Gestion des risques liés aux tiers 101 : les fondements d'un programme de gestion des risques liés aux tiers réussi

Animateur: Bonjour et bienvenue. Je suis ravi de voir que tout le monde commence à se connecter. Animateur: Je vais vous laisser une minute pendant que nous attendons que tout le monde s'installe et se connecte. Animateur: Mais avant cela, j'aimerais savoir ce qui vous amène à participer au webinaire d'aujourd'hui. Animateur: Il semble que nous ayons un petit problème avec le son d'Ashley ce matin. Animateur: Nous allons donc voir si nous pouvons régler ce problème. Animateur: En attendant, nous allons lancer un sondage à mesure que les participants se connectent ce matin. Animateur: C'est parti. Animateur: Ashley, si vous m'entendez, pourriez-vous lancer ce sondage ? Animateur: Sinon, je vais voir si je peux le faire moi-même. Animateur: Voilà, c'est fait. Animateur: Voyons si Ashley peut revenir.

Ashley: Bonjour. Animateur: Voilà. Très bien. Je pense que vous êtes prêt. Vous êtes là où vous vous étiez arrêté ? Ashley: Oui, Scott. Ashley: Euh, nous sommes également rejoints par notre vice-président du marketing produit, Scott Lang. Ashley: Et euh, je vous rappelle que cette réunion est enregistrée et que nous vous enverrons l'enregistrement ainsi que les diapositives de la présentation peu après le webinaire. Ashley: Euh, vous êtes tous actuellement en mode silencieux, mais nous vous encourageons à participer. Ashley: N'hésitez donc pas à poser vos questions dans la boîte de questions-réponses. Ashley: Euh, aujourd'hui, Bob va passer en revue les principes fondamentaux du TPRM et établir un cadre TPRM. Ashley: Alors, Bob, je te laisse la parole.

Bob: D'accord. Merci, Ashley. Bob: Bonjour à tous. Bob: Aujourd'hui, nous allons parler de la première partie d'une série en quatre volets que j'ai intitulée « Mettre en place un programme durable de gestion des risques liés aux tiers ». Bob: Au fur et à mesure que nous avancerons, si vous avez des questions, n'hésitez pas à utiliser la fonction de chat. Je me ferai un plaisir d'y répondre au fur et à mesure. C'est parti ! Bob: Aujourd'hui, nous allons nous concentrer sur la mise en place d'un cadre TPRM. Bob: Nous allons parler du modèle de maturité et du rôle de la résilience opérationnelle dans la gestion des risques liés à la chaîne d'approvisionnement. Bob: Et si je parle de chaîne d'approvisionnement, c'est parce que nous examinons tous les fournisseurs auxquels votre organisation peut faire appel, pas seulement les tiers, mais aussi leurs propres tiers, les sous-traitants, afin de vraiment comprendre le profil de risque et ce qui doit être pris en compte. Bob: Qu'est-ce que les événements récents suivants ont en commun ? Bob: Vous savez, nous avons eu une situation où un navire s'est retrouvé coincé dans le canal de Suez et où aucun autre navire ne pouvait transiter par le canal. Bob: Nous avons eu des problèmes dans les ports californiens avec le déchargement des navires. Bob: Vous savez, en 2021, nous avons eu une tempête hivernale au Texas qui a mis hors service le réseau électrique. Bob: Nous avons eu Solar Winds, CASA, Log 4J, Octa, la liste des problèmes logiciels provenant de tiers est longue. Bob: Et je pourrais citer un certain nombre d'autres problèmes. Bob: Je pourrais rester ici et en parler toute la journée. Bob: Mais le fait est que tous ces événements étaient considérés comme des événements imprévisibles avant qu'ils ne se produisent. Bob: Et quand nous utilisons le terme « cygnes noirs », nous parlons de choses que nous nous attendons rarement à voir se produire, mais qui ont une faible probabilité de se produire. Bob: Et ce que nous avons découvert avec nos chaînes d'approvisionnement, c'est que ce que nous considérions auparavant comme des cygnes noirs se produit en fait à une fréquence beaucoup trop régulière et que, dans ce processus, nous devons ajuster notre façon de penser. Bob: Les cygnes noirs sont la nouvelle norme. Bob: C'est ce que nous avons appris avec la COVID. Bob: Nous l'avons appris avec les répercussions que nous subissons encore dans les chaînes d'approvisionnement en raison des perturbations causées par des événements que nous n'aurions pas pu facilement prévoir. Bob: comme la situation en Ukraine et la fermeture temporaire de la Chine en raison de la recrudescence des cas de COVID.

Bob: Nous devons donc nous adapter à ce nouveau monde où ce qui était considéré comme anormal est en fait devenu la nouvelle norme. Bob: Aujourd'hui, nous allons donc parler de la manière dont nous pouvons commencer à mettre en place un programme de gestion des risques liés aux tiers. Bob: Nous allons parler du parcours à suivre pour gérer les risques liés aux tiers et de l'importance de savoir d'où vous partez. Bob: La nécessité d'adopter une approche proactive dans la gestion des risques liés à votre chaîne d'approvisionnement dans le but de garantir la résilience opérationnelle. Bob: Qui sont vos principaux tiers ? Bob: Lesquels considérez-vous comme essentiels ? Bob: Et comment vous êtes-vous assuré qu'ils disposent de capacités suffisantes pour soutenir vos initiatives et fonctions commerciales essentielles ? Bob: Nous allons adopter une vision holistique du risque opérationnel tel qu'il s'applique à la gestion des risques liés aux tiers. Bob: Nous ne nous concentrerons pas uniquement sur les risques cybernétiques ou la continuité des activités, mais nous examinerons également les risques financiers, les risques opérationnels, les risques liés à la concentration géographique et aux catastrophes naturelles, les risques de conformité et, enfin, les risques environnementaux, sociaux et de gouvernance. Bob: Tous ces facteurs sont importants, et chacun d'entre eux pourrait entraîner une situation dans laquelle votre tiers pourrait être incapable de vous fournir un service essentiel. Bob: Nous allons explorer le cadre et le cycle de vie de la gestion des risques liés aux tiers, en abordant les cinq phases de ce processus, de la planification et la découverte à l'évaluation des risques, en passant par le rôle essentiel de la surveillance continue et la remédiation des risques liés aux tiers, qui est malheureusement l'un des domaines qui a tendance à être négligé. Bob: Lorsque nous procédons à une évaluation des risques, l'objectif n'est pas de terminer l'évaluation des risques. Bob: L'objectif est de remédier aux problèmes identifiés dans le cadre de l'évaluation des risques, car ce n'est qu'à travers cette remédiation que le risque est réellement réduit, puis finalement éliminé par les tiers. Bob: Après cela, nous aborderons le modèle de maturité de la gestion des risques liés aux tiers, l'importance de comprendre où vous en êtes dans votre parcours, depuis votre point de départ, et quel est l'objectif de maturité raisonnable à atteindre pour votre programme. Bob: Je commencerai par dire que sur une échelle de un à cinq, il ne s'agit pas d'atteindre cinq.

