TPRM 101 : Comment amener les fournisseurs à répondre aux évaluations des risques

Amy Tweed: Bonjour à tous, bienvenue à ceux qui sont arrivés très tôt. Voilà, d'autres personnes arrivent. Super, je suis ravie que vous puissiez vous joindre à nous aujourd'hui, où que vous soyez et quelle que soit l'heure qu'il est chez vous. Nous sommes très heureux de participer à ce webinaire. Je vais prendre un instant pour vous poser une question afin de savoir pourquoi vous êtes ici, ce qui vous a amenés ici aujourd'hui. Nous souhaitons vraiment savoir ce que vous souhaitez apprendre et pourquoi vous êtes ici. Pendant ce temps, nous allons passer en revue quelques règles de base et faire quelques présentations. Je vais donc lancer ce sondage pendant que vous vous installez, mettez-vous à l'aise et prenez un moment pour répondre. Je suis ici en compagnie de Brenda Ferraro. Elle est vice-présidente de Prevalent, chargée des risques liés aux tiers. Elle va nous présenter les bases de la gestion des risques liés aux tiers et nous expliquer comment amener vos fournisseurs à répondre aux évaluations des risques. Nous allons donc aborder beaucoup de choses intéressantes aujourd'hui. Je m'appelle Amy Tweed. Je travaille au développement commercial chez Pre. Je serai là pour répondre à vos questions. Vous verrez en bas qu'il y a une fonction Q&A. Il y a également une fonction de chat. Alors, pendant que vous écoutez et apprenez, n'hésitez pas à poser vos questions. Nous voulons que cette session soit aussi interactive que possible. Cela dit, vos caméras sont éteintes. Le son est coupé intentionnellement, mais n'hésitez pas à poser vos questions. Et en plus de cela, je vous proposerai des sondages tout au long de la session. Alors, Brenda, comment allez-vous aujourd'hui ? Je suis vraiment ravie.

Brenda Ferraro: Je vais bien. Et toi, comment vas-tu ?

Amy Tweed: Je vais bien, merci.

Brenda Ferraro: Je suis plus qu'enthousiaste.

Amy Tweed: Super. Nous avons beaucoup de choses à aborder aujourd'hui. Les questions du sondage sont toujours en ligne. Nous allons vous laisser encore 10 secondes. Pendant que vous vous installez, dites-nous ce qui vous amène ici aujourd'hui. Que ce soit pour des recherches sur un projet éducatif, un projet de gestion des risques tiers à venir, ou même si vous ne savez pas vraiment pourquoi vous êtes ici. Vous vous demandez peut-être : « Mais où suis-je encore ? ». Vous pouvez vous poser cette question. On dirait que personne ne répond. Donc, les gens sont ici intentionnellement. Et nous avons également quelques clients réguliers. Nous sommes ravis de vous accueillir. Très bien, je vais mettre fin à ce sondage. Brenda, c'est à vous.

Brenda Ferraro: Très bien, merci Amy. Comme elle l'a mentionné tout au long de ce webinaire, nous souhaitons que vous nous envoyiez vos questions. Amy apparaîtra à l'écran et vous les posera. Assurez-vous donc d'être attentifs. Nous aimons également poser des questions tout au long du webinaire afin que je puisse me faire une idée de l'auditoire et répondre directement à vos besoins. Ainsi, lorsque Amy apparaîtra à l'écran, j'interromprai mon discours ou nous finirons la phrase ou l'écran, puis nous répondrons à vos questions. Très bien. Comment amener vos fournisseurs à répondre aux évaluations des risques? C'est l'un des points sensibles qui semble poser le plus de problèmes, et cela pour plusieurs raisons. Au cours de cette présentation, je vais donc vous donner quelques techniques et informations fondamentales que vous pourrez envisager de mettre en œuvre dans votre propre programme. Certaines des choses dont je vais parler sont des processus que vous devez créer en dehors de toute plateforme que vous utilisez. Nous discuterons également des éléments qui devraient faire partie de votre plateforme de gestion des risques tiers , car l'automatisation est essentielle pour accélérer les choses, mais nous voulons que cela soit fait correctement. Commençons donc par notre programme. Aujourd'hui, nous allons parler de ces cinq points et d'autres encore. Je vais intégrer autant d'éléments que possible dans cette heure, car ce sujet est très important. La première chose à faire est de s'assurer que nous avons un taux de réponse et une communication plus élevés et d'être en mesure d'expliquer à vos fournisseurs, à votre entreprise et à votre organisation ce que vous faites et pourquoi, afin de préparer le terrain pour réussir. Nous allons donc aborder certaines de ces techniques. L'autre point concerne les attentes réalistes. Nous pouvons avoir des attentes vis-à-vis de nos fournisseurs quant à la rapidité avec laquelle nous avons besoin de quelque chose, mais nous devons également réfléchir à ce que nous leur demandons et à la rapidité avec laquelle ils peuvent répondre. Et si un risque est identifié ou si un contrôle n'est pas en place, combien de temps leur faudra-t-il pour mettre quelque chose en place afin que leur posture soit plus sûre ? De plus, que faites-vous lorsque vous n'avez pas le bon interlocuteur? J'étais à une conférence juste avant cet appel et j'y retournerai quand cet appel sera terminé, mais ils parlaient spécifiquement au niveau des RSSI du fait que lorsque vous n'avez pas d'interlocuteur, c'est en fait ce que vous devriez faire dans le cadre de votre examen annuel. Car lorsque vous demandez à chaque fournisseur ce qu'il fait pour sa posture de sécurité. Normalement, soit la situation s'améliore, soit il y a des changements dans le paysage des menaces, et vous devez leur poser des questions à ce sujet afin de vous assurer que leur posture est bonne. Mais le plus important, c'est d'avoir un point de contact. Si vous n'en avez pas, comment pouvez-vous faire une évaluation ? Ou si vous n'avez pas de point de contact, comment obtenir des réponses à un incident ou à un scénario de réponse rapide pour lequel vous avez besoin d'informations ? C'est donc une chose dont nous allons aussi parler. Ensuite, nous chercherons des réponses. Nous aborderons la fatigue administrative et les moyens d'y remédier. Enfin, nous discuterons de ce que nous faisons en matière de renseignements sur les risques liés aux fournisseurs, de la manière dont nous les utilisons ou si nous attendons des réponses. Nous aborderons donc tous ces sujets. Avant de parler de la communication pour obtenir un meilleur taux de réponse, passons à notre première question du sondage. Amy, pourquoi ne pas la lancer pour voir ce que notre public pense aujourd'hui et où il se situe ?

Amy Tweed: Très bien, voici une question pour le sondage. Avez-vous des difficultés à obtenir des réponses de vos fournisseurs ? Répondez simplement par oui, non ou je ne sais pas. Prenez un moment pour répondre. Je me souviens, lorsque je travaillais sur le programme d'évaluation des risques liés aux tiers dans une grande entreprise, c'était l'un des domaines qui nous posait le plus de difficultés. Nous avons essayé de mettre en place de nombreuses techniques, et ce sont celles-là que je vais partager avec vous, ainsi que les ateliers stratégiques que j'organise aujourd'hui avec d'autres entreprises, où tout le monde fait preuve d'une grande créativité et d'un esprit novateur. J'espère donc que tout ce dont nous parlons aujourd'hui vous inspirera et vous incitera à poursuivre vos efforts, ou vous donnera des idées.

Amy Tweed: Très bien. Bon, je vais mettre fin au sondage dans trois, deux, un. Nous avons reçu beaucoup de réponses. Je vais vous les communiquer. Il y a beaucoup de « oui », quelques « non » et quelques « je ne sais pas ».

Brenda Ferraro: Très bien. Ce webinaire et cette présentation sont donc pour vous. Nous sommes ravis de vous accueillir. Parfait.

