéder. Mais lorsque vous cherchez à vous lancer, c'est souvent pour moi le moyen le plus simple d'obtenir ces informations. Une fois que vous avez compris quels sont vos tiers critiques associés à différents processus métier, ne vous arrêtez pas là. Examinez quels sont les quatrième, cinquième et sixième tiers qui pourraient également fournir des services à ce tiers impliqué dans votre processus commercial critique, car il peut arriver que ce tiers partage l'accès à votre infrastructure ou vos informations confidentielles avec des quatrième, cinquième et sixième tiers sans que vous en soyez pleinement conscient, ce qui augmente le risque pour ces processus commerciaux critiques plus en aval dans votre chaîne d'approvisionnement. Réfléchir à l'impact global que ces tiers et n-ièmes parties critiques pourraient avoir sur votre organisation vous donne une bonne base pour commencer à examiner les risques liés aux tiers dans votre programme.

Scott Lang: Salut Bob.

Bob Wilkinson: Oui.

Scott Lang: J'ai déjà quelques questions. C'est bien.

Bob Wilkinson: D'accord, allons-y.

Scott Lang: Ils sont prêts à discuter. Alors, quelle importance faut-il accorder à l'examen des quatrièmes parties ? Doivent-elles également faire l'objet d'une évaluation des risques ou dans quelle mesure faut-il exiger un examen approfondi et une surveillance continue ?

Bob Wilkinson: D'accord, c'est une question vraiment difficile, car disons que vous commencez avec 100 tiers, vous passez à des quatrièmes tiers, vous en avez peut-être un millier, vous passez à des cinquièmes tiers, vous en avez peut-être 5 000. Cela devient donc un nombre ingérable, ce qui, combiné à la croissance normale du nombre de tiers auxquels votre entreprise fait appel, pose un défi important. Nous en parlerons plus en détail au cours de la présentation. Mais le fait de lier les quatrièmes parties aux services et produits essentiels fournis par votre entreprise est un élément clé sur lequel vous devez vous concentrer. Au cours de la présentation, nous aborderons le rôle de la surveillance continue, qui nous offre la possibilité de tirer pleinement parti et de surveiller davantage ces quatrièmes et cinquièmes parties. C'est une réponse partielle que je développerai au cours de la présentation.

Melissa: D'accord. Et qu'en est-il des quatrième, cinquième et sixième parties ? Comment définiriez-vous cela ?

Bob Wilkinson: Il s'agit des sous-traitants de votre entreprise ou d'un tiers. Imaginons que vous travailliez avec IBM et qu'IBM sous-traite certaines fonctionnalités à AWS, qui héberge le logiciel ou l'application utilisé par IBM. Dans ce cas, AWS serait un quatrième intervenant pour vous. Il serait un tiers pour IBM.

Melissa: D'accord. Super. Et les tiers et quatrièmes parties ont-ils l'obligation de répondre à une demande d'informations ?

Bob Wilkinson: Eh bien, tout dépend si vous avez un contrat qui les oblige à le faire. L'important ici est de savoir dans quelle mesure vous pouvez standardiser les termes de votre contrat avec des tiers et comment vous communiquez à ces derniers que toute quatrième, cinquième et sixième partie à laquelle ils font appel est liée par les termes du contrat que vous avez conclu avec votre tiers. Lorsque nous examinons les contrats, il y a trois choses importantes à faire. La première est le droit d'audit, qui permet de régler cette question. Ce que vous voulez garantir avec votre tiers, c'est qu'il effectue une diligence raisonnable suffisante sur ces quatrièmes parties, etc. afin de s'assurer qu'elles respectent les normes du contrat que le tiers a conclu avec vous. C'est donc un aspect important que vous leur imposez contractuellement, car si vous ne le faites pas, ils peuvent dire que vous n'avez pas le droit de le faire et qu'il n'y a rien dans le contrat. C'est donc une façon d'aborder la question.

