Quelle sera l'évolution du risque de tiers en 2024 ?

Melissa: Commençons par les présentations. Je m'appelle Melissa et je travaille chez Prevalent dans le domaine du développement commercial. Aujourd'hui, nous avons quelques invités. Nous avons Alistair Parr, notre vice-président senior des produits et services mondiaux. Bienvenue, Alistair.

Alistair Parr: Merci de m'avoir invité.

Melissa: Et pour finir, nous avons Scott Lang. Il est avec nous aujourd'hui. Scott est notre vice-président de la commercialisation des produits et, à la fin de la séance, il nous expliquera comment nous pouvons vous aider à faire mûrir votre RPT et votre programme. J'espère que nous aurons le temps de le faire. Bonjour, Scott.

Scott Lang: Bonjour, Melissa. Et euh, pour faire un peu de ménage, ce webinaire est enregistré, donc vous en recevrez une copie. Il n'est donc pas nécessaire de prendre des notes. Vous recevrez le jeu de diapositives peu après le webinaire. Vous êtes donc tous en sourdine. Si vous avez des questions, vous pouvez les poser de manière anonyme, si cela vous convient. Sans plus attendre, Alistair va passer en revue l'année écoulée en matière de risque de tiers et explorer les tendances émergentes qui orienteront le RPT et les programmes en 2024. Allez-y, Alistair.

Alistair Parr: C'est très bien. Merci, Vanessa, et bonjour, bon après-midi, bonne soirée, où que vous soyez dans le monde. Merci de m'avoir rejoint aujourd'hui. Alors, de quoi allons-nous parler aujourd'hui ? À mon avis, c'est toujours un webinaire très amusant que nous organisons une fois par an. C'est là que nous réunissons tous les grands esprits de la prévalence dans une salle et que je peux m'asseoir, rester debout ou m'asseoir ou rester debout, émerveillé, et les écouter parler de ce qu'ils voient, des menaces, des tendances. Nous fusionnons les informations de tous les analystes auxquels nous nous adressons et nous aboutissons essentiellement à ce que nous considérons comme les 10 prédictions les plus importantes. La bonne nouvelle, c'est que ceux d'entre vous qui nous ont rejoints lors de nos précédents webinaires sur le sujet, ont pu constater qu'une grande partie de nos prédictions s'est réalisée. La journée d'aujourd'hui devrait donc être bien remplie à cet égard. Pour commencer, bonjour à tous. Alistister par. J'avais l'air un peu plus jeune et plus frais à l'époque, mais pourquoi suis-je ici pour vous parler aujourd'hui ? Je suis SVP des produits et services chez Prevalent. J'ai la joie, la bénédiction et la malédiction de parler à des centaines et des centaines de clients différents, en particulier dans le domaine de la gestion des risques liés aux tiers. Je vois le bon, le mauvais et le laid en ce qui concerne la façon dont leurs programmes fonctionnent et s'interfacent. Et j'ai la joie de pouvoir travailler avec certains d'entre eux sur des améliorations positives, en abordant la maturité et en les amenant, je l'espère, à un point de satisfaction en ce qui concerne la gestion du risque de tiers et du cycle de vie. Au cours de cette journée, je vous encourage vivement à nous faire part de vos commentaires. Si vous voulez faire des prédictions ou si vous avez des idées, n'hésitez pas à les mettre dans les sections Q&R et chat, nous ferons de notre mieux pour intégrer des réponses dans le discours général que nous tiendrons tout au long de la journée. A défaut, bien sûr, nous essaierons d'avoir un peu de temps pour les questions-réponses à la toute fin. Je vais vous présenter environ 10 prédictions fondamentales pour l'année prochaine. Sans plus attendre, je vais me plonger dans notre première prédiction. Notre toute première observation et prédiction concerne le financement de la gestion des risques des tiers.

L'année dernière, nous avons évoqué le fait que les programmes allaient subir une pression accrue jusqu'en 2023, ce qui se traduira par une concentration sur des éléments tels que l'efficacité et l'automatisation, voire l'externalisation dans une certaine mesure, tout au long du cycle de vie des tierces parties. De notre point de vue, ce qui est très intéressant, c'est que nous avons observé une tendance, probablement plus au cours des six derniers mois, qui devrait se poursuivre l'année prochaine, à savoir que la gestion des risques des tiers est très attendue en tant que programme. J'aimerais donc penser que nous sommes maintenant à l'aboutissement d'années et d'années de travail où la gestion des risques liés aux tiers est une attente. Elle a mûri. Il s'agit presque d'un enjeu de table lorsque l'on commence à s'intéresser au positionnement organisationnel. Ainsi, malgré l'incertitude économique, l'inflation dans différents pays, et même la pénurie de main-d'œuvre qualifiée au début de l'année 2023, nous prévoyons qu'en 2024, nous serons en mesure de faire face à un certain nombre de problèmes. Nous nous attendons à ce que l'investissement reste constant jusqu'en 2024. Il s'agit d'États de table et cela ne change pas. Vous savez, nous constatons un engagement au niveau du conseil d'administration, de la direction et des investisseurs en ce qui concerne le TPRM. Si l'on se réfère à 2023, il y a eu des périodes où il a été difficile de trouver des praticiens expérimentés et compétents en matière de TPRM. Cela ne devrait pas changer l'année prochaine. Il y a toujours une situation où il y a trop de travail, je pense, pour les praticiens qui sont dans la nature. Mais nous nous attendons à ce que les programmes continuent à devenir plus efficaces et efficients, en partie grâce à l'aboutissement de choses comme l'IA générative, des choses comme l'apprentissage automatique, bien sûr, en regardant des ensembles de données, et de meilleures automatisations et intégrations entre différents systèmes qui permettront à moins de personnes d'en faire plus. Euh, et nous nous attendons à ce que cela se poursuive et s'accélère probablement jusqu'en 2024. Nous ne prévoyons pas de réel changement du point de vue de la maturité pour l'année prochaine. Vous savez, nous nous attendons à ce qu'il y ait toujours des enjeux de table. Et malheureusement, nous verrons probablement d'autres jours zéro et d'autres problèmes qui inciteront les gens à continuer à se concentrer et à comprendre ce que nous faisons tous respectivement dans nos programmes. L'année dernière, nous avons parlé de l'externalisation.

Nous nous attendons à davantage d'externalisation en raison du manque de ressources qualifiées et de la gestion des coûts jusqu'en 2023. Nous prévoyons qu'en 2024, même si nous voyons ces nouvelles capacités d'automatisation sortir et arriver sur le marché, elles n'auront pas encore atteint un degré de maturité suffisant pour remplacer fondamentalement les individus et absorber le budget de ce point de vue. Nous verrons toujours ces automatisations, ces capacités, l'apprentissage automatique, le NLP, l'IA, comme des compléments. Nous aurons toujours besoin de personnes pour valider les résultats. Il sera donc toujours nécessaire d'appliquer des modèles d'externalisation pour des choses telles que les services gérés ou d'adapter le niveau d'effort en fonction des types de ressources dont nous disposons dans l'entreprise. Donc, pour résumer, l'observation numéro un est que le financement est un enjeu de taille et qu'il le restera jusqu'en 2024. Nous ne nous attendons donc pas à des coupes budgétaires en 2024. Au contraire, nous nous attendons à ce que les gens veuillent faire plus de choses pour le même montant. Nous passons maintenant à notre deuxième prédiction et observation, à savoir la convergence des programmes. Voilà une déclaration très généraliste et très ouverte. La convergence des programmes est une belle idée. Mais ce que nous entendons par là, c'est que la gestion des risques des tiers évolue vers la gestion du cycle de vie des tiers et que la principale différence réside dans le fait que vous avez un parcours du cycle de vie des vendeurs, de l'intégration à l'exclusion, et que vous voyez différents personas et groupes s'impliquer dans ce parcours. Pour vous donner un exemple, lorsque vous passez par le sourcing et la sélection, l'intégration, la gestion des risques inhérents, quels que soient les types de risques, l'évaluation des résultats et la mise en place de mesures correctives. Vous avez ensuite des capacités de contrôle continu qui sont nécessaires, des accords de niveau de service, la gestion des performances et enfin la résiliation du contrat. C'est un cycle de vie. Cela va continuer à être un cycle de vie et ce que nous voyons, c'est que différentes personas s'impliquent pardon et ont plus d'engagements sur la table dans le paysage de la tierce partie. Nous constatons et prévoyons une augmentation et une tendance à ce que les achats soient un moteur euh pour le cycle de vie des tiers.

