TPRM 101 : Obtenir une valeur réelle de l'évaluation des fournisseurs

Amy: Bon, nous sommes en direct. Bienvenue à tous. Amy: Je vois que certains d'entre vous commencent à arriver. Amy: Pendant que vous vous installez et vous préparez pour le webinaire d'aujourd'hui, je lance un sondage, car nous voulons vraiment savoir ce qui vous a amenés ici aujourd'hui. Le sondage est lancé. Amy: OK. Amy: Que ce soit pour des raisons purement éducatives, pour un projet de recherche ou parce que vous avez un projet de gestion des risques tiers à venir. Amy: Si vous ne savez pas exactement pourquoi vous êtes ici, ce n'est pas grave. Amy: Restez avec nous, vous apprendrez peut-être quelque chose, ou peut-être êtes-vous un client régulier et souhaitez-vous simplement vous tenir au courant de tout. Amy: Je m'appelle Amy Tweet. Amy: Je travaille au développement commercial chez Prevalent et mon travail aujourd'hui consiste à m'assurer que vos questions soient transmises à Brenda Ferraro. Amy: Vous la voyez ici, devant la caméra. Amy: Présentez-nous Brenda. Amy: Elle est notre vice-présidente chargée des risques liés aux tiers chez Prevalent. Amy: Elle a plus de 20 ans d'expérience dans la mise en place de programmes efficaces de gestion des risques liés aux tiers. Amy: Et aujourd'hui, nous allons voir comment tirer pleinement parti de l'évaluation des fournisseurs. Amy: Quelques points d'ordre administratif avant de laisser cette question du sondage en ligne. Amy: Vous êtes tous hors caméra et en mode silencieux. Amy: Nous souhaitons vraiment que vous restiez engagés. Amy: Tout au long de ce webinaire, nous allons poser beaucoup de questions et nous souhaitons également connaître les vôtres. Amy: Veuillez donc utiliser la fonction Q&A en bas de l'écran de votre Zoom ou la fonction chat. Amy: Dans tous les cas, je transmettrai vos questions à Brenda. Amy: Euh, cela est également enregistré, donc si vous devez vous absenter, vous pourrez le retrouver dans votre boîte de réception demain matin et le revoir autant de fois que vous le souhaitez. Amy: Cela dit, Brenda, j'ai beaucoup de questions aujourd'hui, car c'est un sujet très actuel et je suis impatiente d'apprendre beaucoup de choses grâce à vous. Amy: Je vais donc vous passer le micro. Amy: Euh, bienvenue Brenda.

Brenda: Merci. Brenda: Je suis ravie d'être ici et, Amy, je suis très heureuse que tu participes activement à cette conférence téléphonique. J'espère que le public posera des questions au fur et à mesure que nous aborderons chacun de ces cinq sujets, car c'est vraiment important. Brenda: Donc, les sujets dont nous allons parler aujourd'hui, et que vous avez certainement remarqués sur vos invitations, concernent la rationalisation des processus d'évaluation. Brenda: Parfois, les processus peuvent comporter de nombreuses incohérences et lacunes, et nous voulons des résultats plus rapides, ou nous n'avons peut-être pas assez de personnel pour faire le travail, ou nous faisons peut-être des choses en boucle et nous n'arrivons jamais au point où nous devons accéder à la source existante de données des fournisseurs. Brenda: Nous avons déjà effectué de nombreuses évaluations. Brenda: Pourquoi ne les réutilisons-nous pas ? Brenda: Et comment les réutiliser ? Brenda: Et de quoi avons-nous besoin pour y parvenir ? Brenda: Nous cherchons davantage à obtenir des informations sur les risques qu'à rassembler du contenu. Brenda: Nous aborderons donc également ce sujet. Brenda: Évoluer pour couvrir davantage de tiers avec moins de ressources. Brenda: J'ai un peu abordé ce sujet lors de la première évaluation, mais nous avons tellement à apprendre sur les risques, l'univers des fournisseurs dont nous disposons et la manière dont nous les profilons. Brenda: Hum, et nous n'avons peut-être pas assez de ressources pour tout faire. Brenda: Nous partons peut-être de zéro ou nous avons peut-être un programme mature où nous devons nous assurer que nous examinons les risques liés au paysage des menaces. Brenda: Aujourd'hui, nous veillons également à ce que les risques soient gérés efficacement afin d'y remédier. Brenda: J'ai donc eu de nombreuses discussions avec différents types d'entreprises, tous secteurs confondus, à l'échelle mondiale, et elles font un travail formidable. J'ai déjà parlé de cela auparavant, elles collectent des informations à l'extrême. Brenda: Elles font un excellent travail pour obtenir les informations, mais dès qu'elles les obtiennent, elles se contentent de dire « OK, j'ai les informations, je connais les risques » et elles ne consacrent pas autant de temps à la médiation de ces risques. Brenda: Ce qui nous rendra plus sûrs, c'est de prendre le risque, de corriger le problème, puis de passer aux risques du mois ou de la semaine suivants. Brenda: Nous en avons connu beaucoup ces derniers temps. Brenda: Et puis, nous atteignons également plusieurs objectifs de conformité. Brenda: Alors que nous approchons du milieu de l'année 2021, voire que nous l'avons déjà dépassé, nous sommes sur le point d'entrer dans le septième mois. Brenda: Et ce qui se passe, c'est que de nombreux départements déterminent ce que nous demandons à nos fournisseurs et à nos vendeurs. Brenda: Nous demandons des questionnaires au département juridique, au département chargé de la confidentialité, au département des achats, au département chargé des tiers, et ces pauvres vendeurs sont encore fatigués. Brenda: Nous voulions aborder ce sujet l'année dernière, mais nous avions bien sûr d'autres choses à traiter. Brenda: Mais maintenant, nous en arrivons vraiment à un point où tout le monde se réunit et examine une approche d'entreprise en matière de conformité, et toutes les informations qui doivent être recueillies peuvent être examinées sous un angle différent. Brenda: Nous parlerons donc également de ces questions. Brenda: À la fin de cette présentation, nous aurons quelques points clés à retenir, mais je vais demander à Amy de poser les questions, ainsi que celles qui vous viennent à l'esprit, afin de nous lancer dans chacun de ces cinq domaines. Brenda: Alors, Amy, de quoi allons-nous parler en premier ?