Brenda Ferraro: Nous allons certainement vous aider aujourd'hui. Merci de vous être joints à nous, et commençons sans plus tarder. Parlons donc des quatre techniques de communication proactive. Je pourrais vous parler de la communication agressive, de la communication évitante et de tous ces styles sociaux, mais ce n'est pas vraiment le sujet dont nous allons discuter aujourd'hui. Nous allons aborder ces quatre points dès le début. Il existe des mesures contractuelles que vous pouvez prendre pour vous assurer que vos fournisseurs se conforment à votre programme. Nous allons donc nous pencher sur cette question. Nous aborderons ensuite la diligence initiale et la diligence continue. À partir de là, nous parlerons des mises à jour et des rapports continus, car une chose qui me dérange vraiment en tant qu'individu, c'est que si je passe un test ou si je suis audité, je veux savoir ce que je dois corriger, puis je veux savoir combien de temps il faudra pour y parvenir. Je veux pouvoir suivre ces progrès et être informé de leur évolution, et même savoir si mon statut de risque devient plus positif, afin que l'on me félicite et que l'on m'en informe. Ensuite, les exposés et les conférences des fournisseurs pour les entreprises les plus matures : elles sont en mesure d'organiser des exposés ou des conférences internes et parfois externes pour informer et expliquer ce qui se passe au sein du programme et les résultats obtenus. Passons maintenant à la section consacrée aux contrats de ce webinaire. Vous avez des contrats-cadres de services, des contrats de partenariat commercial et peut-être d'autres types de contrats que vous utilisez. Mais pour chacun d'entre eux, ce que j'ai trouvé efficace et ce que je conseille aux autres entreprises lorsque je discute de stratégie avec elles, c'est qu'il faut vraiment inclure dans votre contrat une section sur le programme de gestion des risques liés aux tiers. Elle n'a pas besoin d'être longue. Elle peut être très brève, un ou deux paragraphes et quelques attentes sur les types d'évaluations que vous allez effectuer. Cette section est totalement distincte de la clause d'audit annuel qui figure normalement dans un contrat. J'avais beaucoup de mal à accepter le fait que l'organisation contractante, le service de gestion des fournisseurs, le service des achats ou le service d'approvisionnement, quel que soit le responsable, me demandait de passer en revue les lignes rouges.

Brenda Ferraro: Et les lignes rouges concernaient l'environnement de sécurité, voire la gestion des risques liés aux tiers ou l'évaluation annuelle. Et j'en suis arrivée à un point où je me suis dit : « Vous savez quoi, je passe beaucoup trop de temps à vérifier les délais. Je ne suis pas juriste. Je n'ai pas de diplôme en droit. Et tout ce que je veux vraiment qu'ils comprennent, c'est qu'ils doivent se conformer à notre programme de gestion des risques liés aux tiers. Qu'il y ait un incident ou non, ils doivent réagir. Qu'ils soient simplement évalués ou non, ils doivent remplir l'évaluation. Si nous avons des capacités d'exception, je les mentionnerai dans le contrat. Mais je voulais que ce soit « unredlinable ». Le mot « unreadlinable » n'existe pas dans le dictionnaire Webster. C'est donc un mot que j'ai peut-être inventé ou que les gens ont toujours utilisé, mais que nous n'avons pas officialisé. Mettez donc à jour ces contrats en y ajoutant une section TPRM. Une autre chose qui s'est avérée très utile a été d'ajouter dans certains cas un addendum sur la sécurité de l'information au contrat. Ainsi, pour certaines classes ou catégories de fournisseurs, nous nous assurions que ces informations étaient jointes au contrat et qu'elles correspondaient à nos contrôles clés applicables à ce type d'engagement. Dans d'autres webinaires, nous avons parlé des contrôles clés. Il s'agit essentiellement des contrôles indispensables pour faire affaire avec vous pour ce type de service. Il s'agit donc essentiellement d'un résumé très succinct du contrôle, de ce qui est attendu et pourquoi. De cette façon, ils sauraient à l'avance, avant même d'avoir une évaluation ou directement après avoir eu une évaluation initiale, que ce sont les éléments sur lesquels nous allons nous concentrer très spécifiquement. Maintenant, d'un point de vue des indicateurs de performance clés et des indicateurs de risque clés, cela a été très utile car, au tout début de la mise en place d'un programme, il arrive parfois que vos services ne collaborent pas bien ensemble.

Brenda Ferraro: Il se peut que certains membres du service des achats estiment que certaines choses leur appartiennent, que certains membres du service des risques tiers estiment que certaines choses leur appartiennent, que certains membres du service de conformité estiment que certaines choses leur appartiennent, et tant que cela n'est pas centralisé, vous devez être en mesure de montrer à ces organisations et départements que cela vous aide non seulement dans la gestion des risques tiers, mais que cela les aide également, car pensez au temps que vous gagnerez en n'ayant pas à faire des allers-retours pour négocier, oui, vous devez vraiment effectuer ce type d'évaluation. Récemment, un débat a eu lieu entre environ 25 praticiens de la gestion des risques liés aux tiers, et nous avons discuté des attentes en matière de gestion des risques liés aux tiers pour remplir le contenu de l'évaluation. Devez-vous remplir un questionnaire propriétaire ou un questionnaire standard, ou vous rendre sur la plateforme de quelqu'un et remplir son questionnaire pour un réseau ? La réponse est oui. En tant qu'entreprise, vous ne demandez pas à un auditeur de venir dans vos locaux et de vous dire : « Donnez-moi votre auto-audit ». Ils ne font jamais cela. Vous effectuez un auto-audit pour vous préparer. Mais vous ne dites jamais : « Oh, voici mon auto-audit. Merci de m'avoir audité ». Ils viennent et ils vous auditent. Eh bien, nous allons faire cela avec les fournisseurs de risques tiers. Nous allons leur demander des informations et établir des rapports de veille sur les menaces afin de déterminer si leur posture de sécurité est solide. Ces KPI et KIS ont donc été très utiles pour dire : « D'accord, il y a des entreprises qui sont conformes. Elles remplissent leurs obligations en matière de gestion des risques liés aux tiers, comme le stipule leur contrat, et les contrats sont conclus plus rapidement, car nous n'avons pas à faire des allers-retours pour corriger les informations. L'autre problème concerne les fournisseurs qui ne répondent pas. Si un fournisseur ne répond pas ou refuse de signer cette section, cela constitue un signal d'alarme. Pourquoi ne voudraient-ils pas participer à la gestion des risques liés aux tiers afin de garantir la sécurité de l'écosystème ? Voilà donc les éléments relatifs aux contrats qui vous seront utiles. Si vous ne le faites pas déjà, je vous conseille de vous y mettre rapidement. Cela va vous donner beaucoup d'informations à assimiler. Il s'agit d'une vue d'ensemble très large des nombreuses mesures que vous pouvez prendre.

Brenda Ferraro: Vous pouvez donc, par exemple, prendre une photo. Vous recevrez cela dans votre boîte de réception sous forme de session enregistrée. Et parfois, je crois que nous le fournissons sous forme de fichier PDF. Ainsi, en parcourant ce que vous faites avec votre fournisseur, vous établissez une relation. Et vous voulez le faire tôt et souvent, car lorsqu'un incident se produit, vous voulez avoir une relation avec eux où ils veulent vous donner des informations sur ce qui se passe, mais vous voulez aussi préparer le terrain pour dire que vous êtes là pour les aider à être en sécurité et à avoir une relation fructueuse avec votre entreprise, et voici les mesures que j'ai mises en place pour que vous soyez bien informé ou que vous sachiez exactement ce que nousfaisons avec vous, quand, pourquoi et à quelle vitesse. Il faut donc faire une annonce initiale à vos professionnels au sujet de votre programme à vos principales parties prenantes internes. Vous devez également annoncer à vos fournisseurs, qu'ils soient essentiels et importants ou qu'ils le soient tous, que vous avez un programme et voici ce que vous attendez d'eux. Cela prépare le terrain et plante la graine pour que vous puissiez leur dire exactement ce que nous pensons faire, que cela peut être modifié, mais que nous avons également besoin qu'ils s'y conforment. Cela permet également à vos parties prenantes internes de savoir que vous communiquez avec ces fournisseurs, car vous pouvez parfois vous retrouver dans une situation délicate où les agents d'approvisionnement ou le service des achats diront : « Attendez une minute. Nous sommes les seuls à communiquer avec nos fournisseurs et maintenant vous communiquez aussi avec eux. Que leur dites-vous exactement ? Que recueillez-vous auprès d'eux ? » Cela vous permet donc d'améliorer la structure de communication avec vos parties prenantes internes et externes pour la relation avec les fournisseurs. Passons maintenant au programme d'accueil. C'est ce qui se passe lorsque vous contactez un fournisseur spécifiquement pour procéder à une évaluation. Vous devez donc définir les attentes du programme en disant : «Bienvenue dans notre programme. Voici pourquoi nous le faisons. Voici ce que nous attendons de vous. Voici ce qui va se passer ensuite. » Et dans de nombreux cas, si vous travaillez via une plateforme, celle-ci peut faire cette annonce à votre place.