Qu'il s'agisse de KYC ou de KYS, de connaître ses clients et ses fournisseurs, on s'attend à ce qu'ils veuillent savoir avec qui ils s'engagent, s'ils ont effectué des vérifications contre la corruption et l'esclavage moderne. Il est évident que d'autres réglementations vont sortir, en particulier en Europe, en ce qui concerne ABC, pendant le reste de l'année et l'année prochaine, et ils cherchent généralement à avoir cet instantané de contrôle pour être en mesure de comprendre si le vendeur est bon. Nous allons continuer à voir le service juridique s'investir dans le processus. À l'heure actuelle, le service juridique a tendance à être plus segmenté et à s'occuper davantage de la gestion des contrats et des clauses. Nous constatons que le service juridique s'intéresse de plus en plus aux moyens d'automatiser la détection des clauses et l'analyse comparative entre des éléments tels que les MSA et les termes. Ils vont ensuite utiliser cela avec le reste du cycle de vie pour identifier les défaillances. Cela conduit bien sûr à la gestion des risques. Lorsque vous commencez à traiter de la gestion des risques dans son ensemble, vous savez qu'elle est relativement bien établie en ce qui concerne la gestion des risques des tiers, mais elle reste un acteur clé de la gestion du cycle de vie des tiers. Nous constatons que les opérations utilisent les ensembles de données provenant des achats, du juridique et du risque pour piloter des éléments tels que la résilience opérationnelle et la gestion des tiers, ainsi que la qualité et l'assurance de la qualité - font-ils ce qu'ils disent qu'ils font, etc. Enfin, l'exigence omniprésente et constante de l'audit demeure. Nous parlons à de nombreux clients, euh et individus différents et, en général, la grande majorité d'entre eux font l'objet d'un audit sous une forme ou une autre. Il ne s'agit pas nécessairement d'un audit externe, mais plutôt d'un audit interne, mais nous ne pensons pas que cela changera à mesure que les mandats de conformité et les mandats réglementaires imposés aux États-Unis continueront d'augmenter et de se complexifier. Nous nous attendons à ce que ce niveau d'audit et d'examen persiste jusqu'en 2024 et nous nous attendons à des audits continus de nos programmes TPRM. Cela se traduit donc par un cycle de vie plus large et par les choses que nous faisons au cours d'un cycle de vie.

Mais j'ai voulu faire référence à des documents qui ont été générés par les prévalents. Certains d'entre vous qui ont participé à l'un de nos webinaires dans le passé ont peut-être été exposés à certaines de ces mesures. Mais, bien sûr, Scott commentera cette étude que nous avons menée plus tard. Mais d'après le public auquel nous nous sommes adressés, vous pouvez certainement voir sur le côté droit que de plus en plus de composantes du cycle de vie élargi sont impliquées dans le TPRM. Ainsi, pour la sécurité de l'information, 70 % sont plus impliqués. Pour la gestion des risques, 51 % sont plus impliqués. 45% de la conformité et de l'audit sont plus impliqués. Les achats et les paiements 44%, les propriétaires d'entreprise 34% et les cadres 33%. Pour qualifier les statistiques que je tire, il y a des personnes qui sont plus impliquées que d'autres qui le sont constamment. Il s'agit donc d'une tendance qui devrait se poursuivre jusqu'en 2024 : ces secteurs d'activité distincts s'impliquent de plus en plus dans le cycle de vie des tiers et le processus de gestion des risques. Nous ne nous attendons donc pas à ce que cela change. Et si vous n'avez pas pris connaissance de notre étude sur la gestion des risques liés aux tiers, n'hésitez pas à nous contacter. N'hésitez pas à nous contacter. Nous serons ravis de la partager avec vous et nous vous expliquerons comment y accéder vers la fin. Et juste pour renforcer cela, quand vous commencez à décomposer ces métriques euh quand vous regardez comment ils sont impliqués maintenant qu'ils sont plus impliqués bien sûr l'infosc a tendance à conduire les programmes ici comme vous pouvez le voir ils sont impliqués dans la stratégie, la conception, l'exécution des évaluations et le suivi en utilisant les rapports. La gestion des risques, la conformité, les achats, les chefs d'entreprise et les cadres sont généralement des utilisateurs de données. Il y a une forte tendance à ce que la barre violette indique qu'il y a des utilisateurs. Nous nous attendons à ce que cette barre continue d'augmenter, en particulier cette barre violette d'utilisateurs de rapports d'information de tiers, alors que l'infosc, les achats ou la gestion des risques mènent typiquement les exercices pour obtenir des données. Quelles sont donc nos prévisions en ce qui concerne cette convergence des données ?

Cette convergence des programmes se traduit par une augmentation de la conception et de la planification des stratégies d'approvisionnement pour les programmes de gestion des tiers, ainsi que par une augmentation de l'utilisation des informations et des rapports sur les tiers par les utilisateurs professionnels, les propriétaires d'entreprise, et bien sûr par les cadres supérieurs qui suivront cette courbe. Nous passons donc à notre troisième prédiction et, pour être clair, nous parlions tout à l'heure de la convergence des programmes. Nous faisons maintenant une distinction entre le point numéro deux, la convergence des programmes, et la prédiction numéro trois, qui est la convergence des données. Et quelle est cette différence, après ma toux bien sentie ? Pour nous, la convergence des données concerne tous les différents éléments qui composent le profil d'un vendeur. Historiquement, les gens ont tendance à se focaliser sur des questions telles que : Quelle est leur cyber posture ? Ils peuvent être fixés sur les données d'évaluation que nous pouvons amalgamer pour eux. Ce que nous avons vu et ce que nous prévoyons d'augmenter, c'est le nombre de domaines de risques non informatiques qui alimentent les profils de fournisseurs que nous voyons dans ces programmes. Ceci est dû au fait que, bien sûr, la prédiction et l'observation numéro deux sont que les achats, l'informatique, la conformité, etc. cherchent tous à consommer des données sur les fournisseurs et qu'ils ont des lentilles différentes pour percevoir ces informations. Cela ne change pas et nous l'avons certainement vu en 2023 où nous avons des programmes euh qui sont initialement dirigés par la sécurité de l'information euh mais qui intègrent également les cycles de vie des achats et les flux de travail. Cela ne changera pas. Les évaluations resteront essentielles et nous ne pensons pas qu'elles disparaîtront car c'est le meilleur moyen d'obtenir des données validées sous la surface par les tiers eux-mêmes. le contenu de l'évaluation va varier. Vous verrez donc un contenu d'évaluation couvrant la gamme des choses que les achats, l'informatique, la sécurité, la conformité vont rechercher et qui sera complété par des flux de données supplémentaires. Bien entendu, la cybercriminalité se poursuivra. Je ne pense pas qu'il s'agisse d'une prédiction. Je pense que c'est un fait établi que nous constatons aujourd'hui. L'intelligence économique prend de plus en plus d'importance, en partie sous l'impulsion des marchés publics.