Amy: Ma première question est donc la suivante : quelles sont les trois principales mesures qui permettent de rationaliser et d'accélérer les processus d'évaluation ?

Brenda: Bon, pour moi, les trois éléments les plus importants sont une plateforme automatisée et je regarde mes notes parce que je ne veux rien oublier et j'ai l'impression de parler beaucoup de choses et j'en oublierais une et je ne veux rien oublier aujourd'hui. Brenda: Donc, pour moi, l'automatisation de la plateforme, c'est être un maître des processus. Brenda: Quand je travaillais chez Charles Schwab, ils m'ont fait suivre les cours de maîtrise des processus du Dr Michael Hammer au MIT et à Harvard, et j'ai beaucoup appris sur l'agilité et la simplicité, ainsi que sur les moyens de créer un flux de travail plus efficace en partant de ce que vous avez, en l'examinant, en le décomposant et en vous assurant d'éliminer les retards et le gaspillage, pour finalement aboutir à une plateforme, une proposition ou un flux de travail qui vous permettra de passer du point A au point Z sans accroc et sans avoir à effectuer manuellement des tâches automatisées qui causent du gaspillage et des retards. Brenda: Il faut donc rechercher une plateforme capable d'envoyer des notifications automatisées en fonction du statut ou d'examiner les informations à l'aide d'algorithmes pour dire, par exemple, que vous allez manquer la date de correction de votre médiation des risques. Brenda: Nous devons leur rappeler que cette date approche ou qu'elle a été dépassée et leur expliquer ce qui va se passer. Brenda: C'est un peu comme si vous aviez votre meilleur ami, la fée Clochette ou un porte-bonheur dans la plateforme qui travaille pour vous afin que vous puissiez vous concentrer sur les tâches qui nécessitent vraiment une intervention manuelle. Brenda: L'autre élément important est le profilage et le tarage. Brenda: Beaucoup d'entreprises avec lesquelles j'ai discuté ont déjà effectué un profilage et un tarage, mais à un niveau très élevé. Brenda: Et ce que nous constatons, c'est que lorsque nous collectons des informations, nous les collectons de manière à ce qu'elles ne soient pas extrêmement pertinentes pour la mission. Brenda: Par exemple, si j'ai un fournisseur ou un prestataire de services cloud, je veux examiner la sécurité du cloud sous sa forme la plus évidente. Brenda: Et il y a d'autres choses que je vais probablement demander, mais je n'ai pas nécessairement besoin de tout demander. Brenda: Nous avions l'habitude d'avoir des questionnaires de 1 700 questions, ce qui était ridicule. Brenda: C'était insensé de tout demander, car ce qui importe, c'est ce qui se passe pendant la période concernée. Brenda: Les ransomwares en font partie. Brenda: Vous voulez savoir exactement ce qu'ils font pour vous et leur demander les informations de sécurité appropriées. Brenda: Il en va de même pour les logiciels, par exemple. Brenda: Les logiciels présentent plusieurs aspects différents que vous devez examiner, contrairement au cloud. Brenda: et en utilisant soit un CAIQ, soit un questionnaire VBSIM si vous vous intéressez aux logiciels, soit un questionnaire sur les cadres de contrôle courants. Brenda: Ils ont tous leurs raisons et leur utilité pour ce que vous devez découvrir. Brenda: Et enfin, le troisième élément serait les notifications de plateforme et l'automatisation des rapports. Brenda: Nous avons parlé de l'automatisation et des notifications, mais les rapports sont de loin la chose la plus importante que vous puissiez avoir. Brenda: Vous disposez de toutes ces données que vous absorbez. Brenda: Vous devez être en mesure de les découper et de les analyser de manière à savoir où vous en êtes dans votre évaluation, où vous en êtes dans votre diligence raisonnable, où vous en êtes dans votre remédiation, où vous en êtes au niveau du portefeuille, où vous en êtes au niveau du département, où vous en êtes dans l'ensemble de votre entreprise. Brenda: Et si vous ne pouvez pas utiliser l'apprentissage automatique et l'intelligence artificielle pour générer les rapports dont vous avez besoin en un clin d'œil, vous serez désavantagé. Brenda: Vous devrez alors créer de nombreux tableaux Excel ou rapports à partir de zéro, ou combiner des informations à partir de zéro. Brenda: Voilà donc les trois premières choses à faire. Brenda: Avons-nous reçu des questions, Amy, pendant que nous parlions de cela ?

Amy: Pas encore, mais j'ai une question. Amy: Je voudrais revenir sur le profilage et le tarage. Amy: J'ai discuté avec quelques personnes ici chez Prevalent qui sont intéressées, mais qui n'ont jamais touché au tiering et qui n'ont pas du tout classé leurs fournisseurs par niveau. Amy: Quelle est la meilleure façon de s'y mettre ?

Brenda: Nous allons donc en parler un peu dans la suite de cette présentation. Brenda: Mais l'un des points importants à retenir est que vous devez d'abord déterminer quelle est l'approche de votre entreprise en matière de tarification, car chacun a parfois une vision différente de la question. Brenda: Si vous parvenez à uniformiser cette approche dans toute l'entreprise, cela vous facilitera grandement la tâche, car vous n'aurez pas à faire de conversion. Brenda: Par exemple, si votre entreprise ou votre service chargé des risques et de la conformité utilise les niveaux 1, 2, 3 et 4, déterminez quels sont les critères utilisés et voyez si vous pouvez les réutiliser. Brenda: Sinon, si vous ne pouvez pas, vous pouvez adopter une approche de hiérarchisation de la gestion des risques tiers ou de la gestion de la chaîne d'approvisionnement. Brenda: Vous pouvez utiliser ABCD. Brenda: Vous pouvez utiliser rouge, orange, jaune, vert. Brenda: Vous pouvez utiliser ce que vous voulez, mais le profilage et la hiérarchisation sont importants. Brenda: Et tout cela se passe au tout début, lorsque vous envisagez de faire appel à un fournisseur ou à un prestataire. Brenda: Donc, en gros, si vous passez par le processus d'appel d'offres, le service des achats dira que ces cinq entreprises environ sont celles que nous envisageons. Brenda: Disposez dès le départ d'informations qui vous donneront les critères pour dire voici ce qu'elles vont faire pour nous. Brenda: Voici le lieu où cela se passera. Brenda: Voici les personnes à contacter. Brenda: Voici les informations financières générales. Brenda: Vous pouvez générer des rapports de veille sur les menaces afin d'avoir une idée générale de ce qui se passe sur le terrain. Brenda: Mais il s'agit vraiment de découvrir, avant même de commencer à travailler avec eux, de quel type d'entreprise il s'agit, ce qu'ils font pour vous et les pièges à éviter. Brenda: Il y en a environ 11 ou 12, et Prevalent peut vous aider à les identifier. Brenda: Nous avons un processus d'admission et un processus essentiel qui peuvent vous donner une idée des risques inhérents avant même que vous ne fassiez affaire avec eux, ce qui vous aidera à déterminer ce qui vous attend si vous décidez de travailler avec cette entreprise, car nous savons déjà qu'il y aura certaines choses à examiner.