Melissa: Got it. Okay. Thank you. Okay. So let’s talk about risk domains. Now when I talk about risk domains, I’m differentiating from uh product domains, if you will. So it’s not uncommon in procurement organizations that they would come up with classifications of third parties based on the services provided. This is a similar concept, but the important differentiator is it’s based on risk. So when we think about this, there are numerous ways and it will to some extent be driven by the type of business your organization is in how you would classify that. But you could do it based on functions, products, services. Um so some examples might be uh you classify all of your call centers that provide customer support. It might be payment processors. It might be software developers which is very very important and I’ll talk about more in this presentation. You also might have risk domains that are structured based on the information that you share with your third parties. You might also do um and some companies in fact do this. You might have a risk domain based on employee information that’s shared with third parties because you want to get that granular. You might do it based on those companies that have access to your infrastructure. The point being that there are numerous ways to classify risk domains, but by doing it that way, um, as you’ll see in another slide or two, you have the opportunity to focus on the controls that are most critical for that risk domain. And that’s where you can really leverage the process to be more efficient. Now, one of the challenges that all third part risk management programs have these days is the organic growth in the number of third parties. Many of the companies I talked to say that their third parties increase uh anywhere up to and above 10% a year. Now, if you think about that, if you have a thousand third parties and you’re getting 100 new ones a year, how is your organization prepared to do the due diligence? and incorporate and onboard all of those new third parties. That in itself becomes a challenge. If you go back to your management and say, “Well, the program’s growing 10% a year, so I need 10% more a year in my budget.” Well, good luck with that because that’s uh not a high likelihood that you’re just because the program is growing that you’re going to get that additional funding. So, we have to work smarter about how we deal with the risk. And that ties back to the criticality of the service provided. But by focusing on risk domains, you are better able to manage the volume of third parties and third party due diligence that you need to manage. Now, there are two important factors here. By more efficiently managing your third-party inventory, you’re able to better manage the costs associated with the program. But the other point is by defining um into risk domains who your third party third parties are, you’re also able to see where you have duplication. So, and I’ve talked about this before, the the key point when a business unit comes to you and says they want to onboard a new third party, the first question you should always ask is, well, do we already have a third party that provides the service that you’re looking for because if we already have a third party that provides the service that you’re looking for, you can eliminate the due diligence. You’re likely going to get better pricing because you’re expanding the relationship with an existing third party and it just makes everything more efficient. And in the process of doing that, you’re also decreasing risk. So from my perspective, this is a win-win. You manage the number and the total cost of doing the due diligence on the third parties while you’re also li limiting the amount of risk. So how do we do this? Um this is what I call risk triage. So when we have third parties categorized by risk domains, we can focus on those specific controls which are most important to the type of work and the risk that’s involved with that particular risk domain. So what I’m saying is you can ask a smaller number of questions and you can focus on the key controls that are involved with a particular risk uh domain to determine whether you need to go deeper. So what we’re trying to do here u when we when we take a step back and we look at our third party risk programs is we’re trying to be more efficient. We’re trying to help the businesses because if the businesses aren’t being successful in getting the third parties on board that they need to do their business and take advantage of opportunities, then it’s not going to be too long before that we don’t need a third party risk management program because the business is not successful. So, in streamlining our approach to how we manage the third parties we have to deal with and by focusing on the key controls that are involved In managing risks associated with those risk domains, we can be much more efficient in how we onboard and how we manage on an ongoing basis the risk that’s associated with using third parties. Now, that ties directly into data science and analytics. So, everyone hears that, you know, we’re doing more things with data science and analytics. Here’s a way that it converts into how you manage your third party risk management program. So if I have a a a set of questions that I apply to a specific risk domain, say I’m looking at uh third parties who use confidential information. What are the what are the critical controls, the key controls that I care about there? Well, how is that information being transmitted? What is that volume of information that’s being shared um what do we know about the third party and their level of security? …

Bob Wilkinson: En faisant cela, nous nous concentrons sur les aspects les plus importants de la relation. Et grâce à la science des données, nous attribuons une valeur pondérée aux questions clés sur lesquelles nous nous concentrons. Par exemple, si je me soucie des informations confidentielles, quelle importance accorde-je à la sécurité avec laquelle ces informations sont partagées ? Quelle importance accorde-je au volume d'informations partagées et à ce que fait ce processus ? La principale différence par rapport à la façon dont beaucoup de choses sont faites aujourd'hui, c'est que ce que nous faisons lorsque nous évaluons les contrôles clés associés à un domaine de risque, c'est de combiner nos données internes avec des données provenant de sources publiques externes, telles que certains outils de surveillance cybernétique et certains outils de gestion des risques plus généraux qui se concentrent uniquement sur les données accessibles au public. Lorsque nous pouvons utiliser des données accessibles au public et les combiner avec les informations internes dont nous disposons, nous pouvons alors avoir une vision très claire du risque que représente un tiers particulier pour une entreprise. Ce faisant, nous obtenons la possibilité de définir des seuils pour le niveau de risque que nous sommes prêts à accepter dans nos différents domaines de risque. Par exemple, sur une échelle de un à cinq, où cinq est bon et un est mauvais, nous fixerions notre seuil pour l'utilisation d'informations confidentielles à quatre. Ainsi, si nous posons ces questions concernant les contrôles clés dans le processus de triage des risques et que nous obtenons une note inférieure à quatre, nous devons alors vraiment examiner la situation et faire preuve d'une plus grande diligence raisonnable en raison de la sensibilité des informations et des lacunes apparentes d'un tiers. Nous pouvons désormais le faire au niveau individuel. En notant un tiers individuel, nous pouvons évaluer le niveau de risque au niveau du domaine de risque. Il suffit de prendre le nombre de tiers qui se trouvent dans un domaine de risque et de calculer la note moyenne, ou nous pouvons évaluer le risque pour l'ensemble de notre portefeuille de tiers, c'est-à-dire l'ensemble de l'inventaire. Et une fois que nous utilisons la science des données, nous pouvons, à tout moment, calculer la note de risque pour notre inventaire de tiers.

Bob Wilkinson: Et ce qui est important, c'est que cela nous permet de voir comment évolue le risque lié au recours à des tiers pour notre organisation. C'est beaucoup plus complexe à faire et, dans ce webinaire, nous n'avons pas le temps d'approfondir ce sujet, mais j'essaie de vous donner un aperçu d'une autre façon, plus quantitative, de définir et de mesurer les risques, et de pouvoir communiquer cela à vos différentes parties prenantes pour leur dire que le risque dans le portefeuille augmente, ou que le risque dans ces domaines augmente, ou que le risque avec ce tiers particulier augmente. Il y a donc des avantages à définir le risque par domaine et à se concentrer uniquement sur les contrôles clés. Au lieu d'examiner tous les contrôles possibles qui pourraient être associés à un tiers lorsque vous effectuez votre sélection initiale d'entreprises pour les tiers ou lorsque vous cherchez à intégrer une organisation spécifique après avoir effectué ce processus. Je vais donc passer à la suite et lorsque nous arrivons à la situation où nous décidons que le seuil de risque pour une entreprise donnée dans un domaine de risque particulier a été dépassé, nous voulons alors approfondir notre analyse. C'est là que nous entrons dans une évaluation complète des risques d'une organisation lorsque ce tiers a soulevé suffisamment de questions à partir des réponses qu'il a fournies aux contrôles clés associés à un domaine de risque pour que vous ressentiez le besoin d'approfondir la question, car il reste des questions ouvertes sur sa position concernant la gestion des risques clés pour ce domaine de risque. Lorsque vous examinez cela, vous devez décider quel questionnaire vous allez utiliser. Avez-vous des questions spécifiques ou allez-vous utiliser certains des questionnaires standardisés disponibles dans le secteur, mais vous devez le faire de manière standardisée. La deuxième question est la suivante : comment allez-vous aborder la performance de ces évaluations des risques ? Allez-vous les réaliser sur place ? Eh bien, cela n'est pas très fréquent depuis que nous sommes en phase COVID. Allez-vous le faire à distance ou utiliser une combinaison des deux ? Allez-vous utiliser les ressources de votre propre organisation pour réaliser les évaluations des risques ? Allez-vous augmenter vos effectifs et externaliser ce processus ?