Brenda Ferraro: Vous n'êtes pas obligé de le faire en dehors de la plateforme, mais si vous le souhaitez, vous pouvez le faire. C'est simplement une étape supplémentaire à suivre. Lorsque vous les informez des prochaines étapes, veillez à leur expliquer ce à quoi ils doivent s'attendre. Et, avec un peu de chance, cela vous permettra d'obtenir les informations pertinentes dont vous avez besoin. Si vous utilisez déjà un questionnaire standard, mais que vous utilisez un modèle unique, celui-ci peut ne pas être pertinent pour chaque contrat individuel. Vous avez peut-être un développeur de logiciels, et il y a des questions spécifiques que vous devez lui poser. Vous voudrez peut-être ajouter des questions sur les ransomwares et il faut également noter qu'il y aura une section sur les ransomwares à laquelle ils devront répondre. Ensuite, fournissez-leur des délais et assurez-vous que les rappels par e-mail que vous avez intégrés à votre système ou à votre plateforme leur rappelleront également ces délais. Je recommande généralement de rappeler aux gens au moins trois fois. Une fois, puis une autre fois pour dire « Bonjour, j'espère que vous avez reçu cette notification ». La deuxième fois, pour dire : « Nous voulons simplement nous assurer que vous avez bien reçu cette notification. Vous disposez de quelques semaines, jours ou délais supplémentaires, mais vous devez les remplir rapidement. » Cela leur indique essentiellement ce qui se passera s'ils ne répondent pas, car vous ne pouvez pas simplement leur donner quelque chose sans leur indiquer de date limite ni leur expliquer les conséquences. Souvent, certaines entreprises utilisent une approche douce, tandis que d'autres utilisent une approche dure. L'approche dure consiste à dire : « Nous cesserons de vous payer. » L'approche douce consiste à dire : « Nous avons la possibilité de prolonger votre délai si vous rencontrez des difficultés pour terminer cela. Souhaitez-vous nous appeler ou préférez-vous en parler en interne ? » La diligence raisonnable est vraiment importante, car nous constatons une certaine lassitude partout, notamment en raison des attaques par ransomware et des questionnaires envoyés par les gens. Ils doivent également remplir des questionnaires propriétaires. Personne n'a encore trouvé comment croiser les questionnaires propriétaires et standard.

Brenda Ferraro: Certaines entreprises s'intéressent à cette question, et lorsque vous commencez à établir cette cartographie, um prevalent est l'une d'entre elles. Nous avons commencé à examiner certains questionnaires standard et à nous assurer que nous les cartographions et établissons des relations. Mais tant qu'il n'y aura pas une seule façon de le faire, ce qui sera très difficile et nous n'avons pas encore trouvé la solution à ce problème. Hum, nous devons nous assurer que nous sommes aimables avec nos fournisseurs, car ce que vous voulez qu'ils fassent, c'est remédier aux risques, et non vous dire constamment et continuellement qu'ils ont une vulnérabilité. Vous voulez qu'ils travaillent à la remédier. Il faut donc établir une relation directe avec le fournisseur. Ensuite, nous avons parlé des rappels par e-mail, en veillant à ce qu'il y ait des avertissements, qu'ils soient sévères ou modérés. Confirmez qu'ils les ont bien reçus. Et s'ils ne répondent pas, veillez à signaler non seulement les bons fournisseurs, mais aussi ceux qui ne répondent pas, car le risque doit alors être signalé pour ces fournisseurs particuliers. Maintenant, alors que nous entrons dans le résumé initial des risques, vous allez commencer à effectuer votre examen. Les informations vous seront renvoyées. Vous allez exécuter des rapports de veille stratégique si vous ne l'avez pas déjà fait. Vous allez, espérons-le, appliquer une tolérance au risque intégrée à ces risques. Ainsi, lorsque vous examinez les risques qui s'appliquent à la mission, vous pouvez créer des rapports de synthèse des risques initiaux. Ce rapport de synthèse des risques initiaux doit être partagé avec le fournisseur, en lui disant : « Merci de nous avoir fourni ces informations. Voici ce que nous prévoyons d'approfondir, et dès que nous aurons un rapport final sur les risques ou que nous aurons négocié avec vous les mesures à prendre pour remédier à ces risques, nous pourrons alors mettre en place un mécanisme de suivi pour nous assurer que ceux-ci sont clos en dehors d'un examen annuel, car nous voulons savoir en temps réel quand ils sont clos. Alors Amy, il semble que nous ayons une question.

Amy Tweed: Oui, nous en avons quelques-unes. Et nous avons récemment accueilli quelques nouveaux membres. Si vous avez des questions, n'hésitez pas à utiliser la fonction Q&A ou chat, et nous nous ferons un plaisir d'y répondre dans les plus brefs délais. Nous en avons deux ici. Brenda.

Brenda Ferraro: La première question est la suivante : existe-t-il un modèle de questionnaire sur les ransomwares qui peut être partagé ? Oui, Prevalent en utilise un dans le secteur des soins de santé et dans d'autres secteurs, et il comporte environ 11 questions. Nous avons organisé un webinaire sur les ransomwares, je crois que c'était la semaine dernière ou la semaine précédente, et ces 11 questions y sont répertoriées. Il existe donc un modèle que vous pouvez utiliser et vous pouvez vous le procurer en vous rendant sur le webinaire sur les ransomwares et en vous inscrivant, ou en contactant Amy Tweet à l'adresse [email protected], qui pourra vous en fournir une copie.

Amy Tweed: Oui, avec plaisir. Encore une question. Une question que nous avons jusqu'à présent. Comment gérez-vous cette question lorsque vous traitez avec un fournisseur qui est une organisation beaucoup plus grande que la nôtre ? Par exemple, les Microsoft et Apple de ce monde.

Brenda Ferraro: Oui. Il existe ce que j'appelle des « géants ». Lorsque je travaillais avec eux, je recueillais les informations dont ils disposaient. Parfois, ils partageaient des questionnaires de collecte d'informations, parfois ils remplissaient un cadre de contrôle courant, mais je m'assurais qu'ils remplissaient au moins ce que j'appellerais un questionnaire de collecte d'informations, qui comporte moins de 10 à 20 questions, puis, sur la base de cet examen, je passais en revue leur rapport d'étape 2 et identifiais les risques. Aujourd'hui, elles ont une approche plus proactive en matière de sécurité. Nous constatons bien sûr que les géants peuvent être touchés, comme Microsoft, tout comme les petites et moyennes entreprises. Essayez donc de rendre les informations pertinentes et d'accéder à leur site SharePoint, d'extraire les informations et de les intégrer autant que possible à votre système afin qu'elles soient pertinentes pour l'identification des risques. Aujourd'hui, avec les géants, nous nous concentrons vraiment sur la numérisation. Assurez-vous donc de disposer de logiciels capables d'évaluer leur gestion des défauts, leurs tests de pénétration et ce genre de choses. C'est ce que vous voulez vraiment savoir en ce qui concerne les géants, car ils travaillent depuis longtemps sur leur posture de sécurité. Ils influencent parfois notre posture de sécurité. Faites-leur confiance, mais dans une certaine mesure. J'espère que cela vous a été utile. Maintenant, si nous passons au résumé final des risques et au résumé actualisé des risques, qui sont les deux derniers points de ce sujet particulier, normalisez ces risques. Ainsi, lorsque vous effectuez votre examen et que vous intégrez vos risques dans une plateforme ou que vous utilisez un tableur qui vous indique vos risques, ce que j'espère que vous n'avez pas à faire, car cela devient très manuel. Mais si vous disposez d'une plateforme qui le fait automatiquement pour vous, assurez-vous que ces informations sont également liées à vos renseignements sur les menaces et à une évaluation de validation si vous en effectuez une. Les évaluations sur site que nous avions l'habitude de faire, euh, nous pourrons peut-être les faire à l'avenir, mais d'ici là, nous disposons de validations virtuelles, euh, d'évaluations virtuelles qui peuvent être menées pour tester ces contrôles. Et donc , ces trois leviers de risque doivent ensuite être normalisés. Euh, informez également vos parties prenantes de ce qui se passe. Ne les laissez pas dans l'ignorance en interne de ce qui se passe avec ce fournisseur particulier. Donnez-leur des informations. Mettez-les en copie dans les rapports de synthèse des risques. Informez-les de la situation, car en réalité, votre équipe de gestion des risques tiers a un rôle de sensibilisation. Vous informez l'entreprise des signes avant-coureurs et celle-ci est chargée de les éliminer ou de s'assurer que ses fournisseurs se conforment aux mesures de remédiation des risques, que cela relève de votre équipe de gestion des risques tiers ou qu'elle en prenne le contrôle en tant que représentant commercial. Ensuite, suivez ces risques en continu. Nous devons faire passer tout le monde d'une évaluation annuelle des risques liés aux tiers, ce qui est bien sûr excellent pour le point de contact, car vous devez le faire, à une évaluation continue et essentiellement en temps réel. Que vous ayez trouvé quelque chose qui a été signalé dans l'espace de surveillance des menaces des fournisseurs ou que vous ayez trouvé quelque chose qui vous oblige à leur poser des questions de manière réactive, nous voulons vous inciter à adopter une attitude proactive, par exemple en cas de ransomware, d'incident ou de réponse à une demande de rançon. Partagez donc ces informations sur les risques, négociez-les et suivez-les. Une autre question avant de passer au dernier point.