Bob: Nous parlerons également de la mise en place d'un consensus au sein de l'organisation et de la chaîne d'approvisionnement, ainsi que de l'importance d'entretenir de bonnes relations avec les tiers avec lesquels vous travaillez. Bob: Nous aborderons également l'importance des différentes parties prenantes avec lesquelles vous devez collaborer lors de l'élaboration de votre programme de gestion des risques liés aux tiers. Bob: Lorsque nous parlons de gestion des risques liés aux tiers, nous parlons d'un parcours que vous devez suivre. Bob: Et chaque fois que vous racontez une histoire comme celle-ci, vous devez savoir par où commencer. Bob: Vous devez savoir où vous allez et vous devez avoir les moyens de le communiquer aux différentes parties prenantes avec lesquelles vous travaillez. Bob: Ainsi, lorsque vous faites rapport à votre direction, voire au conseil d'administration, vous les aidez à comprendre pourquoi ils doivent financer un programme de gestion des risques liés aux tiers. Bob: La meilleure façon d'y parvenir est de raconter l'histoire. Bob: Voici par où nous avons commencé. Bob: Voici où nous voulons arriver et voici ce qu'il faudra faire pour y parvenir. Bob: Donc, pendant que vous racontez votre histoire, vous devrez également l'étayer avec des données. Bob: Et au fur et à mesure que nous avancerons dans ce cours et que nous aborderons d'autres modules, nous parlerons beaucoup des indicateurs clés de performance et des indicateurs clés de risque. Bob: Et lorsque vous envisagez d'étayer votre histoire avec des données, il est très important de comprendre que ces données montrent des tendances. Bob: Chaque fois que vous réfléchissez aux données que vous utilisez pour étayer votre histoire et à la direction que vous prenez, vous devez vous demander si elles vous renseignent sur votre tendance. Bob: La première question que vous devez toujours vous poser à propos des données est la suivante : que m'apprennent-elles ? Bob: M'indiquent-elles une tendance à laquelle je dois remédier ? Bob: Mais nous en parlerons plus en détail dans un prochain cours. Bob: N'oubliez pas : vous devez connaître votre point de départ et savoir comment le communiquer à vos parties prenantes afin qu'elles aient confiance dans la mise en place d'un programme durable. Bob: Gérer de manière proactive les risques liés à la chaîne d'approvisionnement. Bob: Ce que nous essayons vraiment de faire, c'est de nous assurer que nous intégrons une résilience opérationnelle suffisante dans la manière dont nous gérons nos tiers afin que nos fonctions commerciales essentielles puissent continuer à répondre aux besoins de nos clients.

Bob: Et dans ce cadre, vous devez comprendre en permanence où se situent les risques. Bob: J'ai parlé un peu plus tôt des événements imprévisibles. Bob: Eh bien, comme ils deviennent plus fréquents et que nous devons y faire face, nous devons nous assurer que nous disposons des capacités nécessaires non seulement au sein de notre organisation, mais aussi chez nos partenaires commerciaux essentiels. Bob: afin qu'ils puissent continuer à fournir les services que nous attendons. Bob: Je ne saurais donc trop insister sur l'importance de la résilience opérationnelle. Bob: C'est la clé du succès pour répondre aux attentes de vos clients. Bob: Ce faisant, nous pourrons prévenir les perturbations. Bob: Nous serons en mesure de détecter rapidement lorsqu'un événement s'est produit et, de même, de nous rétablir rapidement afin de continuer à fournir ces services à nos clients. Bob: Or, l'un des aspects qui, selon moi, n'est pas suffisamment pris en compte est le fait que plus de la moitié des incidents de sécurité que nous connaissons dans nos organisations sont le résultat d'une compromission survenue chez un tiers. Bob: Ce qui est encore moins connu, c'est que souvent, cette compromission chez le tiers a commencé chez l'un de ses sous-traitants, l'un de ses quatrièmes ou cinquièmes tiers, comme nous les appelons. Bob: Il est donc essentiel de comprendre les contrôles et les processus utilisés par nos tiers, leur supervision de leurs sous-traitants et leur divulgation claire à votre égard du fait qu'ils font appel à des sous-traitants, en particulier pour fournir des services critiques, afin de gérer les risques opérationnels et d'assurer la résilience. Bob: Il existe donc différents types de risques opérationnels et tout le monde aime se concentrer sur la cybersécurité, la reprise après sinistre et la continuité des activités, mais n'importe lequel de ces risques peut avoir un impact certain sur votre entreprise. Bob: les entreprises. Bob: Nous avons donc le risque financier. Bob: L'entreprise, le tiers avec lequel vous travaillez, continue-t-elle à fonctionner de manière saine et rentable ? Bob: A-t-elle connu un changement radical dans ses finances, ce qui pourrait indiquer qu'elle rencontre des problèmes et qu'elle risque la faillite ? Bob: Et pour les tiers qui sont essentiels à votre activité, avez-vous un plan d'urgence au cas où ils seraient touchés financièrement et risqueraient la faillite ? Bob: Du point de vue opérationnel, il est important de se pencher sur la résilience.

Bob: Ont-ils la capacité de se rétablir rapidement afin de vous garantir un service ininterrompu ? Bob: Gèrent-ils efficacement leurs ressources ? Bob: Ont-ils un taux de rotation élevé de leur personnel, ce qui pourrait avoir un impact sur leur capacité opérationnelle ? Bob: L'entreprise a-t-elle été affectée par une acquisition ou une cession, et cela a-t-il entraîné une perte de concentration sur la prestation de services à votre égard ? Bob: Disposent-ils d'une infrastructure suffisante pour continuer à fournir leurs services ? Bob: À partir de là, il est important, en particulier dans le monde actuel, de comprendre les risques géopolitiques liés à la localisation et à la concentration auxquels nous pouvons être confrontés. Bob: Par exemple, les entreprises ont découvert qu'une grande partie des activités de développement de logiciels externalisées se déroulent en Ukraine et en Russie, qui ont peut-être été directement touchées par les événements qui se déroulent actuellement dans cette partie du monde. Bob: Avez-vous localisé, avez-vous compris où se trouvent les services que vous fournit un tiers ? Bob: Son siège social peut se trouver aux États-Unis, mais si ce service est fourni, par exemple, en Turquie aujourd'hui et que ce pays a été touché par un tremblement de terre, cela peut avoir entraîné une interruption des services qui vous sont fournis. Bob: Il est donc très important de comprendre d'où provient le service sur lequel vous comptez, non pas où se trouve l'entreprise avec laquelle vous avez passé un contrat, mais d'où ce service est fourni. Bob: Et enfin, sur ce sujet, il est important de comprendre où vous pouvez avoir un risque de concentration, et ce risque peut prendre plusieurs formes. Bob: Il peut arriver que plusieurs de vos activités et unités commerciales dépendent du même tiers pour leur fournir des services et que ces services soient interrompus. Bob: Dans un sens plus large, le secteur bancaire, par exemple, dépend de certains acteurs clés dans certaines régions du monde et si ces entreprises ou ces sites physiques sont touchés, cela pourrait avoir un effet d'entraînement sur l'ensemble du secteur bancaire d'un point de vue cybernétique. Bob: Les attaques deviennent de plus en plus complexes et sophistiquées, ce que nous appelons des menaces persistantes avancées et des attaques contre des organisations.