Bob Wilkinson: Êtes-vous prêt à utiliser des ressources offshore parce que vous essayez de gérer plus efficacement les coûts associés au programme ? Allez-vous faire appel à des sociétés de services d'évaluation des risques, dont il existe un certain nombre, qui effectueraient l'évaluation des risques, vous fourniraient un rapport et vous vous fieriez à celui-ci ? Ensuite, vous en arrivez au point où des problèmes sont identifiés dans vos évaluations des risques et où ces problèmes doivent être résolus. Je tiens à être très clair sur mon point de vue à ce sujet : la raison pour laquelle nous évaluons les risques est que, lorsque nous les identifions, nous pouvons les résoudre et atténuer le risque pour notre organisation. Donc, de mon point de vue, l'intérêt d'un programme de gestion des risques liés aux tiers est d'identifier et d'atténuer les risques, mais trop souvent, les parties prenantes de l'organisation considèrent la gestion des risques liés aux tiers comme un exercice de conformité. D'accord, nous évaluons le risque associé à un fournisseur. Nous pouvons cocher la case et dire que nous sommes conformes parce que nous avons effectué l'évaluation des risques. Cela ne vous aide en rien à gérer ou à atténuer les risques. Il s'agit d'un exercice de conformité. Et la conformité est fondamentalement différente de la gestion des risques. Concentrez-vous donc sur les risques, leur identification, puis leur atténuation, et vérifiez ensuite que les risques que vous avez identifiés ont bien été atténués. C'est l'étape cruciale qui permet de réduire les risques. Maintenant, après avoir évalué et intégré un tiers, il existe un certain nombre d'événements déclencheurs qui peuvent vous amener à vouloir revenir en arrière et réévaluer un tiers avec lequel vous faites affaire. Le plus évident d'entre eux est une violation de données. En cas de mauvaise nouvelle de ce type, vous devez vous assurer que votre tiers, ou votre quatrième ou cinquième intervenant selon le cas, a pris les mesures appropriées pour atténuer le risque qui a conduit à la violation de données, à l'attaque par ransomware ou à tout autre incident.

Bob Wilkinson: D'autres événements susceptibles de déclencher une réévaluation sont un changement de propriétaire, une fusion ou une acquisition. Lorsque vous êtes confronté à des risques réglementaires et réputationnels potentiels découlant de nouvelles lois et réglementations mises en œuvre par les autorités de réglementation dans divers secteurs, vous devez vous assurer que vos tiers sont également en conformité, car le recours à des tiers ne vous dégage pas de votre responsabilité envers vos clients en matière de conformité réglementaire. Parmi les autres événements susceptibles de déclencher une réévaluation, citons le déménagement d'un centre de données vers un nouvel emplacement physique ou l'externalisation de tout service tiers, ou encore, de plus en plus, la migration d'applications vers le cloud, qui devient un domaine important où vous devez avoir une très bonne compréhension des contrôles en place. Un autre aspect concerne l'examen périodique de vos tiers lorsque la relation s'est élargie, soit par l'ajout de nouvelles fonctionnalités, soit par une augmentation significative du volume d'informations partagées avec le tiers. Vous devez en être conscient et cela peut en soi vous obliger à effectuer une nouvelle évaluation des risques. Ainsi, si vous aviez une relation avec un tiers avec lequel vous partagiez 100 dossiers clients, puis qu'un an plus tard, vous en partagez 10 millions. La situation a fondamentalement changé et le profil de risque et la représentation du risque que ce tiers représente pour vous sont très importants. En outre, vous pouvez vous retrouver dans une situation où la situation financière d'un tiers se détériore, car si la situation financière d'une entreprise se détériore, vous devez passer à un nouveau tiers ou rapatrier un service en interne. Ce n'est pas quelque chose que vous pouvez faire du jour au lendemain. Cela soulève un autre point important : lorsque les entreprises externalisent certaines fonctions spécifiques à des tiers, elles ont toujours l'obligation de conserver les connaissances nécessaires pour pouvoir, si nécessaire, réintégrer ces fonctions en interne, et les prestataires de services critiques doivent avoir un plan pour y parvenir.