Amy Tweed: Oui, une autre question. Comment gérez-vous les fournisseurs dont le seuil de dépenses est trop bas pour qu'ils puissent répondre au questionnaire ou accepter des ajouts au contrat d'exposition ?

Brenda Ferraro: C'était donc une situation très intéressante à laquelle j'ai été confrontée et nous avons veillé à ce que les unités commerciales comprennent que s'il s'agissait d'une petite entreprise, seules des informations pertinentes et pas trop détaillées leur seraient demandées. Premièrement, et deuxièmement, il existe deux techniques que vous pouvez utiliser. Premièrement, vous pouvez vous assurer de payer un peu plus cher ce fournisseur afin qu'il réponde aux demandes. Deuxièmement, si une entreprise de taille moyenne ou grande vous dit : « Si vous voulez que nous procédions à une évaluation, nous attendons 1 000, 2 000 dollars, quel que soit le montant, inscrivez-le dans leur contrat et payez-les afin que nous puissions obtenir les informations dont nous avons besoin. » Voilà la réponse que je donnerais à ces entreprises. Enfin, à partir du dernier rapport, le rapport de synthèse des risques mis à jour, suivez ces changements et ajustez le rapport de synthèse en conséquence, puis envoyez-le en disant : « Merci d'avoir fait mieux », ou même envoyez-le en disant : « Nous avons trouvé quelque chose qui cloche ou qui mérite votre attention si vous voulez adoucir le ton et faire preuve de plus d'empathie, et nous avons besoin de savoir ce que vous faites à propos de ce risque particulier. » Et encore une fois, informez les parties prenantes en interne et en externe et signalez tout SLA non respecté. Les objectifs de niveau de service, les cibles de niveau de service et les accords de niveau de service doivent donc être communiqués à un comité de pilotage. Cela vous aidera à établir des relations entre vous et avec les fournisseurs. Très bien, passons maintenant au point numéro trois, qui comprendra deux parties, 3A et 3B. Je n'ai pas pu tout faire tenir dans une seule section. Il existe donc certains rapports qui permettent de vérifier la conformité de vos fournisseurs. L'un d'entre eux est un rapport sur le profil de l'entité. Cela vous aidera, en tant qu'évaluateur, à vraiment comprendre tous les différents flux de travail, où ils en sont dans leur cycle de vie, comment les risques sont appliqués à votre benchmarking, quelles tâches sont appliquées au travail généré, les contrats et les accords peuvent être stockés et reflétés. C'est donc un guichet unique qui vous permet de comprendre où en est votre fournisseur dans son cycle de vie. L'autre est la surveillance des menaces. Vous devriez l'utiliser non seulement comme une mesure secondaire, mais aussi comme une pratique à adopter pour tous vos fournisseurs. Elle vous donne des informations suffisamment claires et rapides que vous pouvez partager avec votre fournisseur. Ne vous contentez pas de dire : « Bon, nous avons généré un rapport sur les menaces vous concernant. » Ils vous répondront alors : « Oh mon Dieu, vous ne pouvez pas pénétrer dans notre système. Vous n'êtes pas censé faire ça pendant que nous sommes en ligne. » Ce n'est pas le cas. Ce sont des informations open source. Alors, excusez-moi. Allez-y, lancez le rapport et donnez-le-leur. Laissez-les le voir. Les rapports financiers sont également importants. Je vais prendre une pause et boire un verre pour m'humidifier la voix. Amy, je vais vous laisser me poser une question.

Amy Tweed: Oui. Prenez un moment. C'est brûlant. D'accord. Euh, cette question : quels sont les outils d'automatisation recommandés ou la norme industrielle pour l'évaluation des fournisseurs?

Brenda Ferraro: Le nôtre est l'un d'entre eux. Il y a la surveillance des menaces des fournisseurs. Il y a notre système. Vous voudrez peut-être vous intéresser au chiffrement homomorphe. C'est quelque chose qui aide à éviter certains scénarios de chiffrement. Il y en a tellement. Mais du point de vue d'une plateforme, examinez notre système et utilisez autant que possible les normes. Je vais couper le son et tousser pour ne pas perturber les écouteurs de tout le monde.

Amy Tweed: Ce n'est pas grave. Prenez votre temps. J'avais la gorge encombrée ce matin.

Brenda Ferraro: Très bien. Donc, euh, à ce sujet, il s'agit essentiellement de s'assurer que vous utilisez une plateforme dont vous pouvez suivre et surveiller le cycle de vie. Il existe des bibliothèques de questionnaires en ligne, et la nôtre en dispose. Je vous invite donc vivement à y jeter un œil et à demander une démonstration. Ce n'est pas un appel commercial. Il s'agit plutôt de discuter du processus et de la stratégie. Mais pour répondre à cette question, nous sommes là. Les rapports financiers deviennent très importants, car vous devez étendre les renseignements sur les cybermenaces aux renseignements commerciaux et financiers. En effet, si une entreprise ne se porte pas bien financièrement, cela devrait vous préoccuper afin que vous puissiez examiner de plus près la situation, par exemple si vous envisagez une fusion ou une acquisition, ou si vous avez une filiale ou une société affiliée que vous devez évaluer. Cela nous donne des informations sur les comptes de résultats, le crédit et les dettes, et vous serez plus serein si vous savez que votre situation financière est saine. Très bien, passons à la section 3B. Il existe donc des mises à jour et des rapports continus que vous pouvez également obtenir par le biais de services gérés ou même en les réalisant en interne. Il y a le rapport d'entité dont nous avons parlé précédemment, mais ce rapport d'entité approfondit l'évaluation contextuelle, puis donne un aperçu des scores de risque, identifie les principaux domaines de risque et vous aide à comprendre le contexte et le flux de travail d'un service géré. Ainsi, si vous ne disposez pas d'un personnel suffisant, d'autres employés peuvent venir vous prêter main-forte. Les rapports de risque contextuels vous aideront à comprendre les domaines de risque qui sont fluides et vulnérables. Les listes de quatrièmes parties et l'identification des preuves que les éléments sont disponibles pour être examinés et que les services gérés les passent au crible. Donc, lorsque nous parlions des géants, les services gérés peuvent aider à le faire. Ils peuvent ainsi passer au crible les informations provenant des grandes entreprises et s'assurer que vous avez bien identifié les risques. Je m'arrêterai ici pour répondre à une question. Il semble qu'il y en ait une, puis nous passerons aux deux autres types.