Bob: Nous constatons que même les petites et moyennes entreprises sont victimes d'attaques criminelles organisées, voire d'attaques menées par des États. Bob: Il devient donc encore plus important de veiller à ce que les règles d'hygiène informatique soient respectées, compte tenu de la fréquence des nouvelles attaques. Bob: À cet égard, je vais parler plus particulièrement des logiciels. Bob: Lorsque vous utilisez des logiciels tiers, vous devez savoir quels sont ceux qui sont utilisés dans votre entreprise. Bob: Tout comme nous allons parler dans un instant de la création d'un inventaire de vos tiers, il est tout aussi important de comprendre l'inventaire des logiciels tiers utilisés dans votre organisation, car comme nous l'avons vu avec Solar Winds, CASA et Log 4J, ces éléments ont un impact réel sur votre organisation. Bob: Et lorsqu'un problème survient avec ces logiciels, les employés de votre entreprise doivent tout laisser tomber, se lancer dans une procédure d'urgence et déterminer si vous utilisez l'un de ces logiciels. Bob: Ensuite, les questions ESG et environnementales et sociales prennent de plus en plus d'importance chaque jour. Bob: Je pense que tout le monde comprend l'importance de l'environnement. Bob: Les entreprises doivent donc être conscientes que les personnes avec lesquelles elles travaillent et les pratiques environnementales des tiers auxquels elles font appel sont mises en œuvre de manière appropriée et responsable. Bob: D'un point de vue social, vous voulez savoir si les entreprises avec lesquelles vous travaillez traitent leurs employés de manière équitable, si elles n'exploitent pas le travail des enfants, et un certain nombre d'autres questions, si elles prennent en compte la diversité et l'inclusion dans leur façon de mener leurs activités et d'autres questions connexes. Bob: Et enfin, en matière de conformité, il faut s'assurer que les tiers avec lesquels nous travaillons respectent les lois et réglementations en vigueur, car s'ils ne respectent pas les lois et réglementations auxquelles vous êtes soumis, vous êtes potentiellement responsable et cela aura un impact très négatif sur votre réputation. Bob: Voilà donc en gros ce dont nous parlons. Bob: Maintenant, quand nous parlons du cycle de vie de la gestion des risques liés aux tiers, cela commence par la planification et la découverte.

Bob: Ce qui nous intéresse ici, c'est d'identifier l'état de notre chaîne d'approvisionnement. Bob: Nous voulons donc évidemment connaître les tiers avec lesquels nous travaillons. Bob: Nous voulons évidemment nous concentrer sur les tiers qui ont une incidence sur nos activités commerciales essentielles. Bob: Il existe plusieurs façons de s'y prendre pour identifier votre chaîne d'approvisionnement. Bob: Vous pouvez vous concentrer sur, et c'est particulièrement utile. Bob: Quels sont mes tiers critiques ? Bob: Et l'un des meilleurs moyens de le savoir est de discuter avec votre service informatique, les personnes responsables de la continuité des activités et de la reprise après sinistre, car elles savent généralement très bien quels sont les fournisseurs critiques dont elles ont besoin pour continuer à fournir leurs services. Bob: C'est donc une façon de procéder. Bob: Lorsque vous essayez de vérifier que vous disposez d'un inventaire complet de la chaîne d'approvisionnement, il est très utile de vous adresser à votre service comptabilité fournisseurs et de demander qui nous avons payé au cours des deux dernières années, car si vous avez un fournisseur et qu'il est payé, vous le découvrirez grâce à votre processus de comptabilité fournisseurs. Bob: Un autre aspect consiste à s'assurer que les contrats existent et, lorsque nous parlons de contrats, qu'ils traitent correctement les risques. Bob: De nombreuses relations entre les entreprises existent depuis plusieurs années. Bob: Mais lorsque vous leur demandez de trouver une copie du contrat, ils répondent : « Oh, nous travaillons avec eux depuis 20 ans et personne ne sait où se trouve le contrat. » Bob: C'est problématique. Bob: Ensuite, nous passons à l'évaluation des risques, où nous examinons comment nous effectuons notre diligence raisonnable et nous nous concentrons sur l'intégration. Bob: L'un des plus grands problèmes que nous constatons en matière de risques liés aux tiers est que le processus d'intégration de nouveaux tiers est trop lourd et trop long. Bob: Et lorsque vous discutez avec vos partenaires commerciaux, ils sont prêts à saisir une opportunité commerciale ou à s'assurer qu'ils peuvent continuer à fournir leurs services très rapidement, et nous devons être très efficaces dans la manière dont ce processus d'évaluation des risques est mené à bien.

Bob: Je connais de grandes organisations où, s'il s'agit d'un fournisseur essentiel, il peut leur falloir trois mois ou plus pour intégrer ce tiers essentiel, ce qui est tout simplement trop long d'un point de vue commercial pour faire avancer les choses. Bob: Encore une fois, c'est un sujet dont nous parlerons lors d'un prochain webinaire. Bob: L'important à retenir est que vous devez optimiser votre processus de diligence raisonnable et d'intégration, et que vous devez réfléchir très sérieusement à la manière d'automatiser ces processus pour réussir. Bob: Passons maintenant à la surveillance continue. Bob: À mon avis, la surveillance continue est absolument essentielle à la gestion des risques liés aux tiers. Bob: Lorsque vous effectuez une évaluation des risques, vous évaluez à un moment donné les contrôles mis en place par votre tiers. Bob: C'est bien pour le jour où cela est fait, mais il reste 364 autres jours dans l'année où vous devez comprendre et avoir une visibilité sur les performances de vos tiers. Bob: Vous pouvez donc commencer par une évaluation des risques, mais vous devez, en particulier pour vos tiers critiques, surveiller en permanence tous les risques opérationnels auxquels vos tiers sont confrontés tout au long de la chaîne d'approvisionnement et vous assurer qu'ils sont correctement gérés pour soutenir votre activité. Bob: À partir de là, nous abordons le sujet de la remédiation et de la gestion des problèmes. Bob: Et pour moi, c'est peut-être le sujet le plus frustrant de tous, car j'ai vu de nombreux cas où les entreprises ne le font pas bien. Bob: Si vous prenez le temps de faire une évaluation des risques et que celle-ci identifie des problèmes, prenez le temps de vous assurer que ces problèmes sont suffisamment corrigés et validés. Bob: Sinon, franchement, ne vous donnez pas la peine de faire une évaluation des risques. Bob: Si vous ne comptez pas résoudre les problèmes identifiés, car c'est là que réside la véritable atténuation des risques. Bob: Excusez-moi. Bob: Et lorsque vous identifiez des problèmes, vous avez trois façons de les traiter. Bob: Vous pouvez résoudre le problème, vous pouvez l'accepter ou vous pouvez transférer le problème, le risque qui y est associé. Bob: Aujourd'hui, le transfert de risque se fait généralement par le biais de ce que nous appelons la cyberassurance.