Bob Wilkinson: Et si vous n'avez pas de plan, vous êtes potentiellement vulnérable en cas de faillite d'un tiers ou d'un autre événement. Changeons donc un peu de sujet et parlons de la surveillance continue des tiers. La réalité de la gestion des risques liés aux tiers est qu'elle évolue quotidiennement. Et lorsque vous envisagez d'effectuer une évaluation périodique des risques, cela signifie que pendant un jour de l'année, vous connaissez la situation de vos tiers en matière de risques, mais vous n'avez pas une bonne visibilité les 364 autres jours de l'année. Et avec l'augmentation significative des risques, qui ne se limitent plus aux cyberrisques, nous devons désormais prendre en compte les risques de perturbation des activités, la résilience opérationnelle, et tout ce qui touche aux risques ESG. Vous devez désormais surveiller au moins vos prestataires de services essentiels à un niveau supérieur à celui d'une évaluation annuelle des risques, ce qui n'a tout simplement pas de sens en termes de gestion des risques. Il existe de nombreux outils pour mettre en œuvre une solution de surveillance continue. Les différents outils offrent des fonctionnalités différentes, mais le point essentiel est que si vous envisagez de mettre en œuvre une surveillance continue, vous devez comprendre comment le produit ou la plateforme que vous pourriez utiliser sera mis en œuvre dans votre organisation afin que les résultats de la surveillance continue soient intégrés dans le bon processus métier. Les mesures nécessaires seront prises par les personnes qui doivent agir, car je pense qu'il est pire de commencer à mettre en place une surveillance continue sans que personne ne prête attention aux résultats que de ne pas avoir de surveillance continue du tout, car dans ce cas, vous saviez et vous n'avez rien fait. Vous devez donc prendre le temps, lorsque vous évaluez des produits de surveillance continue, de comprendre comment vous allez les mettre en œuvre dans les flux de travail opérationnels de votre organisation. C'est une étape absolument cruciale. L'autre point important est que la surveillance continue repose en grande partie sur la surveillance de sources de données accessibles au public. À quoi ressemble votre présence sur Internet vue de l'extérieur, du point de vue du public, et quelles sont les vulnérabilités qui peuvent exister ? C'est donc dans cette perspective qu'il faut envisager les choses.

Bob Wilkinson: Ils seront efficaces pour vous indiquer vos différentes vulnérabilités d'un point de vue public, mais cela ne couvre pas les vulnérabilités internes que vous pourriez avoir et que ces solutions de surveillance continue ne peuvent pas détecter. Vous devez également garder à l'esprit que les compétences requises pour les personnes impliquées dans la surveillance continue diffèrent à certains égards de celles requises pour celles qui effectuent des évaluations périodiques des risques. Vous devez donc vous assurer que vous disposez de ressources qui comprennent et sont correctement formées à la manière de tirer parti d'une solution de surveillance continue. C'est là que nous en revenons à l'une des questions précédentes et que nous commençons à parler de la manière dont nous pouvons obtenir une visibilité sur les quatrième, cinquième et sixième parties. Lorsque vous mettez en place votre solution de surveillance continue. En général, dans votre contrat avec un fournisseur de plateforme de surveillance continue, vous définissez le nombre de tiers que vous souhaitez surveiller. Certaines entreprises surveillent tout. Et de ce point de vue, lorsque vous constituez votre inventaire de tiers, de quatrièmes, de cinquièmes et de sixièmes parties, vous avez la possibilité d'ajouter les quatrièmes, cinquièmes et sixièmes parties qui sont initialement associées à vos processus métier critiques afin de pouvoir les surveiller quotidiennement avec vos tiers. C'est là l'avantage et la solution à la question de savoir ce que vous devez faire en termes de surveillance des quatrièmes, cinquièmes et sixièmes parties. Si vous disposez d'une solution de surveillance continue, vous pouvez voir quotidiennement les mêmes informations pour les quatrièmes et cinquièmes parties qui vous intéressent que celles que vous voyez pour vos tiers. Lorsque vous envisagez d'effectuer des évaluations périodiques des risques de vos quatrièmes et cinquièmes parties d'un point de vue logistique, en termes de coûts et de gestion de programme, cela représente une tâche très difficile. Opter pour une surveillance continue de vos tiers et de leurs sous-traitants, qu'il s'agisse des quatrièmes, cinquièmes ou sixièmes parties, vous offre un moyen d'y parvenir. L'un des avantages des solutions de surveillance continue est qu'elles vous permettent d'avoir une vision plus large des risques opérationnels.

Bob Wilkinson: Traditionnellement, la gestion des risques liés aux tiers se concentre sur la cybersécurité, la continuité des activités, la reprise après sinistre et les répercussions sur la résilience opérationnelle. Mais le fait est que nous devons surveiller la santé financière des tiers, les risques géographiques et de concentration, la conformité réglementaire, les nouvelles négatives, les facteurs ESG, et que vous devez adopter une vision holistique du risque opérationnel. Il ne s'agit pas d'une question de cybersécurité. Il ne s'agit pas d'une question de continuité des activités. Il s'agit d'une question de risque opérationnel. Et pour gérer efficacement ces risques, vous devez adopter cette vision holistique. Vous devez également réaliser qu'au fil du temps, vos tiers concluront d'autres relations et procéderont à des acquisitions d'autres sociétés, ce qui aura un impact sur les quatrième, cinquième et sixième parties, et vous devez en être conscient. Vous devez également être conscient de l'évolution des relations et savoir s'il s'agit d'une augmentation des données ou de fonctionnalités supplémentaires que des tiers ou des quatrièmes parties peuvent fournir à votre entreprise. Vous devez en être conscient. Ainsi, adopter une vision globale des risques opérationnels et les examiner sous l'angle d'un inventaire continu et multifactoriel permet de tirer pleinement parti des avantages de la surveillance continue. Ce que j'ai fait ici, c'est simplement fournir une liste de contrôle de certains des éléments de haut niveau auxquels vous devez penser lorsque vous envisagez de mettre en œuvre un programme de surveillance continue. Votre inventaire des tiers est-il complet ? Avez-vous une idée de qui sont vos quatrièmes et cinquièmes parties et qui elles pourraient être ? Lorsque vous réfléchissez à la surveillance que vous souhaitez mettre en place, vous devez surveiller vos tiers et quatrièmes parties pour savoir où ils vous fournissent leurs services. Ainsi, lorsque de nombreux programmes tiers établissent leur inventaire, ils ne disposent pas toujours de données fiables sur l'emplacement du tiers ou sur le lieu où le service est fourni à votre entreprise, ce qui est pourtant essentiel. Vous ne voulez donc pas vous retrouver avec un inventaire des tiers qui répertorie tous les sièges sociaux des entreprises avec lesquelles vous travaillez. Vous voulez connaître les adresses où ces services sont fournis.