Amy: Génial. Amy: Merci. Amy: Aucune question n'a encore été posée par le public, mais je vous rappelle que si quelque chose vous vient à l'esprit, n'hésitez pas à le noter et nous le poserons à Brenda. Nous sommes là pour vous aider. Amy: Très bien, question suivante. Amy: Quelles données existantes sur les fournisseurs peuvent être utilisées pour obtenir des informations immédiates sur les risques ?

Brenda: Nous avons abordé ce sujet il y a quelques instants. Brenda: Je dirais toujours que si vous utilisez l'intelligence des fils, c'est l'un des moyens qui vous permet de traiter des informations sans avoir de point de contact. Brenda: Vous avez juste besoin d'un nom de domaine et cela vous indiquera ce qui se passe dans la nature s'ils ne sont pas sécurisés dans certains domaines de sécurité. Brenda: Euh, avec la prévalence, vous pouvez non seulement examiner la cybersécurité, mais aussi l'intelligence économique et l'intelligence financière. Brenda: Il est donc fortement recommandé, si vous examinez un aspect de priorisation ou même tout au long du cycle de vie de l'engagement d'un tiers, d'exécuter ce rapport de renseignements sur les menaces. Brenda: L'autre chose à faire est de réutiliser vos questionnaires. Brenda: Donc, à l'époque, et je ne vais pas me vieillir parce que je continue à vieillir. Brenda: Tout le monde vieillit. Brenda: Je fais comme si j'avais encore 21 ou 25 ou 29 ans, peu importe le chiffre.

Amy: peu importe ce que tu ressens.

Brenda: But back in the day, um, we had a situation where every year when the questionnaire to gather content would change because the threat landscape changed. Brenda: But if you think about it, the threat landscape was changing and we were catching up. Brenda: We have to get ahead of that. Brenda: So, I really proposed um a strategy that’s going to say we’re no longer doing I’ve talked about this before in many webinars, the one and done. Brenda: It’s important to do continuous evaluation and continuous evaluation means you gather what you need to at the very beginning for inherent risk. Brenda: You do your assessment and add components that are important and relevant for the residual risk. Brenda: you track those risks to closure and then when things happen when ransomware becomes important when IoT devices become more important when smart car stuff starts becoming I mean we’ve got smart cars coming all over the place and it’s going to be coming you know become more and more apparent pipeline things those are wakeup calls and those wakeup calls should not be ignored until the next questionnaire comes out those wakeup calls are really to say do you know if those suppliers and third parties are impacted by this situation and if they are what are you doing about it now not at the halfyear mark or the nine month mark or when the year comes so that’s what I would say about questionnaires and repurpose their answers but ask them to remind them to say okay has anything changed you can’t just say what you answered last time is exactly what you’re going to be this year because you may have had an audit that says you’re not doing as well as you thought you were doing in incident response or in multifactor authentication or things like that. Brenda: So they have to at least and I I don’t like this word the word attest but they have to at least attest or say we’re doing the same in our effectiveness for this particular control domain and by the way we’re answering all the deltas as they’re coming. Brenda: So make relationships with your vendors and suppliers and let them know that we’re not just going going to talk to you once. Brenda: We have a relationship now and relationships have to have time together and time together for us is going to be whenever I reach out very thoughtfully about what is happening in the environment today. Brenda: The other thing is um key controls. Brenda: So if you have key controls in your organization and what those are are really musthaves, these controls are the ones that we require all of our suppliers to have by engagement. Brenda: Then those will help you to set up and configure platforms for automation on what’s important based on their service types. Brenda: So you can do uh in external and internal quantification and identifying exactly what’s happening with those vendors whether you have a point of contact or you don’t. Brenda: Or you can look up point of contacts. Brenda: Um prevalent has a point of contact lookup and that will help you at least find someone within the company. Brenda: So don’t fear that okay I have 10,000 vendors or 3,000 vendors or even 25 but I don’t know who to go to. Brenda: Um you can always use a lookup feature as well. Brenda: The other thing is preconfiguring those risks. Brenda: So when you know your key controls you can rank those at the highest risk and when you rank them at the highest risk then it’s going to be things that are apparent and bubble to the top for your assessors to review. Brenda: And sometimes people have managed services helping them with their assessment. Brenda: So if you’ve outsourced your assessment due diligence to a risk operation command center whether it be at prevalent or somewhere else then those items will be completely available for them as well as for your organization if you’re like doing a hybrid approach. Brenda: So either you’re handing it off to someone or you’re doing it yourself. Brenda: But everyone should have the same voice and everyone should know what the risks are and we’ll be talking about that a little bit more. Brenda: Um also use risk association. Brenda: So what that means is that if you have a content gathering in a questionnaire or in thread intelligence, those things should match up together. Brenda: If a question is asked of the supplier or the vendor and something’s seen in the wild, those two things should say what they said and what we see match. Brenda: And if they don’t match, then they should say, okay, we have a risk or we have something we have to look at because what they’re saying is not what we’re seeing or what we’re seeing is not what they’re saying. Brenda: because it could go vice versa. Brenda: It could say, “Okay, they say they’re doing very well or we’re looking at a threat intelligence that’s um providing information that says they’re doing a great job in this security domain, but their questionnaire came back saying we’re not doing good.”. Brenda: You could go back to them and say, “Okay, well, this doesn’t look right. Brenda: It looks good out there on the outside. Brenda: Why is it not looking good on the inside?”. Brenda: So, it helps you to figure out um how to balance and it’s like a a double check. Brenda: The other thing is risk association can help you with if a question is asked somewhere in your questionnaire and then it’s asked again differently in a different security domain and they answer one way in one place and another way in the other then you can kind of do some checks and balances with the risk association with that as well. Brenda: Um we talked about thread intelligence of cyber business and financial make sure you always have those three because without one you will definitely have a scenario where you’re only seeing a part of the picture and we talked about profiling and tiering. Brenda: Oh networks and changes. Brenda: That’s the biggest one. Brenda: I almost forgot it. Brenda: So, networks are there for us to store a library of suppliers and vendors already completed information. Brenda: So, it cuts down on the delay of gathering content. Brenda: And what happens when I as a supplier might be in a network or an exchange with my completed content, my evidence, all of the information where I’m already working on risks. Brenda: What happens is if new company wants to look at my content, I have the ability to either give permission to a a sector like I might say for every healthcare sector uh customer I want them to be able to see my information or for every legal um industry customer I want them to see my information or I should be able to have the ability to say yes I’m doing business with this requesttor go ahead and share my information with them so it stays protected so don’t be af afraid of, oh my gosh, my my content, my information is up in some cloud being serviced by a a third party vendor. Brenda: What’s going to happen to it? Brenda: There are protection mechanisms put all over that to make sure that it is secure and not shared with the wrong companies andor without your permission. Brenda: So, it looks like we have a question, Amy. Brenda: I’m looking at two.

