Demandez une démo

L'IA et les capacités ESG pour la gestion des risques des tiers (TPRM) : Entretien avec Alastair Parr, Directeur exécutif, Solutions GRC chez Mitratech

Dans cet entretien avec TechBullion, Alastair partage les dernières avancées en matière d'IA et de capacités ESG, leur impact sur le TPRM, et la vision de Mitratech pour l'avenir de la GRC et de la technologie du risque.
25 novembre 2024
Tech Bullion Logo feature image

Note de l'éditeur : cet entretien avec Alastair Parr, directeur exécutif des solutions GRC chez Mitratech, a été publié à l'origine sur techbullion.com.

Alastair Parr est un membre clé de l'équipe fondatrice de la solution Prevalent TPRM de Mitratech. Fort d'une expérience approfondie en matière de gouvernance, de risque et de conformité (GRC), Alastair possède une vaste expérience des défis posés par la gestion moderne des risques. Son rôle consiste à s'assurer que les solutions de Mitratech évoluent de manière innovante pour répondre aux demandes du marché, en particulier au sein de la plateforme Prevalent et de l'écosystème GRC plus large de Mitratech. Avant de rejoindre Mitratech, Alastair a été directeur des opérations chez InteliSecure et a travaillé en tant qu'auditeur, ce qui lui a permis d'affiner son expertise dans l'élaboration et la mise en œuvre de stratégies efficaces de gestion des risques.

Dans cet entretien avec TechBullion, Alastair partage quelques idées sur les dernières avancées de Mitratech en matière d'IA et de capacités ESG, l'impact de ces innovations sur la gestion des risques des tiers, et la vision de l'entreprise pour l'avenir de la GRC et de la technologie des risques.

Parlez-nous un peu de vous et de ce que vous faites chez Mitratech.

Je m'appelle Alastair Parr et j'ai fait partie de l'équipe fondatrice qui a lancé ce qui est devenu la solution Prevalent TPRM de Mitratech. Je suis chargé de veiller à ce que les exigences du marché soient prises en compte et appliquées de manière innovante dans le cadre de la solution Prevalent et de notre plateforme GRC Mitratech dans son ensemble. Avec une formation en gouvernance, risque et conformité, j'ai une grande expérience dans le développement et la mise en œuvre de solutions pour répondre aux défis d'un espace de gestion des risques de plus en plus complexe. Auparavant, j'ai été directeur des opérations pour le fournisseur mondial de services gérés InteliSecure et j'ai travaillé en tant qu'auditeur.

Mitratech a récemment introduit des améliorations en matière d'IA et d'ESG dans sa plateforme de gestion des risques de tiers, Prevalent. Pourriez-vous préciser en quoi ces capacités différencient la plateforme de Mitratech des autres plateformes du marché ?

Il est important de noter que les dernières améliorations sont exactement cela : des améliorations des capacités existantes. Nous avons adopté une perspective à long terme sur le marché du TPRM, de sorte que nous évoluons avec lui.

Nous avons lancé nos fonctionnalités ESG pour la première fois en 2020. Depuis, nous avons ajouté à notre bibliothèque de questionnaires ESG un suivi plus approfondi des émissions de portée 1, 2 et 3, un enrichissement du score ESG global et un suivi des controverses ESG, afin que les entreprises puissent suivre l'évolution constante du paysage réglementaire ESG. À mesure que les chaînes d'approvisionnement se développent et deviennent plus complexes, il est essentiel que les organisations suivent de manière centralisée tous les risques liés à la chaîne d'approvisionnement - des perturbations cyber aux défis opérationnels, ESG et de réputation. Nous pensons que notre solution devrait devenir la source unique de vérité pour tous les risques liés aux vendeurs et fournisseurs tiers, ce qui alimente la solution GRC globale pour gérer les risques de l'entreprise.

En ce qui concerne l'IA, nous avons régulièrement développé nos capacités d'IA, depuis les rapports basés sur le ML jusqu'à des automatisations plus sophistiquées telles que l'achèvement automatique de l'évaluation, l'analyse des documents/preuves pour vérifier l'adéquation, et l'inclusion d'un conseiller en risque IA pour aider à interpréter les risques et fournir des conseils sur les mesures correctives suggérées. L'objectif de nos capacités d'IA est de simplifier l'expérience de l'utilisateur, d'ajouter de la cohérence aux évaluations et aux analyses, et d'améliorer la visibilité des conseils en matière de risque.

Les évaluations des risques pilotées par l'IA sont de plus en plus courantes. Pouvez-vous expliquer comment fonctionne le remplissage automatique des questionnaires par l'IA de Mitratech et l'impact que cela aura sur les organisations qui tentent de rationaliser leurs évaluations des risques par des tiers ?