Bob Wilkinson: Traitez-vous vraiment avec IBM Corporation à Armon, New York, où se trouve le siège social de l'entreprise ? Traitez-vous avec une filiale d'IBM qui vous fournit des services depuis Chennai, en Inde, par exemple ? Ensuite, comment avez-vous réfléchi, développé, mis en œuvre et documenté les processus de surveillance continue afin de garantir que, lorsque cette plateforme de surveillance continue sera activée, votre organisation sera en mesure d'assimiler et d'exploiter les informations produites ? Ensuite, quelle visibilité avez-vous sur la chaîne d'approvisionnement étendue utilisée par vos tiers ? Encore une fois, en commençant par vos processus critiques, qui sont les quatrième et cinquième parties associées à ces tiers et, au fil du temps, en constituant cet inventaire et en comprenant quelles informations sont partagées ? Avez-vous donc une idée précise de l'endroit où votre organisation partage des informations, du volume d'informations, de la façon dont cela évolue au fil du temps avec vos tiers, car c'est là que vous devrez vous concentrer en premier lieu sur le partage des données, puis sur le deuxième aspect, à savoir l'accès à votre infrastructure d'entreprise ? Quel est donc l'accès dont disposent ces tiers et éventuellement ces quatrièmes et cinquièmes parties à votre infrastructure, êtes-vous à l'aise avec cela et en êtes-vous même conscient ? J'ai déjà parlé des emplacements physiques, mais je ne le répéterai jamais assez. Vous devez savoir où les activités sont menées en votre nom avec vos tiers et quatrièmes parties, et lesquels de ces tiers, quatrièmes et cinquièmes parties ont accès à vos informations sensibles. Avez-vous des contacts actuels chez vos tiers critiques et ont-ils des contacts chez les quatrièmes et cinquièmes parties afin de savoir qui contacter en cas de problème ? Qui sont donc vos contacts clés ? À quelle fréquence testez-vous votre processus pour vous assurer que vous disposez des bons contacts ? Les gens vont et viennent tout le temps. Disposez-vous d'un moyen de contacter votre tiers en cas de crise pour obtenir la réponse dont vous avez besoin ou pour déclencher un processus de gestion des incidents et des crises, selon les circonstances ?

Bob Wilkinson: Et enfin, vos ressources ont-elles été formées à la manière d'exploiter les résultats d'une solution de surveillance continue ? Car elles doivent agir en fonction des informations fournies par la plateforme de surveillance continue. Le rôle de l'automatisation dans un programme de gestion des risques liés aux tiers. L'automatisation vous permet, grâce à des outils tels que la surveillance continue et la gestion des stocks, de disposer d'une source unique et fiable d'informations sur les risques liés à vos fournisseurs, qui couvre tous les risques opérationnels clés auxquels vous devez faire face. Elle vous permet d'agréger des informations sur votre programme de gestion des risques liés aux tiers, mais aussi de suivre et de favoriser l'atténuation des risques opérationnels identifiés, tout en mettant en évidence les tendances et en identifiant les risques liés à votre recours à des tiers. Il ne suffit donc pas d'examiner ce dont nous disposons, d'évaluer les risques et de présenter notre plan pour les gérer. Nous devons disposer d'un moyen de visualiser les risques qui nous attendent à l'avenir, qui sont aujourd'hui de plus en plus nombreux. Nous utilisons le terme « cygnes noirs » pour décrire des événements dont la probabilité de survenue est faible. Et ce que nous constatons aujourd'hui, c'est que tous ces cygnes noirs deviennent des événements réguliers et se produisent beaucoup trop fréquemment, qu'il s'agisse des vents solaires, du Casa Log 4j ou de la guerre en Ukraine. Tous ces éléments ont un impact sur notre gestion des risques liés aux tiers. Nous devons donc disposer, dans la mesure du possible, d'une automatisation pour identifier ces risques et les gérer. Il est également important de ne pas avoir à passer par des exercices d'alerte hebdomadaires, mensuels et trimestriels pour rassembler les informations que vous devez communiquer à votre responsable. La gestion à plusieurs niveaux de l'état du programme de gestion des risques liés aux tiers. L'automatisation est donc un facteur clé dans la manière dont vous pouvez gérer et atténuer ce risque. J'ai ici une liste de contrôle de certaines des choses auxquelles vous devez penser lorsque vous réfléchissez à la gestion des risques liés aux tiers et à l'automatisation du programme. La première question est la suivante : disposez-vous d'un inventaire centralisé de vos tiers ou votre entreprise fonctionne-t-elle selon un modèle fédéré dans lequel chaque unité commerciale est responsable de la gestion de son propre inventaire de tiers, ce qui rend les choses un peu plus difficiles à faire ?