Amy Tweed: Oui. Et j'ai remarqué que quelques personnes supplémentaires sont arrivées. N'hésitez pas à poser vos questions tout au long de la présentation. Bren se fera un plaisir d'y répondre. Voici la question : de nombreux outils de surveillance des menaces affichent des faux positifs pour les entreprises de services cloud telles que Microsoft. Comment filtrez-vous les données significatives?

Brenda Ferraro: C'est une très bonne question, car je me suis posé la même question lorsque j'ai commencé à m'intéresser aux informations issues du thread intelligence. Il y a plus de sept ans, je me suis dit : « Tout cela n'est que du bruit. Que suis-je censée en faire ? » Il existe donc des moyens, dans le cadre d'une solution de threat intelligence, de vous assurer que vous identifiez les seuils des éléments qu'il est important pour vous d'examiner. C'est le premier point. Deuxièmement, les faux positifs sont... Si vous partagez les informations sur les menaces avec vos fournisseurs, ceux-ci vous diront immédiatement ce qui est un faux positif et ce qui est exact. C'est pourquoi je recommande de le faire dès le début. Informez-les de ce que révèlent les informations sur les menaces. Je pense en avoir déjà parlé à plusieurs reprises, mais lorsque j'ai utilisé une solution de veille sur les menaces dans mon entreprise, il m'a fallu un mois ou deux, voire plus, pour nettoyer le rapport de veille sur les menaces. Et si vous le nettoyez avec un seul type de renseignements sur les menaces, que vous utilisiez notre système de surveillance des menaces des fournisseurs ou que vous utilisiez uh recorded future ou um bitsite ou security scorecard ou risk recon, si vous le nettoyez dans un seul, il sera nettoyé pour tous, car il s'agit de renseignements open source qui sont affichés, agrégés et fournis à vous. Donc, tout ce que vous voyez dans l'un d'entre eux, vous le verrez dans les autres, et si vous constatez qu'il y a un faux positif, assurez-vous d'utiliser un système qui vous permet de signaler que ce n'est pas correct ou que vous avez remédié à ce problème il y a trois, cinq ou dix ans. Et une fois que cela est corrigé, c'est presque comme un rapport de solvabilité pour obtenir un financement pour votre maison. Il se peut que votre rapport de solvabilité contienne des informations dont vous devez vérifier l'exactitude ou que vous ayez des activités frauduleuses à corriger. C'est donc le même principe. D'accord, Amy, une autre question.

Amy Tweed: Oui, excellente question. Merci. Que pensez-vous des techniques permettant d'obtenir des données financières sur les entreprises privées qui ne sont pas tenues de publier leurs résultats financiers?

Brenda Ferraro: Donc, le plus gros problème lié au fait de ne pas avoir à le publier, c'est que certains rapports financiers contiennent des informations qui, bien sûr, sont basées sur des données publiées. Vous pouvez toujours leur demander et s'ils sont en mesure de vous les fournir, n'hésitez pas à le faire. Hum, je ne pense pas avoir jamais eu de problème pour obtenir un rapport financier sur simple demande. Et si vous établissez des relations, que vous leur expliquez les raisons pour lesquelles vous en avez besoin et que vous leur dites que c'est une exigence, euh, je suppose qu'ils vous le montreront, car je ne pense pas avoir jamais eu de problème pour les obtenir. Donc, si vous n'obtenez pas quelque chose dans un espace public, demandez-le.

Amy Tweed: Non, ça va. Continue.

Brenda Ferraro: Quand je vois ton joli visage là-haut, je me dis : « Encore une autre. »

Amy Tweed: J'étais vraiment intéressée. Je voulais juste rester.

Brenda Ferraro: Très bien. Le rapport sur la remédiation des risques devrait donc vous donner un résumé de tous les risques qui ont été identifiés. Assurez-vous qu'il soit très facile à comprendre pour vos tiers ou vos fournisseurs. Faites en sorte que si vous leur montrez les choses qu'ils doivent corriger, c'est parfait. S'ils vous demandent tous les risques, qu'ils soient critiques, élevés, moyens, faibles ou atténués, et qu'ils veulent les connaître, assurez-vous de pouvoir modifier et filtrer ce rapport afin qu'il leur montre tout. Mais soyez très explicite sur ce que vous voulez qu'ils corrigent. Hum, en gros, il y a eu un moment, et ce n'est pas vraiment le cas, mais il y a eu un moment où j'ai envoyé un rapport sur les risques à un fournisseur, et ils en avaient plus de 50, et ils m'ont répondu en me disant : « Brenda, nous ne pourrons en aucun cas gérer votre compte, car nous allons devoir travailler à atténuer tous ces risques. Lesquels s'appliquent à ce sur quoi vous voulez vraiment que je travaille ou donnez-leur la priorité. » C'est pourquoi vous devez vous assurer que vos risques ont une probabilité et un impact critiques et élevés. Demandez-leur de travailler d'abord sur ceux-là. Assurez-vous que les risques critiques sont traités, car ils doivent correspondre à vos contrôles clés, puis demandez-leur de s'occuper des autres. Mais fixez-leur une date limite appropriée pour les traiter. Cela peut être trois, six ou neuf mois, ou tout autre type de délai. Oui, Amy.

Amy Tweed: Question. Très bien. Existe-t-il un moyen simple de déterminer si une entreprise fait l'objet de réclamations ou de jugements importants?

Brenda Ferraro: Oui. Dans les rapports sur les menaces, les rapports commerciaux et les rapports financiers, certaines sections vous aideront à déterminer s'il y a eu des jugements. Vous pouvez donc consulter la section commerciale et la section financière, qui vous indiqueront toutes deux s'il y a eu des jugements. C'est pourquoi nous vous recommandons de ne pas vous contenter d'utiliser les renseignements cybernétiques comme source d'informations sur les menaces. Vous devez également consulter les sections commerciales. Le rapport de validation des contrôles, pour en revenir à cette diapositive, est un élément dont je parlais à propos de la validation et des visites sur site. Nous allons donc aborder une approche pour y parvenir, mais la liste des contrôles est susceptible d'être révisée et nous utilisons un système de cadrage, puis nous nous assurons qu'il y a des recommandations et nous regroupons tous ces risques afin de les normaliser. Ce rapport doit également être fourni à votre fournisseur. En fait, vous leur donnez non seulement un aperçu de leur maturité en matière de sécurité, mais vous leur indiquez également quels sont les risques et ce qu'il faut corriger. Cela les rendra plus sains dans tous les écosystèmes industriels. Et vous faites preuve d'empathie et vous établissez des relations en leur disant : « D'accord, je vais vous aider à vous sécuriser. Je ne vais pas seulement vous tester et découvrir ce que vous faites mal. Je veux vous dire voici ce que vous pouvez faire pour corriger ces déconnexions et ces lacunes. » Amy, qu'avons-nous ?

Amy Tweed: D'accord. Oui, nous en avons deux. Donc, s'ils n'ont pas de chaussette ou ne sont pas cotés en bourse, quel rapport financier dois-je demander?

Brenda Ferraro: Hum, je vais devoir vous rappeler à ce sujet. Je ne pense pas avoir jamais demandé spécifiquement des informations financières, mais je suis sûre qu'il y en a. Alors Amy, si tu peux prendre note et vérifier si cette personne n'est pas anonyme, si elle souhaite être recontactée, nous pouvons lui donner une liste des domaines financiers concernés ou si notre section financière peut également lui fournir ces réponses.

Amy Tweed: Ça me semble bien. Oui. C'est noté. Encore une question. Si un fournisseur est disposé à fournir ses rapports d'audit tiers, de type deux, type deux ou haute confiance, etc., est-il judicieux de continuer à approfondir la question à l'aide de questionnaires?