Bob: par exemple, si vous avez beaucoup de clients et que vous craignez une violation de leurs données, vous pouvez souscrire une cyberassurance qui vous aidera à compenser le risque d'une compromission potentielle de vos clients. Bob: Mais la seule façon d'obtenir une cyberassurance est de disposer d'un programme de gestion des risques solide. Bob: Lorsqu'il s'agit d'accepter un risque, l'une des choses importantes à faire est que l'entreprise ne peut pas se contenter de dire « d'accord, j'accepte le risque », l'entreprise a engagé un tiers, l'entreprise est responsable de ce qui se passe avec ce tiers et s'il y a des problèmes qui ne peuvent être résolus, alors des contrôles compensatoires doivent être mis en place pour compenser le risque et le fait qu'une entreprise accepte simplement le risque peut signifier qu'elle accepte le risque non pas au nom de son unité commerciale, mais au nom de la société, ce qui nous place dans une position inacceptable. Bob: Il faut donc remédier au problème en acceptant des contrôles compensatoires et en transférant le risque par le biais d'une cyberassurance, par exemple, lorsque cela est possible. La dernière partie du cycle de vie est la résiliation, et l'un des objectifs est de s'assurer que vous obtenez correctement les données qui étaient gérées par le tiers ou qu'elles sont détruites, et que tous les employés du tiers qui avaient accès à votre environnement voient leur accès correctement corrigé. Bob: Le modèle de maturité TPRM n'est qu'un des nombreux modèles qui existent dans ce domaine, mais il en présente les points essentiels. Bob: Il y a donc cinq étapes. Bob: Au niveau un, votre processus de gestion des risques liés aux tiers est de nature très ponctuelle et vous ne disposez peut-être pas des ressources adéquates. Bob: Vous ne disposez pas de procédures documentées. Bob: Vous ne savez pas quel est votre inventaire de tiers et vous essayez de déterminer par où commencer. Bob: Du point de vue du TPRM, c'est là que beaucoup de gens commencent. Bob: Mais, euh, les risques qui existent sont assez importants. Bob: À partir de là, nous passons au niveau deux, où au moins des ressources ont été allouées, vos processus ne sont toujours pas bien documentés et vous réagissez principalement aux événements qui se produisent. Bob: Donc, au niveau deux, vous essayez de déterminer ce que vous devez faire. Bob: Comment mettre en place les ressources ? Bob: Comment structurer votre programme ?

Bob: Ces éléments sont essentiels à la réussite de votre programme, notamment la manière dont vous obtenez le parrainage des principales parties prenantes. Bob: Au niveau trois, vous disposez d'un plan et d'une feuille de route documentés. Bob: Vous savez où vous voulez aller et ce que vous voulez accomplir. Bob: Vous disposez désormais d'une structure organisationnelle pour votre programme. Bob: Vous avez mis en place des processus de gouvernance et commencé à dialoguer avec les différentes parties prenantes de votre organisation. Bob: Ce faisant, vous commencez à traiter certains des problèmes qui ont été identifiés et vous vous assurez que votre programme commence à mûrir. Bob: De nombreuses organisations estiment qu'une fois qu'elles ont mis en place ces étapes du niveau trois pour leur activité, elles ont suffisamment progressé. Bob: Cependant, il reste encore du travail à faire et d'autres éléments à prendre en compte. Bob: C'est là que nous arrivons au niveau quatre, où un programme de gestion des risques liés aux tiers a été mis en œuvre. Bob: Vous disposez peut-être de politiques et de normes. Bob: Vous comprenez les risques, vous les suivez activement et vous avez commencé à surveiller en continu la santé de vos tiers critiques. Bob: Au niveau cinq, que nous appelons généralement le niveau d'optimisation, vous améliorez continuellement votre programme de gestion des risques liés aux tiers. Bob: Vous traitez les risques de manière proactive. Bob: Vous examinez de manière plus approfondie les risques liés à vos sous-traitants. Bob: Et vous dépensez beaucoup d'argent. Bob: Ainsi, pour de nombreuses organisations, atteindre le niveau cinq, c'est-à-dire l'état optimisé, dépasse les besoins de votre entreprise et peut-être même les capacités de votre budget. Bob: Donc, si vous pouvez finalement atteindre un niveau situé entre le niveau trois et le niveau quatre et faire mûrir votre programme de cette manière, vous vous assurez de traiter à la fois les risques critiques que vous avez identifiés et les risques qui ont émergé. Bob: de manière continue. Bob: Il s'agit donc de parvenir à un consensus au sein de l'organisation et de la chaîne d'approvisionnement pour assurer le succès du programme de gestion des risques liés aux tiers. Bob: Il existe donc un certain nombre de facteurs commerciaux qui expliquent pourquoi nous devons mettre en place des chaînes d'approvisionnement résilientes. Bob: Parmi ceux-ci figurent l'avantage concurrentiel, la capacité d'une entreprise à pénétrer rapidement de nouveaux marchés, l'amélioration de la dépendance de l'entreprise à l'égard de la chaîne d'approvisionnement, car de plus en plus d'entreprises externalisent constamment leurs activités.

Bob: C'est donc un facteur clé dans nos activités et probablement la raison pour laquelle beaucoup d'entre vous sont ici aujourd'hui, car à mesure que nous augmentons la dépendance des entreprises vis-à-vis des chaînes d'approvisionnement, nous devons également nous assurer que nous prenons des mesures pour compenser ce risque. Bob: Comme je l'ai déjà dit, les événements imprévisibles ne sont plus des cas exceptionnels, mais des occurrences quotidiennes, et nous devons être mieux préparés à faire face à ce risque. Dans des domaines tels que les soins de santé et les services financiers, nous devons répondre à des exigences réglementaires de plus en plus strictes. En résumé, nous essayons d'instaurer la confiance dans nos chaînes d'approvisionnement. Les tiers avec lesquels nous travaillons sont nos partenaires, ils ne sont pas nos ennemis. Bob: Ce ne sont pas des personnes sur lesquelles nous devons simplement faire preuve de diligence raisonnable, mais des personnes avec lesquelles nous devons entretenir des relations, car nos tiers peuvent nous en apprendre beaucoup sur la façon dont nos entreprises fonctionnent et sur la façon dont elles sont perçues. Bob: Et si nous établissons une relation de confiance avec eux, et cette confiance doit être établie un tiers à la fois, nous pouvons nous retrouver dans un cercle vertueux qui finit par être profitable pour nous tous. Bob: La confiance tout au long de la chaîne d'approvisionnement est donc un concept clé, sur lequel nous devons nous concentrer davantage, tout comme l'importance des parties prenantes dans la gestion des risques liés aux tiers. Bob: Pour moi, comprendre qui sont les parties prenantes dans toute entreprise avec laquelle je travaille est essentiel pour réussir. Bob: Comment cultiver ces relations, qui sont nos partenaires logiques dans cette aventure. Bob: L'aventure que nous menons, appelée TPRM. Bob: Comment ces parties prenantes peuvent-elles nous aider à garantir notre succès ? Bob: J'ai donc répertorié ici un certain nombre de parties prenantes différentes. Bob: Je ne vais pas nécessairement les présenter dans l'ordre où elles apparaissent ici, mais par ordre d'importance. Bob: L'une des organisations clés sur lesquelles nous devons nous concentrer et avec laquelle nous devons établir des relations est notre organisation d'approvisionnement et de sourcing. Bob: Ce sont eux qui ont la meilleure visibilité sur ce que les entreprises essaient de faire au sein de notre organisation et ils subissent une forte pression pour intégrer de nouveaux tiers. Au cours du processus d'intégration, l'une des étapes clés consiste à évaluer les risques liés aux tiers. Bob: Entretenir de bonnes relations avec le service des achats permet donc de mieux comprendre les principales tendances au sein de l'organisation.