Bob Wilkinson: Aujourd'hui, le développement logiciel est un aspect important de la gestion des risques liés aux tiers. Certains des problèmes les plus importants que nous avons rencontrés au cours de l'année dernière concernaient les vulnérabilités des logiciels. Comment pouvons-nous déterminer si le logiciel d'un tiers que nous utilisons est celui qui a été affecté par un incident potentiel ? La plupart des organisations disposent d'un inventaire des logiciels qu'elles utilisent. Comment pouvons-nous exploiter cet inventaire pour mieux cartographier et comprendre les activités des tiers, afin de savoir si un incident chez un tiers est dû à un problème logiciel qui affecte ce tiers ? Cela nous simplifie grandement la vie. Exploitez donc votre inventaire de logiciels comme une ressource parallèlement à votre tiers. Existe-t-il un processus unique pour l'intégration des tiers dans votre organisation ? Je constate souvent que les organisations ont des processus d'exception. Ceux-ci peuvent être basés sur les dépenses. Ils peuvent être basés sur un certain nombre d'éléments qui permettent aux tiers de contourner votre processus d'intégration standard. Si cela se produit, vous devez comprendre où ils se trouvent et quel est le risque qu'ils représentent. Disposez-vous d'une base de données centralisée et automatisée des contrats avec les tiers ? Pouvez-vous donc vous référer aux contrats existants avec vos tiers et les comprendre ? Existe-t-il un processus automatisé pour la diligence raisonnable lors de l'intégration qui puisse rationaliser le processus et apporter des gains d'efficacité à votre organisation ? C'est là un autre aspect du défi et de la manière dont vous pouvez automatiser les avantages qui en découlent pour votre organisation. Disposez-vous d'un système de suivi des problèmes pour tous les problèmes identifiés chez les tiers ? Est-il automatisé ou effectuez-vous le suivi sur papier ou dans un tableur Excel ?

Bob Wilkinson: Parce que ce que vous voulez faire, c'est tirer parti du fait que ces problèmes sont liés aux entreprises qui les rencontrent et informer régulièrement ces entreprises de l'état d'avancement de la résolution des problèmes. En effet, comme je l'ai déjà dit, la clé du succès d'un programme de gestion des risques liés aux tiers réside dans la capacité à atténuer les risques et à réduire ces risques pour votre entreprise. Le bon sens réglementaire et commercial vous dicte de suivre les performances de vos tiers. En général, c'est le responsable des relations commerciales qui s'en charge. Mais il existe, en particulier dans le secteur bancaire, des exigences trimestrielles pour suivre les performances de vos tiers critiques et leur rendement. Vous devez donc réfléchir à cet aspect des choses pour les programmes de surveillance continue, en pensant au flux de travail que vous avez mis en place et au fait qu'il s'agit d'un processus automatisé afin que les informations puissent être rapidement transmises aux personnes qui en ont besoin. afin qu'ils puissent prendre les mesures nécessaires. Enfin, avez-vous réfléchi à votre structure et à vos exigences en matière de rapports de gestion ? Avez-vous réfléchi à ce dont vous avez besoin pour mesurer les KPI, les KRI et quelles parties de votre organisation doivent faire l'objet de rapports et à quelle fréquence à mesure que vous avancez ? Cela conclut ma présentation. Je dirais que ces questions sur les KPI, les Kri, les rapports de gestion, la manière dont vous faites tout cela et l'impact de certains changements réglementaires sur la gestion des risques tiers feront l'objet d'une grande partie du prochain webinaire, le webinaire 4, qui est prévu pour le 9 juin. À ce stade, je voudrais redonner la parole à Melissa pour voir si nous avons des questions.

Melissa: Hum, d'accord, je vais en faire un, puis je demanderai à Scott de prendre le relais et de faire son truc. Hum...

Scott Lang: Eh bien, mais il y a tellement de bonnes questions qui ont été posées. Je pense que nous devrions d'abord y répondre avant de passer à ma partie. Je pense que nous devrions poursuivre la conversation sur ce sujet, puis je m'immiscerai à la fin.

Melissa: Très bien. D'habitude, c'est mort, et maintenant nous avons toutes ces questions. C'est génial.

Scott Lang: Je sais. C'est génial.

Melissa: D'accord. Je vais commencer. Vous lui avez donné beaucoup à réfléchir, je suppose, hein ? Euh, j'ai une question qui demande : « Quelle est la validité d'un rapport de type 2 de Sock 2, étant donné qu'il s'agit d'une période donnée ? »

Bob Wilkinson: Eh bien, un Sock 2 type 2 a sa validité et constitue une évaluation complète de la posture de l'organisation en matière de risques. Mais j'en reviens à mon argument : c'est un document très utile le jour où il vous est fourni, mais qu'en est-il le lendemain et le surlendemain ? Et à quelle fréquence un Sock 2 type 2 est-il réalisé ? Êtes-vous donc convaincu que le produit ou le service fourni par un tiers sur la base de ce Sock 2 sera suffisant pour vous pendant les deux prochaines années ? C'est toujours ma préoccupation, car nous vivons dans un monde très transactionnel où nous constatons des impacts en permanence. C'est un document absolument utile, mais que se passera-t-il demain ? Vous n'allez pas entendre dire que votre SOCK 2 type deux ne sera pas mis à jour, vous savez, 365 jours par an. C'est là tout le défi.