Par entreprise, j'entends commencer à examiner des questions telles que : Quelle est leur position opérationnelle ? Lancent-ils de nouveaux produits ? Sont-ils en train de procéder à des fusions-acquisitions particulières auxquelles ils doivent être attentifs ? Ce type de données. C'est le zeitgeist de l'entreprise. Que font-ils et qui sont-ils ? Les dossiers financiers font généralement l'objet d'un suivi distinct dans le cycle d'acquisition. Ils sont en fait suivis plus souvent aujourd'hui. Nous prévoyons qu'il en sera de même l'année prochaine, sur une base régulière. Y a-t-il des changements dans les résultats financiers ? Qui est l'UBO, le bénéficiaire ultime associé à cette entreprise ? Vous savez, c'est le type de données qui commence à être fusionné dans ces profils de fournisseurs plus larges. Nous nous concentrons de plus en plus sur les événements géographiques, et nous nous attendons à ce que ce soit encore plus le cas en 2024. Qu'est-ce que je veux dire par là ? Euh, nous parlons de choses comme il pourrait y avoir eu eu des catastrophes naturelles particulières dans des endroits ou il pourrait y avoir eu eu certaines grèves ou par exemple il pourrait y avoir eu des problèmes politiques dans des territoires particuliers ou des guerres. Ce sont ces types d'événements géographiques que nous voyons de plus en plus apparaître du point de vue de la résilience opérationnelle. Les certifications restent un point de contrôle, presque un point de contrôle et un point de contrôle pour le cycle d'approvisionnement et les gens attendent maintenant des vendeurs qu'ils fournissent cette certification de façon récurrente et cela continuera en 2024 car l'analyse de ces certifications devient plus facile et l'automatisation de l'interprétation. Et puis, il y a la énième partie. Pour ceux qui ne le savent pas, voici les vendeurs de vos vendeurs. Nous aborderons plus tard une prédiction spécifique sur les parties finales. Mais ce que nous voyons à propos des parties finales, c'est que les gens recherchent, et nous nous attendons à ce que cela continue en 2024. Ils recherchent des informations sur les fournisseurs essentiels. Ils ne sont peut-être pas en mesure de les évaluer, mais ils veulent savoir qui ils sont et, plus important encore, vérifier que le tiers fait preuve de diligence raisonnable à leur égard, même s'ils ne vont pas le faire eux-mêmes.

Ainsi, lorsque vous fusionnez tous ces points de données, évaluation, cyber, visites, etc., vous obtenez un aperçu contextuel très clair et un paysage plus riche de vos tiers. Cela devient de plus en plus précieux car nous avons ces différents personas qui consomment les données par le biais de la convergence des programmes. Je voudrais prendre un moment pour approfondir l'une de ces voies particulières, car elle est liée à l'une de nos prédictions, à savoir l'analyse géographique et politique à laquelle j'ai fait référence. Historiquement, cela n'a pas été au cœur du processus de gestion des risques technologiques, en tout cas du point de vue de la résilience opérationnelle, mais le COVID a certainement ouvert les yeux à de nombreuses organisations sur la nécessité de se préparer aux pandémies, etc. Et pour donner un exemple à tout le monde. En fait, dans une vie antérieure en tant qu'auditeur où nous devions produire du contenu pour des choses comme la grippe porcine, euh les processus réactifs, etc. Bien sûr, le COVID arrive et les pandémies deviennent une priorité, et tout d'un coup nous réalisons que la plupart de ces fournisseurs ne font vraiment rien à ce sujet. Depuis lors, nous avons constaté une augmentation des domaines d'intérêt sur le front de la résilience opérationnelle, car nous prévoyons qu'en 2024, des éléments tels que les paysages géopolitiques et environnementaux basés sur des géographies seront davantage des points de données attendus que nous suivons et réagissons contre nos tiers. Il y a des problèmes inhérents à cela : il est très difficile de prédire ou d'identifier tous les sites géographiques localisés dans lesquels un tiers opère, alors que le siège social est généralement relativement visible pour vos rapports financiers, UBOS, ou autre, les sites localisés ont tendance à être un peu des secrets commerciaux dans certains cas, ou ils peuvent simplement vous donner de petits bureaux qu'ils ont disséminés, pas nécessairement des sites de fabrication qu'ils utilisent, etc. ou des tiers.

Il s'agit donc d'un défi, mais les gens vont se concentrer sur ce point d'un point de vue plus pragmatique, c'est-à-dire qu'il faut regarder nos fournisseurs actuels qui déclarent au moins qu'ils opèrent dans des territoires particuliers et se concentrer sur les choses qui pourraient avoir un impact tangible. Ainsi, si des guerres sont en cours dans certaines régions, qu'il s'agisse d'inondations, de grèves ou d'autres événements, les gens voudront être en mesure de voir par le biais d'une notification que vous avez 74 fournisseurs dans cette zone géographique, sur ce territoire, afin qu'ils puissent réagir si cela risque d'interrompre votre chaîne d'approvisionnement ou d'affecter la résilience de vos centres de données. Vous voulez être en mesure de répondre aux dirigeants et à tous vos clients avant que la situation ne devienne plus connue. Et comment les gens vont-ils s'y prendre ? Ils utiliseront un ensemble de solutions de surveillance qui leur donneront ce niveau d'information. Ce ne sera pas universellement précis dans le sens où tous ces sous-sites ne seront pas couverts, mais néanmoins, c'est le premier pas vers 2025, 2026, et ainsi de suite où nous verrons les gens commencer à mieux contrôler ces euh de ces événements géopolitiques et être en mesure d'y réagir. Et encore une fois, tout cela est lié à cet état d'esprit plus large de convergence des données. L'industrie continuera à être avide de données. Ils vont continuer à être avides de construire ces profils complets parce que ces parties dispersées de l'entreprise le demandent et y voient une valeur. Cela ne changera pas. Observation numéro quatre, passer aux trois A, dans ce cas, l'analyse avancée et agrégée. Ce dont je parle ici, c'est que les gens développent des capacités de reporting de plus en plus polyvalentes sur la base d'un ensemble de données de plus en plus important. En d'autres termes, toutes ces données convergent vers un paysage tiers élargi, ce qui signifie que nous pouvons obtenir des données analytiques plus riches et de meilleure qualité. En 2024, nous nous attendons donc à ce que le reporting orienté sur la personne prenne de l'importance et ce que nous voulons dire par là, c'est que nous commençons à le segmenter en fonction de trois domaines principaux.

Il y a aussi des éléments périphériques comme le vendeur lui-même euh ou bien sûr les praticiens, mais les trois principaux publics pour les rapports de haut niveau ont tendance à être le CISO dans de nombreux cas, qui dirige le programme euh l'entreprise bien sûr, donc les leaders de l'entreprise au sens large euh et puis bien sûr le conseil d'administration. Ce sont les moteurs de la fin de l'année 2023, mais nous nous attendons à ce que cela commence à changer et à évoluer pour s'étendre à d'autres personas. Et ce que les gens regardent et continueront à regarder, ce sera bien sûr le risque. Quel est mon paysage de risques à travers mes tiers ? D'accord, c'est assez simple. Euh, les menaces, en particulier les menaces externes associées à ces risques. Comment cela affecte-t-il ma position de conformité ? Et enfin, quel type de couverture ai-je réellement contre ces risques ? Lorsque vous commencez à amalgamer ces quatre facteurs contributifs, qui ne sont que des façons d'interpréter un ensemble de données plus large, vous savez, c'est ainsi que vous commencez à construire ces véritables programmes de gestion des risques pour les tiers. Et nous nous attendons à ce que cette tendance se poursuive et devienne de plus en plus personnalisée. La façon dont le conseil d'administration va interpréter ces données sera très différente de celle de votre responsable des achats, de votre responsable juridique, ou de qui que ce soit d'autre. Et cela a été complété par la maturité. Nous constatons donc une augmentation des attentes des personnes qui souhaitent suivre le processus de leur programme plutôt que les seuls fournisseurs. Auparavant, cet état d'esprit était plutôt centré sur les fournisseurs. Mais ce que nous voyons, c'est que les gens commencent à penser au contenu de la couverture, aux rôles et responsabilités, à la remédiation et à la gouvernance, euh... dans l'ensemble de leur processus. Historiquement, lorsque nous effectuons des évaluations de maturité, un client " First Beret " se situe généralement autour de la marque 1,7. Un client mature se situe généralement autour de la limite inférieure. Il était très rare de voir quelqu'un s'approcher d'un niveau 4 du point de vue du processus. Nous prévoyons pour 2024 une augmentation générale d'environ 0,3 ou point 4 sur les courbes de maturité d'ici la fin de l'année. C'est un sacré bond en avant si l'on considère qu'il est de plus en plus difficile de progresser dans ces domaines.