Amy: Oui, j'ai quelques questions du public. Amy: La première concerne les produits courants d'évaluation des risques cybernétiques. Amy: Euh, est-ce que nous développons notre propre produit et comment se compare-t-il à Bitsite ?

Brenda: Bon, je ne peux pas parler de toutes ces informations pendant ce webinaire, mais si vous contactez Amy, qui recevra vos e-mails à l'adresse [email protected], nous avons des documents comparatifs que nous pouvons vous fournir pour vous expliquer en quoi consistent les différentes informations sur les fils de discussion, comment nous créons la synthèse et, normalement, dans la plupart des entreprises, nous utilisons la même source d'informations que les autres entreprises, mais nous les affichons différemment et/ou en fonction de la pertinence de notre plateforme et de ce que nous cherchons à faire et à accomplir pour vous. Brenda: Il existe donc différentes entreprises qui sont le résultat de ces organisations. Brenda: Nous pouvons en avoir d'autres que celles de Bitsite, mais vous devez faire preuve de diligence raisonnable et obtenir ces documents, les documents comparatifs, afin de découvrir quelles sont ces informations.

Amy: Oui. Amy: Cela dit, j'ai pris note de la personne qui a posé la question. Amy: Je me ferai un plaisir de vous contacter après ce webinaire. Amy: Nous pourrons en discuter un peu plus à ce sujet. Amy: Euh, la question suivante vient du public. Amy: Est-ce que vous proposez principalement un service géré de gestion des risques fournisseurs ou vendez-vous une plateforme permettant aux organisations de le faire elles-mêmes ? Amy: Si oui, quel pourcentage approximatif chacun représente-t-il dans votre activité globale ?

Brenda: Nous faisons donc trois choses. Brenda: La première, c'est que nous avons une plateforme que vous pouvez utiliser vous-même. Brenda: C'est une plateforme autonome, vous pouvez la configurer vous-même, vous pouvez créer ce que vous voulez, mais nous avons des personnes qui peuvent vous aider avec des services professionnels. Brenda: Nous avons des services gérés qui vous aident également dans ce domaine, ainsi que des services Rock. Brenda: Le centre de commande des opérations de risque peut donc se charger de la collecte des données. Brenda: Il peut également effectuer l'analyse pour vous. Brenda: Il peut faire le va-et-vient entre ce que vous essayez de recueillir et ce que le fournisseur ou le prestataire a fourni, ainsi que la correction des risques. Brenda: Cela va donc très loin. Brenda: Nous avons également une réponse rapide. Brenda: Cela relève donc du domaine de la gestion des incidents : si nous voyons qu'il se passe quelque chose dans le Wall Street Journal et le New York Times et que notre service de renseignements sur les menaces nous alerte et nous signale un problème. Brenda: Vous devez aller aider vos fournisseurs et vos clients. Brenda: Il y a également une réponse rapide. Brenda: Et il y a aussi des services de conseil et de stratégie. Brenda: Donc, si vous essayez de mettre en place votre programme, nous avons des personnes qui peuvent s'asseoir avec vous, examiner ce que vous faites aujourd'hui, même si vous partez de zéro ou si vous êtes très expérimenté, et essayer de vous aider à comprendre toutes les différentes façons de tirer parti de la plateforme. Brenda: Donc, si vous regardez les pourcentages, cela dépend vraiment de l'entreprise. Brenda: Chaque entreprise est différente en ce qui concerne l'état d'avancement de son programme. Brenda: Certaines partent de zéro, d'autres sont très matures, et ce qui est formidable, c'est que tout ce que nous faisons est adapté à vos besoins. Brenda: Nous nous réunirons donc avec vous. Brenda: Nous discuterons de ce que vous souhaitez accomplir, puis nous pourrons vous proposer différents forfaits qui pourraient vous aider.

Amy: Génial. Amy: Merci, Brenda.

Brenda: Très bien. Brenda: Super. Brenda: Passons au point suivant. Brenda: Tu pensais que ça ne prendrait qu'une demi-heure, n'est-ce pas, Amy ?

Amy: Oui. Amy: Waouh. Amy: Non, c'est génial. Amy: Continuez à poser des questions. Amy: Et j'aime vraiment cette question. Amy: Bon, évidemment, nous sommes tous très occupés. Amy: Alors, avec tant de choses à faire, si peu de temps et des ressources très limitées, comment pouvons-nous accomplir plus avec moins ? Amy: Faites-nous profiter de votre sagesse.