Bob: lorsque les entreprises recherchent de nouveaux tiers, c'est souvent le service des achats qui en entend parler en premier, bien avant que vous ne soyez sollicité pour effectuer une évaluation des risques liés aux tiers. Bob: En établissant cette relation et en leur apportant votre soutien lorsqu'ils viennent vous voir et qu'ils ont besoin de faire évaluer les risques pour finaliser leur intégration, vous établissez une relation saine et vous vous informez sur ce qui se passe réellement et sur la manière dont vos entreprises envisagent de développer leurs relations avec des tiers. Bob: Maintenant, si votre organisation se concentre sur la gestion des risques d'entreprise ou opérationnels et que vous disposez d'une fonction responsable de cela, ces personnes peuvent être d'excellents partenaires pour vous, car leur travail s'inscrit dans un modèle que nous appelons les trois lignes de défense, où la première ligne de défense est constituée des unités opérationnelles qui travaillent quotidiennement à la gestion des différentes fonctions. Bob: La deuxième ligne de défense, les équipes de gestion des risques opérationnels et d'entreprise, a pour fonction de superviser et de valider que les contrôles mis en place par la première ligne de défense sont effectivement appliqués. Bob: Entretenez des relations avec les responsables des risques de votre entreprise, faites preuve de transparence à leur égard quant à ce que vous faites avec TPR. Bob: La manière dont vous gérez les risques et les problèmes qui se posent les aide à collaborer plus efficacement avec la première ligne et avec l'entreprise afin de les amener à prendre les mesures nécessaires pour atténuer les risques et mieux les gérer, ce dont votre entreprise a besoin pour atteindre ses objectifs. Bob: Une autre relation clé est celle avec les responsables des relations avec les tiers. Bob: Les unités commerciales devraient, même si ce n'est pas toujours le cas, désigner une personne au sein de l'unité commerciale qui sera responsable de la gestion de la relation et de la supervision des performances du tiers. Bob: Il s'agit de personnes clés du point de vue de la gestion des risques liés aux tiers (TPRM) avec lesquelles vous pouvez vous associer et travailler pour vous assurer que les tiers sont conscients de vos exigences en matière d'évaluation des risques, qu'ils sont responsables et réactifs lorsque des problèmes sont identifiés afin d'atténuer ces risques et vous aider dans cet effort global visant à mieux gérer les risques avec les tiers.

Bob: La sécurité de l'information est un acteur important, car elle remplit de nombreuses fonctions directement liées à la gestion des risques liés aux tiers. La plupart du temps, voire toujours, les programmes de gestion des risques liés aux tiers font partie de l'organisation chargée de la sécurité de l'information. Bob: Ainsi, lorsqu'un incident se produit chez un tiers, généralement, si l'entreprise en est informée, elle peut vous en avertir ou cela peut être porté à l'attention de votre centre des opérations de sécurité, parfois appelé SOCKS. Bob: Et lorsque le SOCKS est informé d'incidents de sécurité chez des tiers auxquels votre entreprise pourrait faire appel, il aura besoin d'informations à ce sujet. Bob: Il contactera l'équipe du tiers ou l'équipe du tiers pourra contacter le SOCKS de manière proactive pour aider à la gestion d'un incident. Bob: De même, si le service de cyber-renseignement de votre équipe de sécurité informatique, qui recherche les vulnérabilités potentielles futures, est conscient des relations critiques que votre entreprise entretient avec des tiers, il peut être plus proactif dans l'examen des risques qui pourraient apparaître ou évoluer. Bob: en ce qui concerne ces tiers. Bob: Revenons maintenant en haut de la liste, au conseil d'administration et à la direction générale. Bob: Le conseil d'administration doit avoir une compréhension claire du risque que représentent les entreprises qui décident d'externaliser leurs relations avec des tiers. Bob: Et en fait, avant que des décisions cruciales en matière d'externalisation ne soient prises, le conseil d'administration devrait être consulté sur la nature de la relation et convenir qu'il s'agit d'une relation appropriée pour les entreprises. Bob: Est-ce que cela se produit tout le temps ? Bob: Non, ce n'est pas le cas. Bob: Mais si l'on examine la réglementation, en particulier celle qui s'applique aux services financiers, le conseil d'administration est censé connaître les risques liés aux tiers et jouer un rôle actif dans la supervision du programme de gestion de ces risques. Bob: Il est également chargé de communiquer son appétit pour le risque en matière d'externalisation à des tiers à la direction générale. Bob: L'équipe de direction est chargée de communiquer l'appétit pour le risque du conseil d'administration aux unités commerciales et à toutes les fonctions de l'entreprise afin d'éviter que des risques excessifs ne soient pris dans le cadre de l'externalisation. Bob: à des tiers.

Bob: La direction de l'unité commerciale est le principal décideur en matière d'identification des besoins et des opportunités d'externalisation à des tiers. Bob: Dans ce cadre, la direction de l'unité commerciale doit avoir une définition très claire de ce qu'elle cherche à accomplir, comprendre les risques et désigner une personne au sein de l'unité commerciale qui sera responsable de la gestion des risques liés aux tiers. Bob: C'est ce que j'ai appelé les « gestionnaires de relations ». Bob: Selon la nature de l'activité et les informations ou l'accès partagés avec un tiers, si des informations financières sont exposées, il existe un risque potentiel de fraude. Bob: Il est donc important de savoir qui sont les personnes chargées de la gestion des risques de fraude, en particulier dans une organisation où des transactions financières ont lieu, car les tiers sont de plus en plus souvent exploités pour obtenir ces informations financières afin de commettre des fraudes. Bob: Le service juridique s'intéresse de près à la gestion des contrats et à la compréhension des risques pouvant survenir lors de la conclusion de relations avec des tiers. Bob: Le sujet des contrats est donc vraiment important. Bob: L'une des choses que font les entreprises, outre le contrat-cadre de services qu'elles signent avec une autre entreprise, est d'ajouter souvent une annexe sur la sécurité au contrat. Bob: Et lors de la signature de ces contrats avec des tiers, trois éléments clés doivent être inclus. Bob: Il s'agit du droit de tiers, de l'obligation pour le tiers d'informer votre organisation de toute violation de données et, enfin, de l'engagement à remédier à tout problème identifié. Bob: Cette annexe sur la sécurité devient donc un aspect important de la relation avec le tiers et implique souvent, à un certain niveau, une discussion avec vos juristes, qui peut également porter non seulement sur des questions juridiques, mais aussi sur la conformité, par exemple en cas de violation de données ou de tout autre incident de sécurité du point de vue de la conformité. Bob: Si vous travaillez avec un tiers, vous ne voulez pas voir apparaître des informations négatives sur ce tiers remettant en question ses pratiques de travail, son engagement en faveur de l'environnement ou tout autre type de problème susceptible de surgir.