Le moteur de cette évolution est le fait que les outils et les capacités mis à disposition signifient que les gens vont pouvoir s'engager avec les vendeurs en masse et qu'ils vont pouvoir analyser des ensembles de données plus vastes et commencer à les segmenter pour prendre des décisions plus informées et plus intelligentes en utilisant des éléments tels que l'automatisation, etc. Un autre élément qui, de notre point de vue, va s'enrichir est celui des informations comportementales. Il faut donc commencer à parler d'analyse avancée dans ce domaine. Nous prévoyons qu'en 2024, de plus en plus de personnes auront la possibilité d'examiner les informations comportementales dans le cadre de leurs mesures de reporting. Qu'est-ce que j'entends par mesures comportementales ? Je parle de la façon dont les fournisseurs interagissent, de la façon dont l'entreprise interagit, de l'élément humain. Je sais que le terme d'élément humain est surjoué dans la gestion des risques comme un état d'esprit, mais en fin de compte, au-delà de la surveillance passive, si nous parlons à un fournisseur, que ce soit de comment allez-vous réparer ceci, vous quel est l'état de la situation ? Nous nous attendons à ce que cela devienne moins localisé sur la base de chaque fournisseur, mais en 2024, des choses comme les modèles analytiques que nous voyons vont commencer à donner aux gens ces données riches pour voir les interprétations des prédictions basées sur le comportement de l'utilisateur dans ces programmes, ce qui serait tout à fait excitant de notre point de vue. Vous savez, juste pour renforcer certains des problèmes que les gens rencontrent et qui sont en fait à l'origine de ce changement en 2024, c'est que lorsque vous commencez à regarder la perception générale des programmes des gens, 50% des gens n'ont pas l'impression que leur programme de RPT répond à tous les besoins du ministère. C'est donc un chiffre assez élevé. Euh, 40 % estiment que le risque n'est pas évalué et qu'il n'entre pas dans le cycle de vie de l'évent de manière efficace.

En parcourant cette liste, vous pouvez généralement constater qu'il y a une majorité de cas où les gens estiment que leurs programmes ne sont pas assez efficaces et l'un des principaux moteurs de cette situation est la possibilité de rendre compte efficacement des données afin de cibler les risques et de cibler les domaines d'exposition dans le cadre de leur processus. J'attire l'attention sur cette mesure en bas à droite, qui indique que 43 % des entreprises estiment qu'elles répondent à davantage de demandes d'informations sur les risques liés aux tiers. C'est ce qui va conduire cet état d'esprit en 2024 où chacun de ces personas va utiliser des choses comme l'analyse comportementale ou une analyse plus large d'un ensemble de données plus riches et être capable de tirer de meilleures conclusions et d'améliorer leurs programmes et la maturité de leurs programmes en conséquence. De notre point de vue, nous sommes donc très enthousiastes à l'idée de voir comment cela va évoluer. Cinquième observation, le NLP, le traitement du langage naturel. Quand on regarde comment le NLP existe depuis un certain nombre d'années dans la gestion des risques des tierces parties, nous nous attendons à quelques changements en 2024 et certains d'entre eux, et juste pour répéter pour ceux qui ne savent pas nécessairement ce que c'est, c'est essentiellement prendre du point de vue de la gestion des risques des tierces parties de la documentation, des documents Word, des PDF, peu importe ce que c'est, être capable de l'interpréter et de l'analyser et ensuite de faire quelque chose avec ça. C'est simple. Jusqu'à présent, cela s'est généralement concentré sur des flux de travail relativement inférieurs où l'on examine des choses comme des mots-clés particuliers ou l'on ne tient pas compte de choses comme le sentiment autour de euh documents particuliers, de paragraphes, de phrases, de clauses, peu importe ce que c'est. Mais nous atteignons enfin un point de maturité où nous voyons que cela va changer en 2024. Nous allons voir de plus en plus de NLP être utilisés pour extraire des données de manière cohérente à partir de la documentation fournie par les vendeurs. Nous allons voir qu'il commence à traduire les documents lorsqu'ils sont rédigés dans d'autres langues. Cette technologie a finalement atteint un degré de maturité tel que nous pouvons faire confiance à certaines des données produites. Nous allons même commencer à le voir remplir des évaluations, prendre le sentiment de certaines politiques, clauses, etc. de l'infoset.

et de l'intégrer dans le contenu de l'évaluation, un contenu d'évaluation structuré. Et je suppose que c'est le point essentiel à retenir de tout cela, à savoir ce que le NLP va nous permettre de faire en 2024, c'est d'appliquer une structure. Nous allons prendre ces documents non structurés. Nous allons pouvoir les interpréter, les traduire selon nos besoins. Et surtout, ce que nous allons voir en 2024, c'est que de plus en plus de gens vont mettre en place des actions basées sur ces documents. C'est bien beau d'extraire des données d'un document, mais si nous ne les normalisons pas pour en faire des actions et des automatismes, c'est moins utile. C'est pourquoi nous avons enfin atteint un degré de maturité tel que nous allons commencer à voir cela et que cela deviendra la norme plutôt que l'exception en 2024. Voici quelques exemples de ce que nous entendons par là : quelqu'un peut vous fournir un rapport SOCK 2, une ISO, sa politique de sécurité de l'information, et être en mesure d'extraire des éléments tels que les défaillances de contrôle et de créer des risques par rapport à ces défaillances. En prenant la composante de l'étendue et en remplissant une évaluation du risque inhérent ou une évaluation du profilage et de la déchirure basée sur les réponses ou en prenant un document qui m'a été téléchargé en japonais, que je ne maîtrise pas, et en étant capable de le traduire pour moi, il s'agit d'avantages tangibles pour mon programme de tierce partie. Si je peux faire cela sans avoir à le faire moi-même et que je vérifie mes devoirs, c'est très bien. Certains éléments vont favoriser l'adoption de la PNL, notamment le fait que nous prévoyons qu'en 2024, de plus en plus de tiers et de vendeurs fourniront leur matériel d'auto-évaluation. Il pourrait être ratifié de l'extérieur. Il pourrait s'agir d'une chaussette 2 euh pourrait être de haute confiance, peu importe ce que c'est. Mais ils sont de plus en plus nombreux à s'y opposer. C'est pourquoi nous nous attendons à ce que l'analyse se fasse sur la base de ces documents. Le défi auquel les gens sont confrontés est bien sûr le fait que tous ces documents ont tendance à être dans des formats très différents. Si l'on prend un document de deux chaussettes, il peut faire 100 pages ou 20 pages. La portée peut varier considérablement d'un document à l'autre. Et jusqu'à une date relativement récente, il fallait qu'une personne s'efforce de comprendre et de distiller le matériel en risques tangibles.