Brenda Ferraro: Oui. La raison pour laquelle je réponds oui est que le type 2 de la chaussette 2 peut être engagé par engagement. Donc, assurez-vous d'abord que cet engagement est le bon. Deuxièmement, assurez-vous que vous recherchez la certification High Trust ou toute autre certification, car elles obtiennent une note positive ou une étoile d'or pour avoir effectué une évaluation. Mais certaines sections de chacune de ces certifications et/ou types d'évaluation peuvent ne pas contenir tout ce dont vous avez besoin, par exemple si vous souhaitez commencer à poser des questions sur les ransomwares. La certification High Trust ne contient peut-être pas ces informations, ou si vous souhaitez commencer à poser des questions sur les logiciels mobiles et les informations de développement que vous devez recueillir. Assurez-vous donc de comparer ce que vous recevez à ce que vous devez savoir. Je dirais donc qu'il existe une approche hybride que vous pouvez utiliser, ou vous pouvez avoir une approche de contrôle clé qui comprend peut-être 20 à 25 éléments auxquels vous souhaitez qu'ils répondent de toute façon. Assurez-vous ensuite que tout ce que vous avez reçu de leur part est applicable aux réponses que vous obtenez dans votre propre questionnaire. Ne le rendez donc pas trop long. Vous ne voulez pas qu'ils aient à tout reprendre depuis le début. Mais je suis d'accord avec vous, il faut également procéder à une évaluation. Maintenant, les exposés des fournisseurs et les conférences, c'était l'une de mes activités préférées lorsque notre programme a atteint sa maturité. Nous avons mis en place un système d'identification des protocoles de niveau de menace que nous avons pu étendre à ces fournisseurs et leur dire : « Voici les informations que nous vous communiquons chaque mois ou chaque trimestre, et elles sont classées vert. Euh, c'est orange. Nous voulons que vous en soyez conscient, car nous constatons qu'il y a une menace. qui se propage dans notre écosystème, ou voici quelque chose qui est rouge ou orange, ou rouge, ce qui signifie que nous avons besoin que vous réagissiez à cette réponse au ransomware. Nous avons donc utilisé cela et collaboré au partage d'informations sur les incidents, ce qui s'est avéré très utile, car non seulement nous avons pu les contacter pour leur dire que nous avions détecté un problème, mais aussi leur indiquer ce que nous avions remarqué pour le résoudre, ce qui nous a permis d'être très proactifs. Nous avons organisé une conférence pour dispenser des cours de certification sur la gestion des risques liés aux tiers, et avons invité et impliqué tous nos principaux acteurs internes. Nous avions donc une section sur la confidentialité, une session sur la conformité. Nous invitions les responsables des achats à se joindre à nous pour parler de leur programme, ainsi que tous nos tiers critiques et importants, ainsi que nos ressources internes, afin d'apprendre ensemble comment le programme réagissait, se développait ou mûrissait. Ce sont des choses très intéressantes. Pour l'instant, nous faisons tout cela de manière virtuelle, comme vous pouvez le voir sur cette diapositive. J'ai essayé de faire en sorte que ce soit une situation virtuelle, mais vous tous me manquez et j'espère que nous pourrons bientôt nous revoir et nouer des relations en personne. Nous avons maintenant une question à vous poser avant d'aborder les attentes réalistes. Passons donc à cela.

Amy Tweed: Très bien, nous commençons tout de suite. La question est la suivante : utilisez-vous un questionnaire d'évaluation des chutes unique pour tous ? Oui, non, je ne sais pas. Prenez le temps de répondre. Oh, c'est intéressant. C'est un peu le chaos pour l'instant. Je sais qu'il est encore tôt. Je discute avec certaines personnes, mais c'est intéressant. Dans mes sessions de stratégie, il y a un mélange de tellement de choses. Ils utilisent des approches hybrides. Ils utilisent une approche unique. Ils utilisent un test ATT, ce qui me fait très peur. Mais il y a des approches très très différentes.

Brenda Ferraro: Mieux vaut une approche que pas d'approche du tout.

Amy Tweed: C'est vrai. C'est tout à fait vrai. Je nous accorde encore cinq secondes. C'est vraiment interactif. Je suis très satisfaite de toutes les questions et beaucoup de gens participent au sondage. C'est vraiment génial. Merci à tous.

Brenda Ferraro: Mon plaisir de parler.

Amy Tweed: Oui. Très bien. Je mets fin au sondage. Je vais partager les résultats ici. D'accord. 42 % oui. 35 % non et 14 % ne savent pas.

Brenda Ferraro: D'accord. Très bien. Donc, pour ceux qui utilisent une approche unique, je dirais que si le questionnaire est court ou si votre entreprise évolue dans un secteur qui ne nécessite pas beaucoup de questions de contrôle, je peux comprendre. Mais je vous encourage également à vous diversifier et à ne pas vous contenter de vous renseigner sur les contrôles, mais à vous montrer proactif en cherchant à savoir s'ils sont efficaces et sains. J'ai donc ajouté ici une zone d'activation adaptative pour vous. Vous pouvez prendre une photo de cet espace, mais il contient les normes de contrôle clés que vous créez, et la raison pour laquelle vous souhaitez le faire est de vous assurer qu'elles correspondent à vos types d'engagement ou à vos catégories de fournisseurs. Demandez-leur ce que vous avez besoin de savoir, rien de plus. Parce que je n'aime pas qu'on me pose des questions qui ne me concernent pas. Je suis sûr qu'ils n'aiment pas non plus qu'on leur pose des questions qui ne les concernent pas. Cela ne favorise pas l'établissement de bonnes relations et fait perdre du temps. Définissez vos risques critiques et comparez-les. Assurez-vous de les intégrer à votre plateforme si vous en avez une, puis créez le modèle de classification de diligence raisonnable afin d'appliquer l'automatisation appropriée aux risques applicables à la diligence raisonnable, au profil et à l'engagement. C'est donc comme une chaîne qui permet de s'assurer qu'il y a une connexion, puis de tenir des rapports trimestriels sur les performances des contrôles clés. Évaluez-les, car ils changent. Nous avons constaté un changement radical l'année dernière et nous nous dirigeons maintenant vers la chaîne de gestion des logiciels. Si vous n'avez pas encore d'évaluations de développement de logiciels, de mobiles et d'appareils dans votre portefeuille, vous feriez mieux de les avoir demain, car c'est là que nous sommes touchés. Signalez ces statuts incrémentiels. Donc, afin d'adapter votre culture en interne, assurez-vous qu'ils comprennent ce que vous faites dès le départ. Dites : « J'ai un programme et je vais évaluer vos fournisseurs. Voici ceux par lesquels je vais commencer et voici ceux que je vais aborder dans une feuille de route.

Brenda Ferraro: Et puis, euh, au fait, je vais juste vous parler de ceux qui sont faibles et/ou qui ne réagissent pas. Je les envoie généralement aux chefs de service ou aux vice-présidents. Et puis je dis : « Oh, au fait, je vais établir un rapport global que nous partagerons avec tout le monde et nous organiserons une compétition saine pour déterminer qui est le plus en sécurité avec ses fournisseurs. » Et donc, c'est très intéressant de les observer. Au début, ils réagissent en disant : « Oh mon Dieu, j'ai un rapport négatif. Ne me dites pas mon rapport négatif. » Je leur réponds : « Ce n'est pas un rapport négatif. C'est un rapport de sensibilisation. » Ensuite, je leur dis : « Bon, voici ce que je vous demande de faire avec ce rapport de sensibilisation afin que nous puissions vous aider à vous améliorer considérablement. » Nous partageons ensuite le rapport avec tout le monde et, comme les vice-présidents sont souvent amis ou entretiennent de bonnes relations entre eux, ils se disent soudainement : « Oh mon Dieu, pourquoi cette personne réussit-elle tellement mieux que moi ? Aide-moi, Brenda. Que puis-je faire ? » Et ainsi, ce cycle de quatre mois fera en sorte que les choses changent naturellement et que tu obtiens de l'aide pour ta culture. Alors Amy, il semble qu'il y ait une question avant que je passe à la collecte de données pertinentes.

Amy Tweed: Oui. C'est simple et sympa. Est-ce que 80 questions, c'est beaucoup?