Bob: Donc, être capable de travailler avec le service de conformité pour les aider à comprendre où vous avez identifié des informations négatives ou d'autres comportements anormaux chez un tiers est une relation importante à entretenir pour assurer la continuité des activités et la reprise après sinistre. Bob: Comme je l'ai dit plus tôt, ils sont un excellent partenaire dans cette aventure et ils comprennent très bien qui sont les tiers critiques qu'il faut bien connaître pour soutenir votre entreprise de manière continue. Bob: Lorsque vous vous lancez, la première chose à faire lorsque vous constituez votre inventaire est d'identifier ces tiers critiques. Bob: Et la meilleure façon de vous y prendre est de travailler avec vos équipes chargées de la continuité des activités et de la reprise après sinistre. Bob: La confidentialité est un élément important à prendre en compte si vous partagez des informations avec des tiers. Bob: Maintenant, lorsque je réfléchis à qui sont mes fournisseurs critiques, mes tiers critiques. Bob: Je pense à deux choses. Bob: Avec qui est-ce que je partage des informations et à qui est-ce que j'accorde l'accès à mon infrastructure et à mon réseau ? Bob: Pour moi, cela détermine en grande partie qui sont mes tiers critiques. Bob: Donc, quand on pense aux informations, au partage d'informations confidentielles avec des tiers, la confidentialité est sans aucun doute un sujet crucial. Bob: Les finances, évidemment, car il faut avoir un moyen de vérifier la santé financière des tiers, puis de vos tiers, quatrièmes et cinquièmes parties. Bob: Comprendre ce qu'est la chaîne d'approvisionnement, les gens disent, eh bien, je commence tout juste mon programme et j'identifie les tiers. Bob: Comment vais-je atteindre mes quatrième, cinquième et sixième parties ? Bob: Eh bien, commencez par les tiers, les quatrième et cinquième parties qui sont liées aux activités commerciales critiques impliquant des tiers. Bob: Vous pourrez vous occuper du reste plus tard. Bob: Et puis, bien sûr, si vous travaillez dans un domaine où la réglementation est un facteur important, vous devrez vous assurer que vous entretenez un dialogue ouvert avec vos régulateurs, que vous communiquez de manière appropriée et que vous continuez à surveiller l'évolution des réglementations, car de nombreuses nouvelles réglementations sont en passe d'être adoptées. Bob: Dans les publications et selon le pays dans lequel vous exercez vos activités, différentes réglementations s'appliquent. Bob: Voilà, c'est tout pour la présentation.

Bob: Si vous avez des questions, je suis tout à fait disposé à y répondre et serais ravi de vous entendre. Bob: Et si vous avez des questions après ce webinaire, voici mes coordonnées, bobcyms.net et mon numéro de portable. Bob: N'hésitez pas à me contacter. Bob: J'adore faire ce genre de choses. Bob: Je serai donc ravi de discuter avec chacun d'entre vous. Bob: Très bien, je vais maintenant mettre fin à ma présentation et passer la parole à Scott Lang. Bob: Scott, c'est à vous.

Scott Lang: Génial. Merci beaucoup, Bob. Scott Lang: Euh, vous savez, très rapidement, euh, pour m'assurer que tout le monde peut m'entendre. Scott Lang: OK. Scott Lang: Vous m'entendez ? Scott Lang: OK, Ashley, vous m'entendez ? Scott Lang: OK. Ashley: Oui, monsieur.

Scott Lang: Génial. Scott Lang: Bien. Scott Lang: Eh bien, merci à tous d'avoir pris une heure de votre temps aujourd'hui pour écouter les incroyables meilleures pratiques que Bob a à partager, basées sur son expérience et certains des éléments fondamentaux de la mise en place d'un programme TPM. Scott Lang: Ce que je voudrais faire aujourd'hui, c'est simplement vous expliquer quelques éléments pour vous permettre de vous lancer rapidement et vous présenter notre point de vue à ce sujet. Scott Lang: Alors, commencez à réfléchir aux questions que vous souhaitez poser à Bob si vous ne les avez pas encore posées dans l'onglet Q&A de Zoom pendant que je passe en revue ma présentation. Scott Lang: Vous savez, lorsque nous discutons avec nos clients, ils nous disent très souvent qu'ils souhaitent accomplir trois choses. Scott Lang: avec leur programme de gestion des risques liés aux tiers. Scott Lang: Le premier est de les aider à obtenir les données dont ils ont besoin pour prendre de meilleures décisions commerciales concernant les fournisseurs, afin d'intégrer des tiers, d'évaluer et de déterminer les critères appropriés pour éventuellement se séparer d'un fournisseur. Scott Lang: Le troisième est d'accroître l'efficacité des évaluations, de la surveillance et des mesures correctives, entre autres, en supprimant les cloisonnements des informations, des outils et des systèmes inhérents à presque toutes les organisations, et le troisième est de faire évoluer et d'adapter leurs programmes au fil du temps, à mesure que le nombre de tiers avec lesquels ils travaillent augmente. Scott Lang: Comment se positionner efficacement pour s'adapter au niveau supplémentaire d'évaluation et de remédiation qui doit être effectué en conséquence. Scott Lang: Mais le problème est que gérer les risques liés aux tiers de manière manuelle ou gérer les risques liés aux tiers de manière manuelle finit par coûter beaucoup de temps et d'argent, avec très peu de résultats à la clé. Scott Lang: Et certaines preuves de cela sont... euh... nous menons chaque année une enquête dans le secteur et l'une des questions que nous posons est : savez-vous quel pourcentage d'entreprises utilisent encore des tableurs pour évaluer les risques liés à leurs fournisseurs ? Scott Lang: Eh bien, au cours des trois dernières années, cette tendance est restée pratiquement inchangée. Scott Lang: Elle était de 42 %, puis de 45 %, puis de 46 %, puis de nouveau de 42 %.

Scott Lang: Un peu moins de 50 % des gens utilisent encore des tableurs pour évaluer leurs tiers, comparer leurs résultats à des seuils de contrôle acceptables, puis prendre des mesures correctives ou établir des rapports, et nous savons tous que cela n'est pas possible de manière efficace avec des tableurs. Scott Lang: Deuxièmement, ils traitent des informations obsolètes. Scott Lang: Environ 46 % des personnes avec lesquelles nous discutons déclarent ne disposer d'aucune information en temps réel sur les risques liés aux fournisseurs. Scott Lang: Et comme Bob l'a mentionné il y a quelques instants. Scott Lang: Faire cela, vous savez, une fois de temps en temps, l'évaluation des risques est utile. Scott Lang: Cela vous donne une bonne base de référence, mais il se passe énormément de choses entre ces évaluations des risques. Scott Lang: Et sans ce flux constant d'informations sur les cyber-risques, les activités ou les mauvaises nouvelles, les problèmes de réputation, les problèmes financiers, les conclusions ESG, etc. des tiers, vous vous exposez vraiment à beaucoup de risques supplémentaires. Scott Lang: Et troisièmement, et cela rejoint en quelque sorte la diapositive précédente, vous savez, beaucoup d'organisations ont beaucoup de personnes différentes dans cette organisation qui travaillent d'arrache-pied. Scott Lang: Vous savez, environ 50 % des organisations que nous voyons ont des équipes informatiques et d'information qui gèrent les risques liés aux tiers, et les 50 % restants sont répartis entre quatre autres départements environ, ce qui est probablement similaire à ce que connaissent beaucoup de personnes participant à cette conférence téléphonique aujourd'hui, avec environ 50/50 de sécurité et de non, mais le problème est que chacun de ces départements a dressé une liste, et que les chiffres que nous n'avons même pas répertoriés ici, les départements que nous n'avons pas répertoriés ici, ont tous un intérêt dans les risques liés aux tiers à un certain niveau. Scott Lang : Il existe donc de nombreux outils différents, dont beaucoup sont manuels et très peu offrent des informations en temps réel. Scott Lang: Cela ne fait qu'ajouter à la confusion et aux chevauchements au sein de l'entreprise. Scott Lang: Notre approche pour résoudre le problème consiste donc à être beaucoup plus prescriptifs à votre égard, et cela vaut pour tous les services, qu'il s'agisse des achats, de la gestion des fournisseurs, de la sécurité informatique, de la confidentialité des données, de la conformité juridique, etc. Scott Lang: Et pour examiner les risques de manière unique à chaque étape du cycle de vie des tiers, nous voyons des défis à chacune de ces étapes, mais nous voyons également des solutions, des besoins et des attentes à chacune de ces étapes.