En 2024, on s'attendra presque à ce que ce ne soit plus une nécessité. Dans un premier temps, nous verrons donc les gens l'utiliser pour identifier les problèmes, les défaillances de contrôle et les risques. Puis, au fur et à mesure que l'année avancera, cela se transformera en contenu d'évaluation, en contenu de plateforme. Le NLP va donc de pair, dans certains cas, avec notre sixième observation euh et prédiction, qui est liée à l'IA générative. J'ai presque peur quand je commence à parler de l'IA générative comme d'une prédiction parce qu'elle est tellement prévalente et proéminente dans la conversation générale sur le risque de tiers et en général dans le monde entier en ce moment qu'il semble presque que tout le monde saute sur l'occasion d'y faire référence, mais je vais commencer par illustrer une sorte de courbe Gartner très intéressante liée à cela, c'est-à-dire qu'il y a beaucoup de composants différents qui entrent dans l'intelligence artificielle. Et l'IA générative se situe typiquement autour de ce qu'ils classent comme le pic des attentes exagérées. Vous commencerez très rapidement à voir cela émerger au fil du temps dans ce qu'ils appellent le creux de la désillusion avant de finir par atteindre un certain degré de productivité. Cela s'applique sans aucun doute à l'IA générative, qui est très vaste. Beaucoup de gens se concentrent sur des choses comme les grands modèles de langage et se disent que c'est génial, mais ils ne sont pas nécessairement à l'aise avec l'idée de les utiliser dans un programme de gestion des risques pour les tiers. Il est certainement préférable d'être un deuxième acteur réfléchi dans ce domaine plutôt que d'adopter la première chose que l'on voit en 2024. Nous nous attendons à ce que les gens commencent à se familiariser avec l'IA générative et à en intégrer certains éléments dans leurs programmes pour les tiers lorsque 2023 commencera à s'estomper lentement. Vous savez, nous sommes très conscients du fait que les gens s'inquiètent le plus souvent de trois domaines principaux. Premièrement, l'hallucination de l'IA, c'est l'IA qui me dit en toute confiance quelque chose qui est manifestement faux et c'est bien sûr une chose négative en matière de gestion des risques. Le biais cognitif est le fait que l'IA me dit cela parce qu'elle est entraînée sur un modèle de données qui n'est pas adapté à mes besoins. Dans ce cas, il se peut qu'elle n'ait pas d'hallucinations.

Il se peut qu'elle l'affirme simplement parce que c'est ce qu'on lui a enseigné. En particulier, nous commençons à pointer l'IA sur de grands ensembles de données comme l'internet. Je suis sûr que je ne crois pas tout ce que je lis sur Internet, heureusement. Et probablement plus souvent qu'autrement, l'un des problèmes dont nous entendrons parler en 2023 est la sécurité des données. Les gens s'inquiètent de l'existence de toutes ces technologies d'IA, mais en fin de compte, je ne vais pas leur donner mes données, ce qui est un point de départ très valable. Nous prévoyons qu'en 2024, les gens seront de plus en plus à l'aise avec ces trois critères à mesure que les organisations, les fournisseurs et les technologies commenceront à décomposer les grands modèles de langage et l'IA générative et à construire quelque chose de réellement approprié. Et la façon dont cela va fonctionner, c'est que vous allez commencer à voir des choses comme les mêmes contrôles et les mêmes attentes que pour n'importe quelle autre technologie de la pile technologique s'appliquer aux capacités de l'IA générative. Nous parlons donc de l'analyse automatisée des vulnérabilités sur les LLM, de la détection des anomalies par rapport à l'ensemble des données, de l'analyse de la sécurité sur la base des résultats, des primes aux bogues pour l'injection rapide, etc. La formation du personnel sur la manière et le lieu d'utilisation. Hum, et bien sûr la reconstruction médico-légale lorsque les choses tournent mal. Rien de très différent de ce que vous appliqueriez en fin de compte à n'importe quelle technologie dans votre pile technologique, nous nous attendons à ce que cela se produise en 2024. Ce que nous retenons de tout cela, c'est que lorsque les gens seront plus à l'aise avec ce que l'IA générative va faire pour eux, ils pourront commencer à pivoter pour vraiment comprendre quels sont les avantages, et c'est ce que nous verrons à partir de 2024. Et certaines des choses que nous attendons de notre point de vue en 2024 sur Genai tendent à varier en fonction de la personne dont nous parlons. Donc pour les tiers, et bien sûr ils sont toujours là pour nous aider et nous rendre la vie un peu plus facile. Vous savez, nous nous attendons à ce qu'il y ait plus de cartographie de documents d'évaluation de la population en utilisant des choses comme le NLP. Leur donner des conseils sur les tendances en leur indiquant comment ils se situent par rapport à leurs pairs est certainement une chose utile qui les encourage à participer en premier lieu. Et puis la traduction linguistique.

Ainsi, une combinaison d'IA générative et de NLP rendra ces capacités tangibles dans nos programmes de tiers en 2024. En passant d'un persona à l'autre, si nous commençons à nous intéresser davantage à certains praticiens, leurs attentes seront légèrement différentes. En 2024, les praticiens commenceront à tirer parti de choses telles que l'analyse des sentiments. D'accord, qu'est-ce que ce fournisseur me dit réellement ? Que me dit ce rapport ? Détection des contradictions. Y a-t-il quelque chose qui se contredit par rapport à ce grand profil complet que nous avons construit lorsque nous commençons à parler de notre prédiction antérieure, à savoir les modèles de convergence des données, les chatbots. Comment l'IA et l'IA générative peuvent-elles m'aider à automatiser mes processus et à supprimer des étapes et enfin à utiliser des choses comme l'analyse des sentiments pour faire des choses comme la génération de rapports sur les risques ? Ils sont donc tous axés sur l'efficacité et la cohérence dans les activités de programme et les flux de travail qu'ils effectuent. Et lorsque nous passons à ce cadre très heureux en 2024, pourquoi sera-t-il heureux ? Nous allons voir de plus en plus de choses comme des conseils sur les programmes. Un peu comme nous avons des conseils sur les tendances pour les tiers. Nous allons voir des cadres qui essaient de comprendre comment leur programme se compare à ceux de leurs pairs. Un peu comme les évaluations de maturité. Nous allons assister à une détection proactive des événements. Vous savez, nous avons vu ce problème géographique en regardant votre ensemble de données. Traitez avec ces 70 à 80 fournisseurs et laissez-les réagir. La cartographie de la conformité, bien sûr, comment se situent-ils par rapport à leur paysage de conformité et de réglementation - j'y reviendrai en temps voulu - et des aperçus plus larges de leurs pairs, autant que des conseils de programme se concentrant sur leurs flux de travail et leurs processus, en étant capable de leur donner de meilleurs aperçus de leurs pairs sur la base de leur démographie verticale, quelle qu'elle soit, pour les aider à comprendre s'ils sont au milieu du peloton, ce qui a été un thème récurrent historiquement, à savoir que les dirigeants ne veulent pas être à l'arrière, pas nécessairement à l'avant, en fonction de leur secteur. Les cadres ne veulent pas être à l'arrière, ni nécessairement à l'avant, en fonction de leur secteur. Ils veulent se situer sainement au milieu en appliquant les bonnes pratiques, pas les meilleures, mais les bonnes pratiques en général.