Melissa: Je vois. Hum, d'accord. J'ai une autre question pour vous. Les régulateurs sont-ils critiques envers les entités qui ont plusieurs fournisseurs proposant des services similaires, c'est-à-dire un fournisseur qui peut desservir plusieurs secteurs d'activité ? Pourquoi avoir quatre fournisseurs qui font la même chose ? Cela augmente les risques.

Bob Wilkinson: Très bien. Dans ce contexte, d'un point de vue commercial, pourquoi en avoir quatre alors que vous pouvez vous contenter d'un ou deux ? Il faut toujours penser en termes de redondance suffisante. Si vous avez un processus critique et que vous n'avez qu'un seul fournisseur pour celui-ci, et que ce fournisseur disparaît, vous avez un problème. Vous pourriez donc vouloir passer de quatre à deux. D'un point de vue réglementaire, l'autorité de régulation considérera que si vous avez beaucoup de fournisseurs un peu partout et que vous partagez des informations avec tous, vous courez peut-être un risque excessif ou vous n'êtes peut-être pas aussi responsable financièrement que vous pourriez l'être dans la gestion de votre entreprise. Mais je pense que pour en arriver là, il faudrait vraiment faire des choses extrêmes. Je pense donc qu'il s'agit moins d'une question de réglementation que d'une approche fondée sur le bon sens commercial. Pourquoi voulez-vous cette duplication ? Vous avez augmenté votre risque. C'est ce sur quoi le fournisseur et les autorités de réglementation se concentreront. Pourquoi partagez-vous vos données avec quatre entreprises alors que vous n'avez besoin de les partager qu'avec deux ? Euh, et de ce point de vue, il est tout simplement logique, d'un point de vue commercial et de gestion des risques, de ne pas partager avec autant d'entreprises alors qu'un nombre moindre suffirait.

Scott Lang: Euh, une autre question pour vous : quelle est la solution si la pièce 2 n'est pas valide ou importante pour toute l'année ? Quels autres documents devrions-nous demander à slashdepend ?

Bob Wilkinson: Vous voyez, c'est là tout le problème avec la documentation, n'est-ce pas ? La documentation est figée dans le temps, elle est utile et, historiquement, c'est ainsi que la gestion des risques liés aux tiers a été pratiquée, mais comme nous transférons de plus en plus de choses sur Internet et que nous recourons davantage à des tiers, nous sommes désavantagés si nous ne disposons pas d'un flux continu d'informations au sein de notre organisation. Cela va donc au-delà d'une simple surveillance continue. Comment intégrer votre programme de gestion des risques liés aux tiers dans d'autres domaines clés de votre organisation ? Comment l'intégrer à votre cyber-intelligence ? Comment l'intégrer à votre centre des opérations de sécurité afin que, lorsqu'un incident se produit, ils puissent s'adresser à vous et vous dire : « Hé, log 4J vient de se produire. Quels sont nos tiers critiques qui utilisent ce logiciel log 4j et comment pouvons-nous y remédier ? Cela s'inscrit donc dans le contexte de l'évolution du paysage, du recours croissant à des tiers, de l'utilisation d'Internet et, comme vous le savez, de la disparition progressive des centres de données traditionnels, qui nous obligent à rechercher des solutions fournissant des informations plus récentes de manière continue. La documentation ne vous permettra pas vraiment d'avoir une visibilité continue sur ce qui se passe. C'est un défi.

Melissa: Parfait. Merci pour vos connaissances. Je vais maintenant passer la parole à Scott. Il nous reste quelques minutes. Je sais qu'il souhaite dire quelques mots. Je vous en prie.

Bob Wilkinson: D'accord, Scott.

Scott Lang: Bonjour, j'ai encore quelques questions qui m'ont été transmises et je vous assure sincèrement que je ne cherche pas à m'immiscer dans la présentation. Je suis juste ravi d'avoir ce niveau d'interaction avec le public. C'est fantastique, les amis. Euh, une autre question qui m'a été posée était : pouvez-vous expliquer le risque ESG ? Vous savez, l'ESG semble être un concept relativement nouveau. Avez-vous des conseils sur la manière d'intégrer ce concept dans les processus de diligence raisonnable habituels ?

Bob Wilkinson: Eh bien, pour faire court, revenez le 9 juin, lorsque Prevalent organisera un webinaire sur l'ESG et que j'aborderai ce sujet plus en détail.

Scott Lang: Je t'ai mis en position, Bob. Plante celle-là.

Bob Wilkinson: Excellent. Oui, la réponse courte est que cela dépend de la région géographique dans laquelle vous opérez. Il existe une différence entre les États-Unis et l'Europe, mais aux États-Unis, l'ESG se concentre vraiment sur les entreprises qui fournissent à leurs investisseurs des informations sur ce qu'on appelle le concept de matérialité. Ainsi, si le risque environnemental, social ou de gouvernance est tel qu'il aurait un impact significatif sur la décision d'un investisseur quant à la manière dont il vote ses actions dans une entreprise ou s'il achète des actions dans cette entreprise. C'est l'objectif de la Securities and Exchange Commission aux États-Unis. Lorsque nous passons à l'Europe, au Royaume-Uni et à d'autres régions, nous nous posons des questions différentes. Donc, comme je l'ai dit, le 9 juin, vous obtiendrez beaucoup de détails.