Brenda Ferraro: Non, 1 500 questions, c'est beaucoup. Donc non, 80 questions, ce n'est pas beaucoup. J'espère qu'un critère de référence ou un test décisif consisterait à ne pas dépasser 80 questions si possible, mais il ne faut pas se focaliser sur le nombre de questions. Il faut plutôt s'intéresser à ce que l'on recueille dans son contexte. Donc, euh, si vous arrivez à 80 et que vous vous dites « OK, il faut en ajouter une autre », alors vous devriez peut-être examiner ces 80 questions et vous demander : « Est-ce que celle-ci est vraiment importante ? Pouvons-nous l'ajouter à la place ou pouvons-nous reformuler quelque chose qui permettra de mieux contrôler l'efficacité plutôt que de se limiter à un scénario binaire oui/non ? C'est en quelque sorte ce que je ferais. J'ai utilisé 75 comme chiffre de référence, mais j'ai eu des questionnaires qui allaient jusqu'à 145, 125, 350, et cela dépend vraiment de l'engagement et de ce qu'ils font pour vous. Donc, si vous parlez d'un questionnaire initial juste pour comprendre quel est le risque inhérent et le risque résiduel de mes contrôles clés, alors non, 80 n'est pas trop.

Brenda Ferraro: Et si vous vous plongez dans des situations d'engagement plus importantes, n'ayez pas peur d'aller plus loin. Ne posez que les questions pertinentes. Cela m'amène à ce dont j'allais parler, à savoir qu'il n'existe pas d'évaluation unique qui convienne à tous. Il existe une évaluation qui vous donnera des informations, mais en matière de diligence raisonnable, à moins que vous ne soyez une petite entreprise qui ne fait qu'un seul type de chose, qui n'a que quelques fournisseurs, alors oui, je peux comprendre l'utilisation d'un seul type d'évaluation. Mais dès que vous atteignez 25 fournisseurs ou plus, vous devez vraiment commencer à les classer s'il s'agit de différents types d'engagements. Mais facilitez la collecte de données, rendez-la agréable, réutilisez les données que vous pouvez réutiliser et utilisez des questionnaires standard déjà remplis. Intégrez-vous à un réseau. Encore une fois, le délai de réponse dépendra entièrement des exigences de diligence raisonnable de l'évaluation. Si vous leur demandez d'inclure des pièces justificatives. Si vous leur demandez de répondre à plus de 80 questions, vous devez vraiment garder à l'esprit que lorsque vous leur envoyez des documents, ils doivent y répondre. Ils devront peut-être les partager avec d'autres personnes afin de faciliter le partage des responsabilités ou la réponse aux questions. Et j'espère vraiment que la plupart des gens commenceront à s'engager dans un échange ou un environnement réseau qui réutilise les informations sur la base d'une autorisation préalable. La sécurité qui entoure cela est également très importante. Très bien, question suivante. Les points de contact sont le prochain défi.

Amy Tweed: Bon, me voilà. OK, je lance le sondage. Avez-vous les coordonnées de tous vos fournisseurs? Ça tombe à pic, car je me posais justement la même question. Prenez donc un moment pour répondre au sondage si vous le pouvez. Encore une fois, c'est une question qui revient sans cesse. OK, ça me tracasse depuis très, très longtemps. J'ai hâte d'en savoir plus. Bon, je vais terminer dans cinq, quatre, trois, deux, un. Quelques réponses de dernière minute. Bon, je partage les résultats. 52 % oui, 40 % non, 9 % ne savent pas. Excusez-moi. J'ai aussi la gorge nouée.

Brenda Ferraro: Très bien. Bon, très bien.

Brenda Ferraro: Donc, ceux qui le font déjà dans le cadre de leur travail révisent chaque année ces points de contact ou s'assurent qu'ils ont une solution pour cela. Bravo à vous. Pour ceux d'entre vous qui ont encore des difficultés, il existe plusieurs façons de résoudre ce problème. Utilisez vos rapports de veille stratégique, car ils vous permettent de savoir exactement à qui vous adresser, ou commencez par vos comptes fournisseurs ou vos listes d'approvisionnement ou de sourcing. Vous pouvez également mener une campagne interne ou externe en créant un questionnaire de collecte d'informations comprenant moins de 12 ou 15 questions afin de déterminer qui est le fournisseur, qui est le point de contact en interne, qui est le point de contact du fournisseur en externe, ce que vous faites pour nous, si vous gérez l'affichage, le traitement, euh, les données sensibles, si vous travaillez dans différentes régions, ce genre d'informations très, très importantes. N'hésitez donc pas à contacter vos fournisseurs et à leur demander ce que vous faites et qui est leur interlocuteur en interne. Si vous n'avez aucun moyen d'obtenir une liste en interne auprès de votre service des achats ou de vos agents d'approvisionnement, et si vous obtenez une liste d'achats et que les choses rebondissent, renvoyez-la-leur et faites-leur savoir que l'adresse e-mail de cette personne de contact n'est plus valide. Je vous demande de m'en trouver un autre. Vous pouvez également utiliser la fonction de recherche de contacts disponible sur certaines plateformes. Chez Prevalent, nous disposons d'une fonction de recherche de contacts que vous pouvez utiliser pour obtenir au moins le nom d'une personne travaillant actuellement dans l'organisation et qui a la possibilité de lui transmettre le questionnaire d'évaluation. Ainsi, l'identité de cette personne sera mise à jour et, comme par magie, vous saurez exactement à qui vous devez vous adresser en effectuant cette recherche. Vous obtiendrez ainsi quelques noms ou l'un des noms importants à contacter. Il peut s'agir d'un RSSI, d'une personne travaillant dans le service des achats, mais nous avons un moyen de vous fournir ces informations. Utilisez ensuite cette campagne pour consolider vos dossiers.

Brenda Ferraro: Donc, si vous n'êtes pas le responsable des dossiers au sein de l'équipe TPRM, mais que vous disposez de ces informations au sein du service des achats, cela ne signifie pas pour autant qu'il n'est pas tout aussi important pour vous de disposer de ces informations, en particulier en cas d'incident. Ce point de contact est important. Considérez donc cela comme un risque. Si vous n'avez pas de point de contact, cela représente un risque pour ce fournisseur et pour la résilience de votre entreprise, et vous devez y remédier. C'est très, très important. Donc, si vous souhaitez en savoir plus sur les capacités des campagnes internes et externes, vous pouvez contacter Amy à l'adresse info prevalent.net et nous vous en dirons plus sur le succès rencontré par d'autres entreprises que nous avons aidées par le passé. Prochaine question du sondage.

Amy Tweed: Bon, me voilà. OK. Sondage. Je vois la question ici. Pensez-vous que l'essentiel de votre travail consiste à courir après les fournisseurs pour obtenir une réponse? Ça a l'air très amusant. Oui. Non. Je ne sais pas trop.

Brenda Ferraro: Donc, j'appelle cela « administr » : l'avons-nous lancé ? L'avons-nous récupéré ? Répondent-ils ? Pourquoi ne répondent-ils pas ? Comment pouvons-nous les amener à nous donner une réponse ? Pourquoi font-ils toutes ces choses différentes ? Et je vous ai donné quelques techniques pour commencer à établir la relation et faire en sorte que les rappels par e-mail vous aident avec une capacité de plafonnement automatisée, si vous utilisez une plateforme comme la nôtre. Mais bon, on va vous laisser conclure.

Amy Tweed: Oui, encore environ trois secondes. Dernière réponse. OK. Je partage les résultats. 38 % oui, 53 % non, 9 % ne savent pas. Je suppose qu'avec toute la fatigue que nous ressentons déjà, c'est une chose de moins à faire.

Brenda Ferraro: Eh bien, cela pourrait signifier que ces 53 % utilisent une plateforme automatisée et/ou qu'ils ont trouvé le moyen de faire passer leur programme de la collecte à la correction des risques. Espérons donc que leur gestion des risques soit aussi cohérente que la collecte d'informations. Je recommanderais donc, si vous êtes fatigué et que vous ne souhaitez plus vous en occuper vous-même, de faire appel à des services d'évaluation des risques que vous pouvez engager et/ou mettre en œuvre automatiquement au sein de votre plateforme. De la collecte à l'analyse, en passant par le rapport sur les risques dont nous avons parlé précédemment, jusqu'à la validation des visites sur site que nous effectuons virtuellement ces jours-ci, puis le suivi de la correction. Il y a donc certainement des choses qui peuvent être mises en œuvre, que vous utilisiez une perspective de centre de commande des opérations de risque sur les services gérés, comme le font notre entreprise et d'autres. Vous pouvez également les utiliser pour renforcer votre personnel. Même si vous êtes en train de mettre en place votre programme et que vous souhaitez faire beaucoup de choses très rapidement au début, vous pouvez vous engager dans cette voie, puis confier la tâche à votre équipe afin de ne pas avoir à vous occuper de l'administration et de vous assurer que vous avez tout ce dont vous avez besoin. Tout cela est à votre disposition pour que vous puissiez l'examiner attentivement une autre fois. Mais il existe des renforts de personnel qui peuvent vous aider et des services gérés qui peuvent vous aider à intégrer et à configurer votre plateforme pour qu'elle fasse les choses automatiquement pour vous. Très bien, passons à la question suivante du sondage.