Et l'IA générative sera en mesure de les soutenir en les aidant à faire des comparaisons. Nous nous attendons donc à ce que l'IA générative commence à introduire une bonne partie de ces technologies en 2024. Au départ, nous nous attendons à ce que l'accent soit mis sur les grands modèles de langage externes qui envoient des données à l'extérieur. Cela a donc des implications en termes de sécurité des données, mais au fur et à mesure que l'année avance, nous prévoyons de plus en plus de modèles localisés. Cela peut se faire en utilisant des choses comme AWS Azure, etc. et être localisé et conservé dans ces environnements, mais nous verrons l'avènement d'un meilleur traitement génératif de l'IA et d'activités se déroulant dans des environnements de contrôle sur des ensembles de données contrôlés. C'est à ce moment-là que nous commencerons à évoluer de ces attentes et de ces désillusions vers des plateaux graduels de productivité. Et nous nous attendons à ce que cela se produise probablement vers la fin de l'année 2024, lorsque nous examinerons nos prédictions ici. Ainsi, au-delà de l'IA générative, notre sixième prédiction, nous allons passer à notre septième prédiction, à savoir les réglementations. C'est un thème récurrent pour nous et, j'en suis sûr, pour vous aussi. Chaque année, nous prédisons qu'il y aura davantage de réglementations. C'est un pari sûr. Je ne pense pas qu'il s'agisse là d'un sujet que les participants à la conférence téléphonique souhaiteraient aborder. Mais ce que nous attendons, c'est une gestion plus intelligente des réglementations. C'est la chose qui va changer et qui va avoir un impact dynamique sur le processus ou le programme de TPRM. Ce que je veux dire par là, c'est que c'est relativement éprouvant. Il y a des gens qui adorent ça, mais moi je trouve que c'est relativement pénible. Mais lorsque vous commencez à regarder les acronymes et les abréviations associés aux réglementations existantes, et cela évolue dans le reste de l'année et l'année prochaine, comme je l'ai mentionné avec des choses comme l'anti-corruption, les réglementations européennes, vous savez, nous nous attendons à ce que les gens veuillent simplifier l'application de ces réglementations et la façon dont ils le font est qu'ils utilisent la surveillance passive ou leurs évaluations, ils voudront être en mesure d'établir facilement et simplement la cartographie croisée de ces nouvelles réglementations.

L'une des choses les plus fréquentes que nous avons constatées en 2023, c'est que les gens nous demandent, ainsi qu'à notre équipe chargée du contenu, "Hé, ce nouveau torchon va sortir, qu'est-ce que vous faites à ce sujet ? Les gens ne veulent pas avoir à être proactifs pour poser cette question. Ils recherchent des sources, la communauté pour les conseiller et leur dire qu'une nouvelle version de la réglementation anti-corruption va sortir dans trois mois. C'est ce à quoi vous devez faire attention et c'est ainsi que votre programme sera conforme ou non. En 2024, il y aura des mécanismes plus proactifs qui permettront d'appliquer rétroactivement ces réglementations à votre ensemble de données. Une nouvelle réglementation sort demain. Nous savons qu'il y a 47 critères uniques que nous devons pouvoir suivre en utilisant certains des mécanismes dont nous avons déjà parlé aujourd'hui. Les gens pourront examiner rétroactivement et en un clin d'œil comment leur paysage se situe actuellement par rapport à ces critères. Les gens ne devraient pas avoir à envoyer des réévaluations ou à effectuer un nouveau suivi passif. Ils ne devraient pas être obligés de s'asseoir et d'intégrer soigneusement de nouveaux contrôles dans leurs cadres, pour la plupart. On s'attend à ce qu'ils soient en mesure d'automatiser une partie de ce processus et l'automatisation de la conformité réglementaire du point de vue de l'identification de la conformité ou de la non-conformité va absolument devenir de plus en plus importante jusqu'en 2024. Si ce n'est pas le cas, rejoignez-moi l'année prochaine et commentez dans le chat. Donc, juste un conseil pour les personnes qui sont évidemment intéressées par l'aspect réglementaire. Prevalent dispose en fait d'un manuel de conformité pour la gestion des risques des tiers. Il s'agit d'un guide de référence sur les cadres et les réglementations les plus courants du moment. Si vous ne l'avez pas encore vu, il s'agit d'un document assez volumineux. N'hésitez pas à nous contacter. Nous serons heureux de le partager avec vous et de vous en parler plus en détail. Mais il s'agit d'un excellent guide de référence et d'un outil que nous continuons à développer au fur et à mesure que de nouvelles réglementations sont publiées. La réglementation est donc une exigence omniprésente, toujours présente dans nos vies.

Mais cela est lié à une partie du cycle de vie plus large, car nous avons différents personas qui nous demandent de pouvoir suivre ces règlements dans le même programme. Et cela est lié à notre huitième prédiction. Notre huitième prédiction porte sur l'intégration et la synchronisation. Lorsque je me suis exercé à cela auparavant, il m'a fallu plusieurs tentatives pour dire synchronicité. Le fait que je l'aie fait du premier coup me rend très fier de moi. Je vous remercie donc de l'avoir remarqué. Mais l'intégration et la synchronicité dans cette perspective sont guidées par ce cycle de vie. Vous savez, nous avons un cycle de vie d'approvisionnement et de sélection, d'admission, de risque inhérent, etc. Nous devons relier les points entre ces différentes composantes. Cela devient de plus en plus difficile parce que lorsque vous commencez à examiner les flux de travail standard et que vous examinez ici un flux de travail standard très particulier qui est le suivant : un fournisseur est-il important ? Que faisons-nous ? Nous effectuons un suivi. Nous examinons les résultats. Nous envoyons des évaluations. Nous débriefons avec l'entreprise. Nous analysons ces résultats. Nous produisons des rapports. Nous validons les rapports. Nous effectuons même des audits sur site, etc. Il ne s'agit là que d'un sous-composant de ce cycle de vie plus large. Vous savez, c'est une composante relativement intense, mais ce n'est qu'une sous-composante. Lorsque nous commençons à examiner ces types de flux de travail, lorsque vous les réunissez tous, vous allez voir de multiples technologies dans certains cas faire différentes choses pour différentes parties de l'entreprise. Vous savez, qu'il s'agisse du logiciel d'approvisionnement ou de la finance pour la facturation, ou qu'il s'agisse des accords de niveau de service et des composants de résilience opérationnelle. Nous nous attendons à une demande de plus en plus forte d'intégration entre des systèmes adjacents et l'un des moteurs de cette demande est le fait que l'espace de marché est en train de mûrir. Les technologies arrivent à maturité en introduisant des éléments tels que l'automatisation et les gens ont commencé à construire des choses comme leurs univers et paysages de fournisseurs dans des technologies particulières. Ils veulent être en mesure de répliquer cela à travers tous les autres afin d'obtenir la meilleure valeur pour l'ensemble de la pile.