Brenda: So, a little tiny story. Brenda: When I started in thirdparty risk, I’m sure all of you have heard if you’ve listened to me before, is I had this fall in my lap. Brenda: I did know anything about third party and it was a body of one. Brenda: It was just me and they came at me with okay you have 3,000 or 5,000 or 10,000 vendors that you’re going to have to assess. Brenda: And so when I looked at that then I became a team of two brought on another resource and then it kept expanding and expanding. Brenda: Now two questions were um asked of me by my chief information security officer at the time and they said all right there’s two things that can happen. Brenda: Either you’re going to do this with managed services and get some help from the outside or you’re going to hire people and they both have pros and cons. Brenda: Which pro and con do you want to go forward with? Brenda: And as I retrospect on that, I don’t think that I made m what I would call mistakes, but there are some hybrid approaches that I would possibly look at. Brenda: If I’m wanting to get done um maybe like a campaign of assessing things very fast, I would have a risk operation command center. Brenda: or managed services help me with that because it will get things done quickly. Brenda: They’ll be able to look in their networks. Brenda: They’ll be able to find out if the information’s already been gathered. Brenda: They’ll be able to give me what I need to know from a risk perspective. Brenda: And then very quickly, we would be able to identify where we are with what’s already been done. Brenda: That’s great. Brenda: And then again, I call them Tinker Bells and Lucky Charms. Brenda: If all of those individuals were doing things at a a standard level where I would say, “Okay, I want to do 200 of a week or I want to do all 3,000 at one time. Brenda: There would they would have bench strength to do uh to watch all of the responses come in. Brenda: And by configuring a platform with all the risks, the recommendations, the remediation timelines and doing that prep setup, that’s going to make it so that everything would be consistent. Brenda: It would be what the way that my company, whoever I work for, wants to look at their key controls. Brenda: There’s um the network and exchanges that we talked about before. Brenda: So using those those and and for those that aren’t in there, you can use a hybrid approach where you’re launching things out yourself. Brenda: So for that question that we had earlier, if you do um have a platform that people can use themselves, you can have a hybrid approach where you launch things yourself, but you also have managed services doing something for you. Brenda: So look at your tiers and really focus on your criticals and your highs and then let managed services or rock services do your mediums and your lows or or campaigns or things of that nature. Brenda: Um expand support out to additional departments. Brenda: So if you take an approach where you’re asking what you need to ask for not only yourself in your risk management or your supplier or vendor management area and you ask questions that are pertinent to DR, pertinent to business continuity, legal, privacy, procurement, then your your vendor and supplier is going to say, “Wow, this is like going to I guess an experience that I had is I you know going to a Honda car shop versus a BMW car shop. Brenda: They’re different. Brenda: So, it’s kind of like going to a place that has their ducks in a row and they give more um white glove service to you. Brenda: So, that’s kind of what you want to be for your vendors and suppliers. Brenda: They need to work on remediation, not content gathering. Brenda: They need to work on servicing you, not content gathering. Brenda: So, that’s that’s one of the items there. Brenda: Rapid response, making sure that you know very quickly who’s been impacted by an incident or a breach or a ransomware attack or malware. Brenda: And then knowing that you can tell your board, here’s who we work with that is having impact. Brenda: Here’s what we’ve done and here’s how long we’ve given them to close that disconnect. Brenda: And we will give you updates on either a daily or a weekly progress so that you know that the the bar of um impact is going to come to slim or change. Brenda: and then having that a platform that has the ability to visualize all the different connections of your third parties. Brenda: So I I am a proponent for the last five years of going and making sure you have assessment information whether it be just identifying for fourth and fifth and sixth parties that an assessment has been done to what the risks are and how that risk will have impact on the company of which you’re directly contracted with and knowing that in a picture format like a spider diagram and who what business units are using them. Brenda: So for example when I was at again Charles Schwab they had a twostory building that had a screen up on the wall and it would show if an impact happened the daisy chain of events that was going to trickle from that impact to the business units to what trades couldn’t be made and all kinds of things. Brenda: And that was way back in the day. Brenda: I was at uh Schwab way before 2007, so I’m sure it’s even better now. Brenda: But I was flabbergasted by like, oh my gosh, you know how to pivot based on exactly what’s going on so that you can quickly make adjustments to your business. Brenda: That has to happen for resilience for all of our companies globally. Brenda: And we’ve felt some of that pressure based on what we experienced in 2020 and even in 2021. Brenda: So if you have a platform form like prevalent that has the spider diagram and all of the connections of what business units using it, what are they transferring for data, which direction is it going, if something impacts, you can highlight it and see all the connections of what’s going to occur. Brenda: So that I would highly recommend you get into to help with accomplishing more with less because I can tell you it took a lot of manual effort to do things manually when you found out someone was impacted to determine how is the business business going to be with this? Brenda: How is how are we going what do we pivot to? Brenda: What company can we pivot to? Brenda: Do we have a backup company or do we have a concentration risk? Brenda: So hopefully that’s helpful.

Amy: Très bien, j'ai ici une question concernant les services gérés. Amy: À quelle fréquence le travail effectué par Prevalent en tant que fournisseur de services gérés pour un client type conduit-il le chef d'entreprise à changer de fournisseur en raison d'un risque cyber résiduel élevé ?

Brenda: Je ne connais pas les pourcentages exacts. Brenda: Mais vous soulevez un point très intéressant dans votre question : lorsque vous disposez de services gérés qui vous fournissent des rapports de synthèse sur les risques exécutifs, vous disposez d'un processus interne qui permet de transmettre ces informations à un comité de pilotage ou à tout autre programme de disposition dont vous disposez pour dire que notre seuil est qu'ils ne peuvent avoir que ces éléments qui se trouvent dans un certain état et s'ils manquent tout, alors ils doivent envisager de les supprimer et de travailler en contact avec le service des achats et de lui faire savoir que nous avons des problèmes de risque très importants et que l'unité commerciale est impliquée dans leur atténuation. Brenda: Il y a donc plusieurs choses qui peuvent se produire au sein de la plateforme. Brenda: Vous pouvez suivre ces mesures correctives jusqu'à leur clôture. Brenda: Vous pouvez utiliser le rapport de synthèse des risques pour les dirigeants et les différents registres des risques pour montrer aux dirigeants quels sont les risques pour l'entreprise, et vous pouvez partager ces informations avec les équipes chargées de la confidentialité, des achats et de la conformité aux risques, ainsi qu'avec toute autre personne concernée, pour dire que je recommande soit de poursuivre avec ce client ou ce fournisseur, soit de prendre des mesures correctives, soit de ne pas donner suite, en fonction de ce que les services gérés nous fournissent. Brenda: Ils se chargeront donc de tout le travail fastidieux. Brenda: Ils vous fourniront les informations nécessaires pour prendre votre décision, puis vous pourrez poursuivre vos processus internes.