Scott Lang: Vous savez, obtenir l'automatisation et l'intelligence lorsque vous évaluez les fournisseurs. Scott Lang: Vous savez, déterminer si un fournisseur est adapté à l'usage prévu ou à l'utilisation prévue, c'est formidable pour l'entreprise, mais c'est aussi mauvais pour l'entreprise, car vous ne savez pas s'il correspond à votre seuil de risque. Scott Lang: Scott Lang: Euh, créer une source unique de vérité en termes de profils de risque des fournisseurs, de processus d'admission, de contrats et de workflows d'intégration, euh, tend à être un défi pour beaucoup d'organisations. Scott Lang: Vous savez, les différents outils en place, les processus, ne font qu'aggraver le problème. Scott Lang: Et troisièmement, ne pas avoir un bon, euh, score de risque inhérent, afin d'avoir une base à partir de laquelle construire le reste de votre stratégie d'évaluation, vous voyez. Scott Lang: Ensuite, vous savez, un autre défi majeur auquel les organisations sont confrontées et que nous aidons à relever est la rationalisation du processus d'évaluation continue par rapport à de multiples exigences différentes, car il ne s'agit pas seulement de sécurité informatique et de confidentialité, et vous savez, de préoccupations particulières en matière de conformité, même si c'est le cas dans la grande majorité des cas, je le reconnais, mais il s'agit également de comprendre leur situation financière ou certains indicateurs ESG, ou la lutte contre la corruption ou le blanchiment d'argentblanchiment d'argent, etc. Comment rassembler tout cela dans une seule solution ? Ensuite, il faut surveiller et valider ces résultats en continu. Scott Lang: Comme nous l'avons déjà dit, examiner un instantané des contrôles internes d'une entreprise sur ses risques de sécurité informatique, par exemple, ne sera valable que le jour où ces contrôles ont été enregistrés. Scott Lang: Ensuite, il faut mesurer les performances au fil du temps. Scott Lang: Vous savez, il est nécessaire de savoir si un fournisseur ou un tiers respecte vos exigences contractuelles, vous savez, pour pouvoir consulter vos indicateurs clés de performance et vos indicateurs clés de sécurité et les comparer aux niveaux de service. Scott Lang : Et enfin, mettre fin à l'intégration des organisations.

Scott Lang: Vous savez, on peut voir certains parallèles avec ce que Bob a présenté dans son exposé sur, vous savez, le cycle de vie des fournisseurs tiers et des prestataires, mais en s'assurant que lorsque vous mettez fin à une relation, une relation avec un fournisseur, vous avez pris en compte les politiques de destruction des données, les clauses contractuelles, les paiements finaux, etc. Scott Lang: Nous voyons donc de nombreux défis tout au long de ce cycle de vie, mais nous voyons aussi des solutions. Scott Lang: Et en fin de compte, l'objectif est d'accomplir trois choses. Scott Lang: Simplifier et accélérer l'intégration grâce à une source unique d'informations et à un ensemble unique de processus afin de rationaliser ce processus et de combler les lacunes en matière de couverture des risques, dont beaucoup d'entreprises nous disent qu'elles souffrent. Scott Lang: Vous savez, elles disent qu'elles ne consultent les données que périodiquement. Scott Lang: Et enfin, unifier les équipes tout au long du cycle de vie des tiers. Scott Lang: C'est la base de ce que nous essayons de vous aider à réaliser en matière de risques liés aux tiers. Scott Lang: Pour ce faire, nous mettons à votre disposition une équipe unique d'experts qui se chargent pour vous du travail fastidieux lié aux risques liés aux tiers, depuis l'intégration des fournisseurs jusqu'à leur évaluation, en passant par la correction des résultats, ce qui est un point essentiel soulevé par Bob, puis la gestion continue, vous fournissant ainsi l'ensemble le plus complet de données intelligentes sur les profils de vos fournisseurs afin de vous aider à prendre de bonnes décisions fondées sur les risques dans une multitude de domaines liés aux risques liés aux fournisseurs. Scott Lang: Le tout est hébergé sur une plateforme qui automatise, gère et centralise le processus pour tous les services de l'organisation. Scott Lang: C'est ce que nous vous proposons pour vous aider à démarrer et à automatiser très rapidement votre programme de gestion des risques liés aux tiers. Scott Lang: Euh, vous savez, nous traitons plusieurs types de domaines de risque différents. Scott Lang: Ainsi, au lieu d'acheter six ou huit outils différents pour évaluer et surveiller les différents types de risques auxquels votre organisation pourrait être exposée en recourant à des tiers, vous savez, prevalent se spécialise dans le regroupement de tout cela en une seule solution. Scott Lang: Et le résultat est vraiment triple.

Scott Lang: Et premièrement, pour vous aider à être plus avisé, à prendre de bonnes décisions en matière de risques grâce à des analyses de rapports basées sur les rôles et à des analyses de risques complètes afin d'unifier les processus, les évaluations de profils et le cycle de vie, de l'intégration à la sortie, puis à être très prescriptif grâce à un flux de travail intelligent intégré et à toute l'expertise qui le sous-tend pour vous aider tout au long de votre parcours de gestion des risques tiers. Scott Lang: Et en parlant de ce parcours, un excellent point de départ consiste à réaliser une évaluation de maturité. Scott Lang: Bob a donc mentionné une évaluation de maturité lors de sa partie de la présentation. Scott Lang: Vous savez, nous proposons une évaluation de maturité qui met réellement en œuvre ce dont Bob a parlé. Elle consiste en une évaluation assez rapide de 45 minutes, ou plutôt 45 questions à choix multiples, sur notre plateforme, qui permet ensuite de créer un rapport indiquant où se situe votre organisation sur cette échelle de maturité et vous donnant des conseils très spécifiques sur les prochaines étapes à suivre en fonction des objectifs de votre organisation. Scott Lang: Donc, dans le cadre du suivi de ce webinaire d'aujourd'hui, vous recevrez l'enregistrement, les diapositives, et nous vous enverrons également un lien vers l'évaluation de maturité. Scott Lang: Vous pouvez prendre rendez-vous avec notre équipe et nous vous guiderons tout au long de ce processus. Scott Lang: C'est une excellente première étape pour déterminer où vous en êtes actuellement et où vous souhaitez aller. Scott Lang: Voilà, c'est tout ce que je voulais partager avec vous aujourd'hui. Scott Lang: Je passe la parole à Ashley. Scott Lang: Ashley, je pense que nous allons maintenant passer aux questions.