Nous avons personnellement constaté une augmentation considérable de la demande d'intégrations et de connexions entre les systèmes. Nous ne nous attendons pas à ce que cela disparaisse. Les années précédentes, nous avons parlé de la convergence des technologies vers des systèmes uniques et, pour les programmes moins définis, c'est certainement une étape logique à franchir. Mais pour les grandes entreprises multidisciplinaires, avec des flux de travail et des processus bien établis, nous voyons de plus en plus d'attentes pour que le cycle de vie du TPRM soit intégré dans la technologie. Je voudrais donc passer à notre neuvième observation et prédiction, à savoir la capacité continue. J'ai déjà mentionné la surveillance passive à plusieurs reprises et lorsque vous commencez à examiner la surveillance passive, vous pouvez commencer à la segmenter dans des domaines tels que l'espace de sécurité informatique, les ensembles de données de surveillance des entreprises dont nous avons parlé et, bien sûr, les ensembles de données financières et juridiques, en tant que sous-ensemble. Dans certains cas, il s'agit d'itérations quasi quotidiennes. J'espère que les faillites ne sont pas quotidiennes, mais lorsque vous commencez à les examiner, il y a certaines informations dont vous voudrez avoir un résumé quotidien. Et ce que nous voyons, c'est une demande de plus en plus forte de la part des acheteurs pour des informations en temps réel sur des choses comme les violations ou les problèmes qui émergent dans le paysage des fournisseurs. Auparavant, c'était cyberentrique et ce respect. Mais en 2024, nous nous attendons à ce que l'accent soit mis de plus en plus sur des informations continues dans les domaines commercial, financier et juridique, sous l'impulsion de la demande en matière d'approvisionnement. Et quelque chose que nous prévoyons lié à cela, c'est que vous commencerez à construire ces capacités de surveillance continue très approfondies. Si l'on prend l'exemple de Prevalent, avec 500 millions de profils, 84 milliards d'événements différents de surveillance des activités sur 900 000 sites différents suivis à un moment donné, on obtient une mine de données grâce à cette capacité continue. Ainsi, lorsque nous parlions plus tôt de notre prédiction d'une analyse avancée et agrégée, celle-ci va s'y ajouter au fur et à mesure que nous introduisons de plus en plus de points de données par le biais de cette capacité continue qui va à son tour générer une analyse de plus en plus avancée. Il s'agit donc presque d'une prophétie qui se réalise d'elle-même.

Les gens veulent des informations quotidiennes, ce qui signifie qu'ils obtiennent plus d'événements, une couverture plus large, et cela va se prêter à nos autres prédictions au fil du temps. Passons maintenant à notre 10ème et dernière prédiction de la journée, le contexte. Le contexte a toujours été très important, mais il est très difficile de l'agréger dans l'ensemble du paysage des tiers. Pour nous, dans ce cas, le contexte a plusieurs significations. Il s'agit de comprendre le risque inhérent ou le profilage et le déchirement, qui est le vendeur, que fait-il, pourquoi le fait-il, comment le fait-il, tous ces critères, et cela nous aide en fin de compte à redimensionner et à classer nos tierces parties en conséquence. Les gens commencent à s'attendre à une meilleure structure tout au long du cycle d'approvisionnement pour remplir ces critères en amont. De plus en plus de fonctions d'approvisionnement saisissent ces données au cours du cycle d'approvisionnement ou au moment du renouvellement pour les alimenter, et ce parce qu'elles consomment des données. En 2024, nous verrons donc de plus en plus de personnes utiliser ces données et nous verrons les achats conduire la collecte de ces données, ce qui se traduira par une prédiction plus pragmatique de la gestion de ces paysages en 2024. Par exemple, disons que notre écosystème compte 15 000 fournisseurs. Nous pourrions avoir 15 000 exercices de profilage et de tarification. Cela devrait réduire le volume à environ 4 000. Cela pourrait être dû, vous savez, aux fournisseurs critiques qui ont besoin d'évaluations interactives. Il pourrait y avoir un sous-ensemble plus petit nécessitant une surveillance continue sur la base des résultats obtenus. Ce nombre pourrait à nouveau diminuer en fonction de ceux qui ont besoin d'un suivi itératif de la gestion des risques. Enfin, un sous-ensemble plus restreint nécessite une gestion régulière et cohérente des événements parce qu'ils sont vraiment essentiels pour nous. Cela se poursuit jusqu'à des choses telles que les étapes de validation et même, dans certains cas, les audits sur site, ainsi qu'un certain nombre de jours zéro ad hoc auxquels nous devons faire face. Mais nous devrions voir cette sorte de pyramide avec nos fournisseurs.

Vous savez, l'époque des 15 000 signifie que 15 000 devrait disparaître en 2024. Nous nous attendons à ce que l'exercice de profilage et d'arrachage nous permette de commencer à construire ces paysages et ces inventaires de tierces parties de style plus pyramidal euh TP désolé, au fil du temps, et cela contribue en fait aux nièmes parties, aux quatrièmes parties, comme je l'ai mentionné plus tôt, c'est-à-dire que l'on s'attend depuis quelques années à ce que les nièmes parties soient répertoriées et évaluées à plusieurs niveaux. Ce n'est tout simplement pas pragmatique. Mais ce que nous allons commencer à voir, c'est que les gens reconnaissent que c'est un problème et qu'ils vont commencer à se concentrer sur les objectifs de la quatrième partie. Ce que nous voulons dire par là, c'est quels sont nos fournisseurs les plus importants ? Existe-t-il des tiers présentant un risque de concentration particulier que nous devons prendre en considération et qui ont une incidence sur nos politiques de protection de la vie privée ? Et vous allez voir potentiellement une couche plus profonde si c'est un sous-ensemble de quatrièmes parties qui sont dans le champ d'application d'une diligence raisonnable de base. Dans certains cas, nous verrons simplement des tiers euh l'attente que des tiers fassent cela en notre nom, ce qui est plus ou moins l'état actuel, mais nous devrions voir un travail plus ciblé de la part de la quatrième partie en 2024. Pour résumer, parce que cela fait beaucoup d'informations en 51 minutes jusqu'à présent, certaines des prédictions clés que nous faisons ici sont que le financement du TPRM va rester un enjeu de taille. Nous allons assister à une convergence des programmes qui permettra à de multiples propriétaires d'entreprises de travailler ensemble. Vous allez voir cette convergence des données au fur et à mesure que les ensembles de données s'étendent. Nous allons voir ces ensembles de données se développer et alimenter des analyses avancées et agrégées, ce qui inclura l'analyse comportementale jusqu'à la fin de l'année. Le NLP va devenir un contributeur commun à nos processus d'automatisation et de normalisation.

Et nous allons voir des choses comme l'IA alimenter nos automatismes, les réglementations devenir plus proactives dans la cartographie de notre paysage existant, la poursuite de l'intégration dans les technologies adjacentes, euh la capacité de surveiller ces fournisseurs aussi près du temps réel que possible, et la capacité d'être pragmatique dans l'analyse et la gestion des fournisseurs. Cela revient à dire que nous allons voir les bonnes fondations qui ont été construites au cours des années précédentes évoluer jusqu'en 2024 avec l'avènement de choses comme ces automatisations accrues, des ensembles de données plus importants pour fournir de meilleurs rapports en temps réel, euh, moins de travail sur ceux qui n'ont pas d'importance. Il s'agit donc de bien dimensionner nos populations de fournisseurs et de donner aux bonnes personnes les tableaux de bord et les rapports personnalisés qui les intéressent vraiment. Je vais faire une pause d'une minute et nous allons passer à un très bref aperçu de l'adorable Scott Lang sur certains des composants qui pourraient... qui pourraient être utiles ici. Scott.

Scott Lang: Merci beaucoup, Alistair. Je vais maintenant partager mon écran. Nous y voilà. C'est génial. Nous y voilà. Merci à tous d'être restés avec nous pendant ces 53 minutes jusqu'à présent, car Alistair a vraiment présenté un grand nombre d'excellentes pratiques, de prédictions et de réflexions que nous pouvons utiliser pour formuler nos plans de RPT pour la nouvelle année. Je sais que c'est la saison de la budgétisation avant celle de la vérification. Peut-être sommes-nous déjà sortis de cette période. Vous commencez à aligner des projets. Il est bon d'avoir cette compréhension des tendances et des mouvements clés du marché pour vous aider à éclairer ce processus. J'ai pensé prendre quelques instants pour vous expliquer en quoi la prévalence peut vous aider de notre point de vue et je vais prendre quelques minutes, puis nous pourrons passer aux questions. Mais de notre point de vue, vous savez, il y a trois choses que vous voulez réaliser dans votre programme de gestion des risques des tiers. La première est d'obtenir les données dont vous avez besoin pour prendre de meilleures décisions.