Amy Tweed: Très bien, nous commençons maintenant. Votre programme de gestion des risques liés aux tiers utilise-t-il les informations sur les fournisseurs à d'autres fins que l'évaluation des risques? Comme précédemment, répondez par oui, non ou je ne sais pas. Prenez le temps de répondre. Encore une fois, merci à tous pour vos questions. Continuez à les poser. Je vous rappelle que cette discussion est enregistrée, donc si vous devez vous absenter, nous vous enverrons l'enregistrement dans votre boîte mail dès demain matin, afin que vous puissiez le regarder à votre convenance. Bon, nous allons attendre encore quelques secondes. Cette heure passe très vite, je le sens.

Brenda Ferraro: Je sais qu'il ne reste plus que neuf ou cinq minutes, alors nous allons accélérer le rythme pour terminer.

Amy Tweed: Très bien, je vais terminer dans environ trois secondes. OK, fin du sondage. Partage des résultats. Oui. 46 % non, 44 % incertain, 30 %. OK.

Brenda Ferraro: Très bien. Donc, en ce qui concerne les informations de sécurité de vos fournisseurs, nous en avons déjà parlé. Assurez-vous d'utiliser la cybersécurité et de la mettre en œuvre dès le début. Si vous pouvez les transmettre à votre service d'approvisionnement et de sourcing et leur demander de les partager avec les fournisseurs avant même qu'ils ne soient sélectionnés, cela vous sera utile, car vous saurez alors à quel point l'évaluation approfondie sera difficile. La cybersécurité est bien sûr importante pour tous ceux qui traitent des données, mais aussi pour les entreprises qui exercent d'autres types d'activités et qui ont besoin d'informations financières. Nous en avons déjà parlé : assurez-vous d'utiliser ces trois composants pour votre veille stratégique et veillez à ce qu'elle soit normalisée. Nous voulons normaliser les risques afin d'éviter les doublons et de montrer qu'ils sont plus éloignés ou plus importants qu'ils ne le sont en réalité. Voilà donc les points que je voudrais mentionner à ce sujet. Au départ, j'étais catégorique : je ne voulais pas utiliser les renseignements sur les menaces. Puis j'ai finalement compris à quel point cela pouvait aider à établir des priorités. Cela peut aider à savoir où ils en sont. Cela peut leur donner des informations sur ce qu'ils doivent améliorer avant même de devenir fournisseurs. Et c'est simplement un système de soutien communautaire qui peut être utilisé en plus de la normalisation, avec le facteur de confiance des réponses que vous obtenez à partir des questionnaires et/ou des rapports ou des certifications. Très bien, alors les points clés à retenir, même si nous avons accéléré vers la fin, voyons ce que vous avez le plus apprécié avant que je vous rappelle ce qu'ils sont.

Amy Tweed: Oui. Il s'agit d'un sondage où vous pouvez choisir autant de réponses que vous le souhaitez. Tous les sujets que nous avons abordés sont ici. Dites-nous ce que vous avez trouvé le plus utile, ce que vous avez le plus aimé. Si vous n'avez rien aimé, vous pouvez également le mentionner. Nous voulons le savoir. Nous voulons que ces cours soient instructifs pour vous. Dites-nous donc ce qui fonctionne le mieux.

Brenda Ferraro: J'aime bien celui-là. Je n'ai aimé aucun de ceux-là. Cela m'obligerait à aller voir si je dois trouver un autre emploi. Nous voulons signaler cela à votre direction. Ce n'était pas acceptable.

Amy Tweed: J'aimerais en savoir plus sur les raisons, mais euh...

Brenda Ferraro: mais tout cela est anonyme. Ce n'est pas comme si

Amy Tweed: D'accord. Nous n'allons pas vous traquer maintenant. Ne vous inquiétez pas. Nous sommes juste vraiment... Bon, nous allons terminer dans quelques secondes. Il y aura également un sondage juste après celui-ci. Hum, nous arrivons à la fin, je pense, avec les questions-réponses. Hum, donc si vous avez un projet de gestion des risques liés aux tiers à venir, travaillez-vous dessus ? Nous aimerions le savoir. Je vais terminer ce sondage maintenant. Merci à tous. D'accord. Est-ce que je vais avoir des bleus ? A J'ai 4 % de bleus. Ce n'est pas grave. Il y a toujours matière à amélioration. Super. Eh bien, cela m'aidera à mieux comprendre les sujets qui importent le plus aux gens lorsque je ferai d'autres présentations. Je suis donc ravi que cela vous ait été utile. Vous voulez passer à la question suivante ou faire apparaître la fenêtre contextuelle ?

Amy Tweed: Oui, je pense que nous avons également une question. Je vais donc la poser pendant que je vérifie cela. Comme je l'ai mentionné, cherchez-vous à renforcer ou à mettre en place un programme de gestion des risques liés aux tiers en 2021 ? Si oui, faites-le-nous savoir. Nous sommes là pour vous aider. Amanda Fina, ma collègue, et moi-même pouvons vous contacter. Nous pouvons discuter avec vous et vous mettre en relation avec un spécialiste produit ici, si cela vous convient. Faites-nous savoir. Je vais vérifier la question ici. Oh, juste un merci. Nous devons vous remercier.

Brenda Ferraro: C'est un pansement pour mon... Les points à retenir aujourd'hui, pour rappel, sont : communiquer, établir une relation, faire preuve d'empathie envers votre fournisseur, utiliser l'adaptation pour changer votre culture et obtenir une réponse de ces fournisseurs. Les points de contact sont indispensables. Utilisez donc la fonction de recherche de contact fournisseur. Allez dans votre service achats, utilisez votre agent d'approvisionnement, qui payez-vous ? Et lancez ensuite des campagnes. C'est la meilleure façon de procéder si vous ne trouvez rien. Les services gérés sont là pour vous aider à démarrer et/ou à améliorer votre programme afin que vous puissiez vous libérer du suivi, de la recherche et de la fatigue administrative, ainsi que des plateformes. Faites autant que possible sur une plateforme plutôt que sur un tableur. Et puis , l'intelligence des risques fournisseurs. Ne l'utilisez pas seulement pour valider. Utilisez-la tout au long de votre programme. Cela vous aidera à établir des priorités dans de nombreux domaines. Enfin, si vous souhaitez avoir une vue d'ensemble de tout ce que nous faisons, voici ce qu'il vous faut. Nous sommes une source d'informations provenant de tous les horizons et Prevalent est là pour vous aider. Nous sommes là pour vous aider pour de nombreuses raisons, mais aujourd'hui, nous avons parlé de la manière de réaliser ces évaluations des risques et d'obtenir une réponse de ces fournisseurs. Si leur réponse correspond à certains critères, nous pouvons vous aider à adopter une approche hybride. Nous sommes un partenaire de confiance et un leader dans le Magic Quadrant. Nous sommes donc très heureux de vous aider. Je vais vous donner nos coordonnées sur [email protected] pour contacter Amy. Je pense que nous arrivons à la fin, si vous souhaitez poser une dernière question.

Amy Tweed: À moins que ce ne soit juste un remerciement. Oui, c'était ça. Donc, euh... Je n'ai pas d'autres questions, mais euh... oui, nous avons dépassé l'heure d'une minute. Nous vous remercions tous d'avoir participé. Encore une fois, cette réunion est enregistrée, elle vous sera donc envoyée. N'hésitez pas à me contacter, Amanda. Nous sommes là pour vous aider.

Brenda Ferraro: Merci d'avoir passé du temps avec nous. Passez une excellente journée.

Amy Tweed: Merci, Brenda. Bonne journée. Merci à tous. Au revoir. Au revoir. Au revoir.