Ashley: Merci. Ashley: Mais avant cela, je vais lancer notre deuxième sondage. Ashley: Nous sommes simplement curieux de savoir si vous envisagez de mettre en place ou de renforcer un programme de gestion des risques liés aux tiers au cours de l'année. Ashley: Et soyez honnêtes, car nous ferons un suivi avec vous. Ashley: Mais passons à quelques-unes de ces questions. Ashley: J'adore voir tout le monde participer. Ashley: Et nous en avons beaucoup. Ashley: Alors Bob, pourquoi ne pas choisir celles qui, selon vous, seraient les plus intéressantes pour notre public. Bob: D'accord. Bob: Je vais donc me rendre sur le chat. Bob: Je vais simplement passer en revue autant de questions que possible, dans l'ordre. Bob: D'accord, la première. Bob: Mon client a eu affaire à au moins un fournisseur qui fait appel à un tiers spécialisé dans la cybersécurité pour surveiller les événements liés à son pare-feu. Bob: D'accord. Bob: Existe-t-il un moyen pour que le service juridique de mon client puisse structurer un contrat avec le fournisseur principal afin de minimiser les risques liés à tous les autres fournisseurs et tiers ? Bob: Eh bien, en général, lorsque vous traitez avec un tiers et un contrat avec un tiers, vous faites en sorte que les termes du contrat avec le tiers s'appliquent également à tout quatrième, cinquième ou sixième tiers que ce tiers pourrait utiliser. Bob: En d'autres termes, les termes du contrat que vous avez conclu avec le tiers s'appliquent à tous les tiers auxquels il fait appel. Bob: Et ce tiers est responsable de la diligence raisonnable vis-à-vis de ce quatrième, cinquième et sixième tiers, et c'est généralement ainsi que cela se passe. Bob: Euh, parce qu'en fin de compte, les ressources dont vous disposez pour faire cela vous-même sont limitées. Bob: D'accord. Bob: Euh, question suivante. Bob: Euh, voyons voir. Bob: Euh, dans combien de temps, euh, un programme TPRM devrait-il intégrer les normes ESG avec les nouvelles règles et réglementations qui se profilent à l'horizon ? Bob: Donc, en ce qui concerne l'ESG, euh, il n'y a pas beaucoup de réglementations spécifiques en place. Bob: Maintenant, cela dépend du secteur d'activité dans lequel vous travaillez. Bob: Cela dépend de la position de votre entreprise par rapport à l'ESG. Bob: Par exemple, si vous travaillez dans le secteur bancaire, l'OC envisage actuellement de publier une politique ou des lignes directrices concernant l'impact environnemental des sociétés de services financiers. Bob: Vous devez suivre cela. Bob: Donc, cela dépend en grande partie du secteur dans lequel vous travaillez. Bob: Si vous êtes gestionnaire d'actifs et soumis à la réglementation de la SEC. Bob: Vous savez, l'investissement ESG est un sujet très brûlant. Bob: Plusieurs entreprises ont été condamnées à des amendes. Bob: C'est un domaine auquel vous devez prêter attention. Bob: Mais vous devez toujours tenir compte du risque de réputation pour votre entreprise en matière d'environnement, de société et de gouvernance. Bob: D'accord. Bob: Voyons maintenant quelle est la question suivante. Bob: Euh, les participants recevront-ils à la fois Bob et Scott dans leur dossier ? Bob: Je laisserai cela à la discrétion de Prevalent. Bob: Je pense que oui.

Ashley: Oui, c'est vrai. Ashley: Oui, c'est vrai. Bob: Donc, vous devrez passer par là. Bob: Hum, très bien. Bob: Passons maintenant à la question de Scott. Bob: Scott, l'évaluation de maturité a-t-elle un coût ? Scott Lang: Euh, non. Scott Lang: Euh, si cela vous intéresse, euh, vous savez, nous contacterons Ashley ou Melissa, ou l'une d'entre elles vous contactera à la suite de ce webinaire si cela vous intéresse. Scott Lang: Euh, nous programmerons un appel avec l'un de nos spécialistes. Scott Lang: Ils vous expliqueront le processus en détail. Scott Lang: Euh, et vous savez, vous pouvez passer cette évaluation assez rapidement. Scott Lang: Euh, la seule exigence est que, euh, nous aimerions que des cadres supérieurs assistent à la présentation des résultats afin de nous assurer que tout le monde dans l'organisation comprenne la profondeur et l'étendue du problème et à quoi pourrait ressembler la solution potentielle.

Ashley: Très bien. Ashley: J'ai encore quelques questions. Ashley: Comment voyez-vous les problèmes par rapport aux conclusions ? Bob: Eh bien, les problèmes et les conclusions sont, à mon avis, la même chose. Bob: Donc, pour clarifier, vous avez une conclusion, vous devez valider cette conclusion pour déterminer s'il s'agit d'un problème. Bob: Les problèmes doivent être corrigés. Bob: Euh, quand je parle de logiciels, la question est : parlez-vous des logiciels sous licence sur site ? Bob: Par opposition à SAS. Bob: Je parle des entreprises qui doivent disposer d'un inventaire de tous les logiciels qu'elles utilisent, car tous ces logiciels sont potentiellement la cible d'une compromission, et de la capacité à disposer d'un inventaire complet de tous les logiciels utilisés au sein de votre entreprise, ce que vous avez peut-être déjà. Bob: Et vous devez parler à votre service de développement logiciel pour voir s'il a réussi à établir un inventaire. Bob: Mais, vous savez, Bob: Qu'il s'agisse de logiciels sous licence sur site ou de logiciels SAS, les deux peuvent être compromis et vous devez savoir ce qui se passe lorsque cela se produit. Bob: Euh

Ashley: Bob, pourquoi ne pas choisir une autre question ? Ashley: Nous sommes à l'heure pile. Bob: D'accord. Bob: D'accord. Bob: Euh, que se passe-t-il si un analyste TPRM signale un fournisseur, mais que l'entreprise continue à travailler avec lui ? Bob: Euh, oui, la décision finale revient principalement à l'entreprise. Bob: La question porte alors sur les contrôles compensatoires. Bob: Donc, si l'entreprise est prête à accepter le risque et qu'elle ne souhaite pas imposer de contrôles compensatoires, c'est euh la situation la plus indésirable, mais c'est là que le TPRM a l'obligation de faire remonter l'information et de garantir la visibilité. Bob: La clé dans tout cela, c'est la visibilité et la transparence au sein de l'organisation. Bob: Et c'est un cas où les choses doivent être remontées. Bob: Voilà, c'est tout. Bob: Je te redonne la parole, Ashley. Bob: Si quelqu'un d'autre a des questions, n'hésitez pas. Bob: Vous avez mon e-mail, mes coordonnées, mon numéro de téléphone. Bob: Je vous répondrai si vous me contactez.

Ashley: Génial. Ashley: Merci, Bob, et merci à tous pour vos questions. Ashley: Bob et Scott nous ont donné aujourd'hui des informations très intéressantes, et j'espère vous retrouver tous dans votre boîte mail ou lors d'un prochain webinaire Prevalent. Ashley: À bientôt, tout le monde.