Vous savez, il y a de fortes chances que vous ayez des silos d'informations, différents départements, euh différents outils, vous savez, vous utilisez peut-être des feuilles de calcul ou, vous savez, d'autres processus manuels de qualité inférieure pour collecter des informations sur les contrôles internes de vos vendeurs et fournisseurs tiers. Euh, et dès que vous recueillez ces informations, elles sont périmées sans qu'il soit possible de les mettre à jour entre les évaluations. C'est un véritable défi. Je comprends qu'une deuxième grande chose que les entreprises cherchent à réaliser dans le domaine du risque de tierce partie est de faire tomber ces silos et d'améliorer l'efficacité de l'équipe. Vous avez vu une diapositive qu'Alistister euh a mis dans la présentation très tôt qui dit que bien que l'équipe de sécurité de l'information a tendance à être celle qui est responsable de l'exécution des évaluations du risque de tiers lorsque la cybersécurité est le principal moteur. Nous constatons que c'est l'équipe chargée des achats qui est responsable de la relation. Ainsi, si l'exécutif et le propriétaire ne s'entendent pas sur l'utilisation d'outils, de processus et de systèmes différents, s'ils ne communiquent pas entre eux, s'ils n'interagissent pas, ce n'est pas la recette du succès. Ce niveau d'intégration et de cohérence dans l'ensemble de l'organisation est le résultat souhaité et il vous aide à atteindre le troisième résultat, à savoir l'évolution et la mise à l'échelle de votre programme au fil du temps. Il s'agit donc d'obtenir de bonnes données, d'abattre les silos entre les équipes pour les aider à travailler ensemble plus efficacement et d'évoluer et d'étendre les programmes dans le temps. C'est précisément ce que nous espérons réaliser avec votre programme de gestion du risque de tierce partie si nous sommes en mesure de vous aider à fournir une solution. Nous considérons que les risques liés aux tiers sont uniques à chaque étape du cycle de vie des tiers. Il ne s'agit pas seulement d'envoyer une évaluation, de recevoir une sorte de score de risque en retour, de faire du triage, de prendre des mesures correctives, puis de passer à autre chose. Il ne s'agit pas seulement d'un contrôle préalable à la conclusion d'un contrat, mais d'un processus cohérent qui existe depuis longtemps. Il s'agit d'un processus cohérent qui existe depuis le moment où vous recherchez et sélectionnez un nouveau fournisseur jusqu'au moment où vous finissez par l'écarter et mettre fin à cette relation.

Encore une fois, nous voyons des risques uniques dans chacune de ces étapes et nous pouvons aider à automatiser le processus de découverte de ces risques, d'action, de clôture et finalement de réduction du risque résiduel pour votre entreprise. En fin de compte, il s'agit de trois choses pour vous. La première est de simplifier et d'accélérer le processus d'intégration d'un nouveau fournisseur. Vous disposez d'une source unique de vérité et d'un processus pour gérer ce fournisseur au sein de votre entreprise. Rationaliser le processus et combler les lacunes et la couverture des risques là où il y a des lacunes aujourd'hui, puis unifier votre équipe tout au long du cycle de vie. Je ne vais pas m'attarder sur ce point. Il ne s'agit que de six catégories de risques que prevalent aide à capturer et à gérer pour vous dans la plateforme, que ce soit par le biais d'une évaluation en place dans une plateforme ou en utilisant des données de surveillance des risques de tiers qui sont corrélées avec les réponses de l'évaluation. En fin de compte, ce que nous offrons est une combinaison de trois choses. La première est l'aide d'un expert. Les gens, d'accord ? Si vous le souhaitez, notre groupe de services gérés peut faire le gros du travail pour vous, qu'il s'agisse de l'intégration des fournisseurs, de la réalisation des évaluations, de l'exécution des mesures correctives, de la gestion tout au long du cycle de vie, ou vous pouvez utiliser la plateforme par vos propres moyens. Bien sûr, le deuxième élément clé de notre solution est la richesse de l'ensemble des données. Nous avons plus d'un demi-million de sources d'information individualisées et un demi-million de profils différents intégrés dans le système auxquels vous pouvez accéder immédiatement pour différents types de risques. Et troisièmement, tout cela est hébergé dans la plateforme pour vous aider à effectuer, vous savez, les meilleures analyses, les meilleurs rapports, les meilleurs flux de travail et, en fin de compte, à atteindre un certain niveau de remédiation pour vos clients ou pour vos vendeurs. Donc, très rapidement, je voulais juste vous donner cette vue d'ensemble. Je vais passer la parole à Melissa, qui répondra aux questions, puis nous conclurons. Allez-y, Melissa.

Melissa: Parfait. Merci, Scott. Je vais lancer notre deuxième et dernier sondage. Vous le verrez apparaître dans deux secondes. Je suis curieuse de savoir si vous êtes dans la même situation que moi, c'est-à-dire si vous êtes en train de mettre en place un TPR et un programme. Je sais que Scott a parlé de la budgétisation. Aujourd'hui, les gens sont en train d'établir leur budget pour l'année prochaine. C'est peut-être votre cas. Soyez honnête aussi. Nous assurons un suivi avec vous, probablement dans les prochaines 24 heures, si ce n'est plus tôt. Hum, mais oui, je veux dire que nous avons quelques questions. Je sais qu'il y en a quelques-unes dans le chat que j'ai essayé d'effleurer, mais il y en a aussi quelques-unes dans la boîte de questions et réponses. Alistister, voulez-vous en choisir une qui soit la plus utile. Je sais que nous avons une minute.

Alistair Parr: Oui, bien sûr. Il y en a eu quelques-uns qui sont en corrélation avec le commentaire sur la gestion des risques des tiers en tant que distinction qui évolue vers la gestion du cycle de vie des tiers. Je n'en ai donc examiné que quelques-uns, et il y en a certainement d'autres, alors merci à tous. Mais pensez-vous que le flux de travail de la gestion des risques liés aux tiers puisse inclure la gestion des fournisseurs ? Euh, en partie oui, donc je dirais qu'il y a un chevauchement entre les deux. En 2024, on s'attend donc à une évolution. Vous verrez que la gestion du cycle de vie des fournisseurs est une composante de plus en plus importante. La gestion des risques existera toujours et cela ne signifie pas nécessairement que les équipes infosc et la gestion des risques vont s'approprier l'ensemble du processus. Cela signifie simplement qu'il y aura un certain degré de synchronisation entre les équipes qui utiliseront le mécanisme d'engagement qui fonctionne le mieux à ce moment-là. Les équipes de gestion des risques ont généralement besoin d'un niveau de détail inférieur à celui des autres équipes, sous la forme d'un triage des risques et d'un suivi continu dans cette perspective. Mais vous verrez que la gestion des risques par des tiers continuera à être la gestion du cycle de vie par des tiers et que les deux lignes deviendront de plus en plus floues au fil du temps. C'est ce que nous constatons et nous nous attendons à ce que cela continue. Excellentes questions donc. Je sais que nous avons dépassé le temps imparti, je vous laisse donc la parole, Melissa.

Melissa: D'accord, c'est le moment idéal. C'est le début de l'heure pour tout le monde. Je voulais donc remercier Alistar d'être revenu et Scott pour son discours à la fin, comme d'habitude. Si vous avez des questions, j'indiquerai mon adresse électronique dans le chat. C'est donc là. Vous pouvez aussi utiliser la fonction de chat sur notre site web qui me renvoie directement. Donc, euh, j'espère que nous pourrons voir une poignée d'entre vous dans vos boîtes de réception et peut-être au webinaire de la semaine prochaine. Prenez soin de vous. Je vous remercie. Au revoir.