Scott Lang: Euh, je voudrais répondre à une question qui a été posée à plusieurs reprises dans le chat et dans la session de questions-réponses. Euh oui, l'enregistrement de cette session sera disponible, tout comme les enregistrements des sessions un et deux, et ces présentations seront envoyées demain afin que tout le monde puisse avoir accès à l'excellent contenu que Bob a partagé. Euh, une dernière question pour vous. Je pense que vous avez peut-être déjà répondu à cette question. Je m'excuse. Euh, mais les facteurs de différenciation que vous devez prendre en compte lorsque vous effectuez une vérification préalable pour les fournisseurs sur site par rapport aux fournisseurs hébergés dans le cloud. Euh, oui.

Bob Wilkinson: Eh bien, ce n'est pas une réponse courte et je n'essaie pas d'éviter le sujet, mais vous savez, avec les solutions sur site, vous traitez avec quelqu'un en particulier, vous connaissez le problème avec le cloud, c'est que plus les gens transfèrent de données vers le cloud, plus le cloud devient redondant. Le cloud est assez redondant. Il est devenu un élément essentiel des activités commerciales. Mais quand le cloud tombe en panne, ce n'est pas seulement moi ou vous qui sommes touchés. Tout le monde est touché. Nous avons vu ces pannes AWS qui ont affecté la côte est ou la côte ouest. L'impact est considérable. Et quand on a affaire au cloud, on se retrouve avec tout un tas d'autres questions à traiter et à gérer, notamment la manière dont vos données sont gérées. Quel est votre rôle ? Allez-vous être l'administrateur ? Est-ce qu'AWS, par exemple, va être l'administrateur ? Il y a de nombreux aspects à prendre en compte, Scott, et cela pourrait faire l'objet d'une conversation un autre jour.

Scott Lang: Oui, je suis d'accord. Oui, bonne idée. Bon, je veux que tout le monde reste dans les temps pour le reste de la journée. Il reste environ une minute avant le début de l'heure. Je voudrais juste vous montrer une brève diapositive sur Prevalent et sur ce que nous pouvons faire pour vous aider à réduire certains de vos défis en matière de gestion des risques liés aux tiers. Je vais donc lancer un sondage pendant que vous faites cela et ils pourront répondre tout en vous écoutant. Merci. Allez-y.

Bob Wilkinson: Oui, bien sûr. Bon, très bien. Si vous pouvez voir mon écran... Vous savez quoi ? Quoi ? Oups. Je pense que vous voyez probablement le mauvais, n'est-ce pas ? Oups. Donnez-moi une seconde, mes amis. Toutes mes excuses.

Melissa: Super.

Scott Lang: Melissa, peux-tu me confirmer que tu vois bien mon écran ? Super. Tu sais, tout ce dont Bob a parlé aujourd'hui, tu le fais en quelque sorte toute seule, et toutes les questions que tu as posées me confirment que la gestion des risques liés aux tiers en est encore à ses balbutiements. Il reste encore beaucoup à faire en termes de gestion des risques liés aux processus, de bibliothèques pour la veille sur les risques, pour poser les bonnes questions, faire cavalier seul ou s'appuyer sur des outils manuels comme des tableurs pour y parvenir, c'est tout simplement un cauchemar. Nous sommes spécialisés dans la fourniture d'une plateforme qui rassemble tout ce contenu dans une solution unique. Vous disposez ainsi d'une vaste bibliothèque de questionnaires et d'évaluations dans laquelle vous pouvez puiser. Vous disposez de recommandations de remédiation automatisées qui vous aident à orienter vos tiers vers un niveau de risque acceptable. Vous disposez également d'un système intégré de reporting des risques qui s'aligne sur plusieurs régimes et exigences réglementaires. Des questionnaires pour ISO, NIST, etc., vous savez, toutes ces différentes exigences également. Ainsi, vous examinez le risque non pas à un moment donné, mais de manière holistique tout au long du cycle de vie du risque fournisseur. Euh, et encore une fois, nous regroupons tout cela dans une plateforme qui vous donne accès à un nombre illimité de questionnaires sur des sujets liés à la gestion des risques, à la possibilité de créer votre propre questionnaire, puis vous pouvez boucler la boucle sur les risques avec ces tiers, vous savez, si nécessaire. Nous serions ravis de pouvoir discuter avec vous de ce que nous pouvons faire pour vous aider à gérer les niveaux de risque individuels au sein de votre organisation. Melissa vous recontactera avec un enregistrement de la session d'aujourd'hui, la présentation et bien plus encore. N'hésitez pas à nous contacter. Nous serions ravis d'avoir une brève conversation avec vous pour savoir où vous en êtes actuellement, quelles pourraient être les prochaines étapes pour vous et comment nous pouvons vous aider à y parvenir. Voilà, c'est tout ce que j'avais à dire. Je sais que nous sommes à l'heure pile. Melissa, je te laisse conclure.

Melissa: Parfait.

Bob Wilkinson: Melissa, juste une petite précision si vous me le permettez avant de continuer.

Bob Wilkinson: Euh, la quatrième partie, le quatrième webinaire est prévu pour le 9 juin, je crois. Non, pas le 9 juin, c'est quand déjà ? Le 15 juin, pardon. Donc, la quatrième partie, où nous aborderons plusieurs autres sujets, aura lieu le 15 juin à midi. Et si vous avez des questions sur ce que j'ai présenté aujourd'hui, mes coordonnées sont affichées à l'écran. N'hésitez pas à me contacter, ainsi que l'équipe Prevalent, et nous serons heureux de vous répondre.

Melissa: C'est à peu près tout ce que j'avais à dire. Passez une bonne journée, les amis, et rendez-vous pour la dernière partie. Prenez soin de vous. Au revoir.

Bob Wilkinson: D'accord. Au revoir.