Amy: Très bien. Amy: Et pour rebondir là-dessus, le public demande : « Je crains toujours que la seule chose pire qu'un analyste interne en gestion des risques fournisseurs qui soit ignoré lorsqu'il signale un risque, ce soit d'être ignoré en tant que prestataire de services externe. » Amy: Ce n'est pas vraiment une question, mais je voudrais vous la transmettre.

Brenda: Oui. Brenda: Et c'est vrai, car lorsque nous faisons preuve de diligence raisonnable, qu'il s'agisse de services gérés ou de nos ressources internes, notre travail est vraiment très important. Brenda: Je les considère un peu comme un centre de triage dans un hôpital. Brenda: Les médecins, les infirmières et les centres chirurgicaux ne peuvent pas vraiment savoir quelles sont les prochaines étapes à suivre sans un triage approprié. Brenda: Donc, si vous effectuez votre diligence raisonnable, que vous l'hybridiez avec une société de services gérés, que vous le fassiez en interne vous-même ou que vous adoptiez une approche hybride, ils sont probablement l'un des éléments les plus importants du processus, car ce sont eux qui effectuent cette recherche. Brenda: J'appelle cela la recherche des risques. Brenda: Et dès qu'ils trouvent un risque, ce risque doit être géré. Brenda: Prenez conscience de ce que vous avez décidé de faire avec ceux qui représentent une tolérance acceptable pour votre entreprise. Brenda: Merci pour cette déclaration. Je crois sincèrement que ces personnes sont les plus importantes dans le processus du cycle de vie.

Amy: Génial. Amy: Oui, continuez à poser des questions. Amy: Bon, passons à autre chose... En parlant de remédiation des risques, l'aspect le plus important dans la gestion des risques tiers, quelle est la meilleure façon de les gérer ?

Brenda: Donc, comme je l'ai déjà dit, la remédiation consiste à s'assurer que vous suivez un processus d'évaluation continu. Brenda: Utilisez vos informations sur les menaces et définissez des seuils et des alertes qui vous indiqueront quand les risques changent. Brenda: Disposez de rapports qui vous indiquent les différents risques qui vont apparaître, leur date de remédiation et leur échéance. Brenda: Veillez ensuite à ce que l'unité commerciale ou la personne chargée d'apporter ces changements et de rester en contact avec le fournisseur puisse dire : « Écoutez, votre délai de remédiation est sur le point d'expirer. Brenda: Avez-vous presque terminé et pouvez-vous nous envoyer le résultat ? ». Brenda: Et n'oubliez pas que lorsque vous obtenez une correction de risque, cela ne signifie pas que c'est terminé. Brenda: Cela signifie que vous devez vérifier et vous assurer que c'est bien fait. Brenda: Il existe donc certains protocoles à suivre pour cela. Brenda: Nous avons parlé à plusieurs reprises dans d'autres webinaires de la validation virtuelle. Brenda: Nous avions l'habitude d'effectuer des visites sur place lorsque nous pouvions voyager, et j'ai hâte que les voyages reprennent un peu plus maintenant, mais lorsque nous recommencerons à voyager et à nous voir en tant qu'entreprises, fournisseurs et clients, euh, jusqu'à ce que cela se produise, nous avons trouvé des moyens de procéder à la validation, et la validation consiste à tester ces risques pour s'assurer qu'en utilisant des protocoles spécifiques, ce qu'ils disent et ce que nous voyons est actif et appliqué. Brenda: Ce sont donc des éléments qui comportent également des risques. Brenda: Euh, mais la meilleure façon de les gérer est de disposer d'un système qui vous évite de sortir votre contenu de la plateforme pour le mettre dans un tableur et consulter ces tableurs. Brenda: Vous voulez disposer d'une plateforme qui vous indique où vous en êtes dans le cycle de vie de votre évaluation de diligence raisonnable. Brenda: Euh, s'ils sont en phase de remédiation, si vous êtes encore en phase d'évaluation, et ensuite être capable de découper et d'analyser le contenu pour dire, vous savez quoi, cette année, nous avons tellement de fournisseurs à évaluer. Brenda: Nous allons nous concentrer sur les risques critiques et élevés pour chacun de nos niveaux et fournisseurs profilés. Brenda: Euh, et nous allons supprimer, nous n'allons pas modifier le risque pour les risques moyens et faibles, mais nous allons simplement faire en sorte qu'ils ne génèrent pas de tâche à accomplir pour nous. Brenda: Nous saurons qu'ils sont là. Brenda: Nous reconnaîtrons leur existence, mais nous allons nous concentrer sur des choses comme les ransomwares, les facteurs multiples, euh, le chiffrement des transits, les tentatives de phishing, etc. Brenda: vous savez, les choses qui permettent aux pirates informatiques de nous atteindre plus facilement. Brenda: Ainsi, lorsque nous passerons à la phase suivante de notre programme, notre politique stipulera que nous ajouterons les risques moyens et faibles pour la deuxième année ou lorsque nous aurons terminé d'identifier les risques élevés et critiques. Brenda: C'est donc une autre façon de les gérer.

Amy: Très bien, parfait. Amy: Pas de questions. Amy: Passons à la suivante. Amy: Très bien, Brenda, est-il possible de réaliser une seule évaluation et d'atteindre plusieurs objectifs de conformité ?

Brenda: Oui, et c'est l'un des aspects magiques de la solution courante. Brenda: Nous avons d'excellents gestionnaires de contenu qui sont très compétents en matière de NIST, ISO, RGPD et CCPA. Brenda: Je pourrais continuer avec tous les différents acronymes et tous les cadres réglementaires. Brenda: Et ce qui est très astucieux, je pense que cela vient de... De quelle époque date cela ? Brenda: Des années 1950, je viens d'utiliser un mot branché et astucieux. Brenda: Donc, ce qui est vraiment génial, d'accord, dans les années 90, ce qui est vraiment génial, c'est que vous avez la possibilité de regarder les informations sous un angle différent. Brenda: Je l'appelle donc le bouton magique. Brenda: Il existe des registres des risques et différentes façons de voir les écrans de conformité, et je dirais, d'accord, je viens du service de la protection de la vie privée. Brenda: Je veux voir comment le contenu qui a été recueilli se reflète dans la conformité au RGPD. Brenda: Et j'ai appuyé sur ce joli bouton au sein de l'entité et il me montre exactement où ils en sont en matière de conformité sur la base du contenu qui a été recueilli. Brenda: Ainsi, vous n'avez pas besoin de revenir en arrière et de dire : « Bon, j'ai besoin que vous répondiez à ce questionnaire sur le RGPD, qui pourrait déjà contenir des questions que vous avez posées lors de l'évaluation de la situation globale des tiers, mais pouvez-vous le refaire ? ». Brenda: Non, vous pouvez simplement changer de perspective. Brenda: C'est un peu comme un appareil photo sur lequel vous faites la mise au point. Brenda: Vous faites donc la mise au point pour le RGPD, ou pour le NIST, ou pour l'ISO, et vous pouvez l'examiner sous différents angles. Brenda: Donc, euh, nous sommes en train de devenir assez doués dans ce domaine. Brenda: Et j'apprécie vraiment tout ce qu'ils ont fait pour nous permettre de voir les choses sous différents angles.

Amy: J'adore le mot « chic ». Amy: C'est génial.

Brenda: Oh, j'ai dit ça aussi. Brenda: Bon sang.

Amy: J'allais dire « génial ». Amy: Ça fait très années 90.

Brenda: Génial. Brenda: Génial.

Amy: J'adore. Amy: Hum, donc aucune question pour l'instant. Amy: Hum, cela dit, si vous avez des questions, je sais que nous arrivons à la fin de notre heure ensemble, il reste moins d'une heure, donc nous allons passer en revue quelques points clés. Amy: Si quelque chose vous vient à l'esprit, n'hésitez pas à le poser dans la fonction Q&A. Amy: Hum, et je vais vous laisser, Brenda, vous occuper des points clés ici.

Brenda: All right. Brenda: So, I have I have five of them. Brenda: And so, because we had five topics, so I kind of like interlin linked that, but the first one is automation is key. Brenda: I want to make sure that you’re using the ability to push your life cycle with automation on status and certain criteria that’s being met and being able to use what we call active rules. Brenda: So, for example, if we have something that comes in at has a profile and tier intake process. Brenda: Then it will automatically launch the appropriate content that needs to be sent to the supplier. Brenda: And then when it comes back, the status will change as you know, you don’t have to go in and manually change the status. Brenda: And then when it’s assigned and the risks are identified and you push it along the process, um there’s certain things that can happen magically and automatically. Brenda: Otherwise, there’s a couple things that you may or may not have to do manually because you need to have that personal eye touch on it. Brenda: Having the notifications go out so that you don’t have to do the chaser emails. Brenda: That was one of the things that I just despise doing is having to chase people and you can make the information change and or be stagnant based on what notifications are going out. Brenda: You can tell them about your program at the beginning and give them expectations so that it’s very easy for them to identify what’s going to happen next. Brenda: You can remind them when things are coming. Brenda: do you have the ability to slice and dice the data? Brenda: So automation and having the ability to do that is like key for a process to move faster, but always have your program and process somewhat clearly defined in the beginning with the ability to change and tweak it as you go. Brenda: So do know that you’re not going to come in and say, “Okay, it’s going to be fantabulous and no hiccups are going to happen.”. Brenda: Hiccups will happen, but that’s supposed to because that means you have to improve something and it just continues to help you to grow in your life. Brenda: program. Brenda: The other thing is risk intelligence comes in many forms. Brenda: We’ve talked about cyber risk intelligence. Brenda: We talked about inherent risk. Brenda: We talked about profiling and tearing. Brenda: We talked about business intelligence, financial intelligence. Brenda: We now have uh uh other types of reports that we can give you that are even above and beyond what people have been expecting in the past that procurement can use. Brenda: Um share your information. Brenda: Risk intelligence should be shared and then make sure that you’re looking at that risk intelligence in different camera lenses, GDPR, CCPA, whatever that is. Brenda: The other one is obtain assistance from the experts. Brenda: So, if you’re just starting out, you’re you’re probably going to want to say, “Build this and give it to me so that it can be handed off so that I can just focus on risk remediation or risk management.”. Brenda: And that can happen. Brenda: Or you can have a hybrid approach where you have multiple people on staff and you’ve got this campaign that you need to do a lot with. Brenda: So they can help you with that campaign. Brenda: So think about when there’s temporary situations that you have to grow really quickly, they have the ability to help you with that. Brenda: So um don’t feel like you have to muddle along really slowly. Brenda: They can put a uh managed services can put a program together for you. Brenda: They consult with you. Brenda: They can do strategy services with you and a roadmap to say based on what we have in the platform today, which is a lot, we can help you do what you need to do. Brenda: But we’re also going to keep you apprised of the new things that are coming on a every month to every two month basis. Brenda: And we’ll be talking to you about leveraging those items based on what you’ve purchased from prevalent so that you can start using those because that’s the main goal is to make everything easier, faster, better, smarter, scalable. Brenda: And so you’ll want to keep up with the times on all the different components that are available. Brenda: Um run a relevant third party program or supply chain management program. Brenda: Don’t just have one question. Brenda: If you’re small, you can have one questionnaire. Brenda: I can understand maybe you have 25 assessments to do. Brenda: So, don’t think that you have to have different ones for each one. Brenda: But there’s situations where you may have contractors that are using your laptops. Brenda: So, why are you asking them questions about their laptop? Brenda: They’re using yours. Brenda: You should know how secure it is. Brenda: Or you may have someone who’s doing a software um coding for you and and you need to find out how they’re handling defect management. Brenda: because that’s how the hackers can get through is if there’s a code issue and then they come in through that way or um you might have ransomware that’s really important to you in the health care space and ransomware needs to be at the forefront of your questionnaires. Brenda: It’s nice to know all the other key controls but we’re dealing with ransomware right now. Brenda: So that’s something that could be a a proponent item for you. Brenda: And then finally the fifth thing is the responses need to be mapped to the compliance framework the regulatory require experiments and having that mapped will help you to use the camera lens to look at different views of the information that’s coming in and the way that you need to see it depending on who you are in what department. Brenda: So those are my five things. Brenda: So I will um I think we have one other polling question before we end today. Brenda: But as you’re looking at that polling question or a go ahead and put that up and then I could talk about the trusted partnership after you’ve put that up. Brenda: There it is.

Amy: Donc, en gros, nous vous demandons si vous envisagez de renforcer ou de mettre en place un programme de gestion des risques liés aux tiers en 2021 ? Amy: Et je sais que nous nous rapprochons de 2022. Amy: Donc, peut-être aussi au début de l'année prochaine. Amy: Euh, oui, non, je ne suis pas sûre. Amy: Donnez-nous une réponse. Amy: Et, euh, laissez-vous terminer, Brenda.

Brenda: Et cette réponse revient encore une fois à Amy. Brenda: Donc, si vous voulez en parler davantage avec Amy, et peut-être aussi avec Amanda, elles pourraient vous en faire part. Brenda: Je ne sais pas trop. Brenda: Mais, euh, il est important pour nous de savoir ce que vous essayez de faire, car il existe des moyens d'aider à tous les niveaux et vous vous trouvez peut-être à un certain stade de votre programme particulier où vous aimeriez même découvrir ce qui existe d'autre. Brenda: Il est donc important de se tenir au courant de toutes les différentes choses qui peuvent être utiles et, comme je l'ai dit, de nombreuses entreprises commencent à adopter une approche d'entreprise et, lorsque vous adoptez une approche d'entreprise, d'autres personnes veulent savoir comment votre plateforme de programme de services gérés aide à l'approvisionnement ou comment elle aide à la gestion des risques et à la conformité. Brenda: Il y a donc beaucoup de choses différentes à vous montrer. Brenda: Et bien sûr, nous sommes leaders du Magic Quadrant 2020 de Gartner, les plus forts en matière de stratégie. Brenda: Et c'est important, car sans stratégie, vous ne pouvez pas continuer à garder une longueur d'avance sur tous les différents événements qui se produisent. Brenda: Et nous avons également les réseaux de fournisseurs qui connaissent la croissance la plus rapide. Brenda: Nous avons enregistré une croissance de 128 % en 2020. Brenda: Et nous faisons également à nouveau partie du quadrant Gartner cette année. Brenda: Ces rapports devraient donc être publiés prochainement, je pense, dans le mois qui vient, voire dans deux mois au plus tard. Brenda: Euh, nous avons de très bonnes entreprises de confiance que nous considérons comme des amis de la famille et nous travaillons en étroite collaboration avec elles sur ce qu'elles souhaitent faire avec la plateforme qui va les aider. Brenda: Bien sûr, nous avons des experts qui connaissent la direction que nous voulons prendre, mais nous écoutons également nos clients et nos collaborateurs, avec lesquels il est très agréable de travailler. Brenda: Je tiens donc à vous faire savoir que nous sommes également fiers des personnes qui travaillent au sein de l'entreprise.

Brenda: Si vous avez des questions, comme nous en avons parlé, nous y répondrons. Brenda: Mais si vous devez envoyer quelque chose directement à Amy, son adresse est [email protected]. Brenda: Nous sommes sur LinkedIn, nous sommes sur Twitter, suivez-nous. Brenda: Nous publions régulièrement des livres blancs afin de vous permettre d'accéder facilement à des informations de pointe, qu'il s'agisse de sujets très actuels liés à l'ESG, d'événements qui se sont produits dans l'écosystème que nous avons abordés ou d'autres types de rapports. Brenda: Avez-vous des questions, Amy ? Brenda: Y a-t-il des questions dans la salle ?

Amy: Euh, pas encore, mais je vais continuer à bavarder un peu. Amy: Donc, si quelqu'un a des questions de dernière minute, prenez un moment pour utiliser la fonction Q&A. Amy: Merci à tous ceux qui ont participé à notre sondage. Amy: Si vous avez répondu oui, vous recevrez un suivi de ma part ou de celle de ma collègue Amanda Fina, afin de nous assurer que vous êtes bien pris en charge et que vous savez que nous sommes là pour vous aider. Je sais que Brenda a très bien présenté notre plateforme et nos services de gestion, mais si vous avez des questions plus approfondies ou si vous souhaitez en savoir plus, n'hésitez pas à nous contacter à l'adresse info prevalent.net. Je tiens également à mentionner que si vous avez assisté ou vous êtes inscrit à ce webinaire, vous devriez recevoir un e-mail de la part d'Amanda ou de moi-même juste après, afin que vous disposiez de toutes les informations nécessaires. Amy: Il n'y a pas de questions de dernière minute, mais Brenda, je sais que j'ai beaucoup appris et je suis sûre que c'est bon signe, car tout le monde ici est en train de réfléchir à ce qu'il va faire ensuite.

Brenda: Oui. Brenda: Eh bien, j'espère que ce sera quelque chose d'amusant, comme leur maturité en matière de gestion.

Amy: N'est-ce pas ? Amy: Sérieusement, vous avez amené les gens à réfléchir et ils sont sur la bonne voie. Amy: Donc, euh, oui, vous savez, nous sommes là pour vous aider. Amy: Comme je l'ai mentionné, euh, cela étant dit, je pense que nous allons vous rendre un peu de votre temps. Amy: Merci encore d'avoir pris une heure pour discuter avec moi et Brenda. Amy: Encore une fois, si vous avez des questions, n'hésitez pas à nous contacter. Amy: J'espère que vous repartirez avec des conseils pratiques pour obtenir les données dont vous avez besoin pour prendre des décisions claires et éclairées, tout en renforçant la confiance des dirigeants dans votre programme de gestion des risques liés aux tiers. Amy: Autre chose, Brenda ?

Brenda: Non, merci beaucoup. Brenda: Ce fut un plaisir et un honneur, et je vous reverrai bientôt.

Amy: Ça me semble parfait. Amy: Merci beaucoup, Brenda. Amy: Merci à tous. Amy: Passez une bonne journée. Amy: Au revoir. Amy: Au revoir. Amy: Au revoir.