Notre capacité d'auto-complétion de l'évaluation par l'IA permet aux utilisateurs de prendre une feuille de calcul précédemment remplie ou une documentation PDF, de télécharger ces artefacts et de demander à notre IA d'extraire automatiquement les réponses et les détails pertinents pour remplir une nouvelle évaluation des risques par une tierce partie.

Cette capacité profite aux intervenants qui disposent de plusieurs documents, tels que des politiques internes et des rapports d'audit, susceptibles de répondre aux exigences de la question, mais qui n'ont aucun moyen d'extraire efficacement ces informations sans passer par des heures d'examen manuel de la documentation. L'utilisation des détails des documents pour alimenter de nouvelles évaluations des risques réduit radicalement le temps nécessaire à la gestion du processus d'évaluation des risques par des tiers.

Alors que la conformité ESG gagne du terrain auprès des régulateurs et des investisseurs, comment la nouvelle fonction de surveillance ESG de Mitratech aide-t-elle les entreprises à maintenir des normes de durabilité tout au long de leurs chaînes d'approvisionnement ?

Les critères environnementaux, sociaux et de gouvernance (ESG), tels que la mesure des émissions de gaz à effet de serre (GES), sont devenus une priorité pour les entreprises, les investisseurs et les autorités de réglementation. La mesure des émissions de GES implique de se concentrer sur les émissions directes et d'étendre l'attention aux émissions indirectes tout au long de la chaîne d'approvisionnement, où les émissions de portée 1, 2 et 3 entrent en jeu. Alors que de plus en plus de gouvernements adoptent des réglementations en matière d'ESG et de développement durable, les entreprises doivent passer au crible des montagnes de données de reporting ESG pour répondre aux exigences de conformité de la chaîne d'approvisionnement.

La solution Prevalent comprend de nouvelles fonctionnalités qui améliorent la surveillance ESG et le développement durable et qui sont en corrélation avec les résultats des évaluations des risques ESG basées sur des questionnaires afin de normaliser et de simplifier les rapports de conformité ESG à l'échelle de votre chaîne d'approvisionnement.

La dernière version comprend

  • Des données de source mondiale, basées sur des normes, provenant d'un leader reconnu en matière de rapports ESG et de développement durable.
  • Des notations et des scores avancés en matière de développement durable, y compris les émissions de type 1, 2 et 3 et l'intensité de la valeur équivalente en espèces (EVIC), pour chaque fournisseur, afin de les comparer dans le temps et par rapport aux moyennes du secteur.
  • Les scores d'émissions, les nouvelles négatives et les controverses, créés par des analystes, offrent une visibilité sur les problèmes de réputation potentiels.
  • Une bibliothèque complète de questionnaires sur le développement durable à l'échelle mondiale, avec des conseils intégrés sur les mesures correctives à prendre pour établir des rapports de référence.
  • Un registre centralisé des risques contenant les résultats de l'évaluation et les données sur la durabilité pour l'investigation, le triage et la gestion des tâches et des événements.

En comprenant et en gérant de manière exhaustive les émissions des champs d'application 1, 2 et 3, les entreprises peuvent atténuer les risques liés à la chaîne d'approvisionnement et à la réputation, répondre aux attentes des parties prenantes, améliorer l'efficacité opérationnelle et acquérir un avantage concurrentiel.

Grâce à cette solution, les équipes chargées des achats et de la chaîne d'approvisionnement peuvent améliorer la visibilité et la cohérence de la chaîne d'approvisionnement et gagner du temps en fournissant un accès unique à des milliers de notes ESG, à des informations et à des controverses entièrement alignées sur les autres risques de l'entreprise.

L'introduction des étiquettes technologiques est un ajout notable à votre plateforme. Comment cette nouvelle fonctionnalité améliore-t-elle la visibilité des risques liés à la chaîne d'approvisionnement en logiciels et quel type de mesures proactives les entreprises peuvent-elles prendre en conséquence ?

Pour aider à comprendre quels fournisseurs ont déployé des technologies particulières, la solution Prevalent TPRM comprend désormais des étiquettes technologiques, qui permettent d'accéder à des technologies divulguées publiquement et qui peuvent être appliquées à toutes les entités de la solution en fonction des technologies utilisées par l'entité.

En cas d'incident, les automatismes intégrés d'ActiveRules peuvent déclencher des actions basées sur des balises technologiques, notamment

  • Rapport sur les tiers touchés.
  • Informer les utilisateurs internes de l'association technologique en envoyant des notifications par courrier électronique.
  • Tâches de déclenchement.
  • Distribuer une enquête sur la réponse à l'incident à un contact clé pour comprendre comment il a été affecté et quels sont les efforts de remédiation en cours.
  • Générer des éléments de risque pour une gestion continue.

Cette amélioration est inestimable lorsque la nouvelle d'une vulnérabilité ou d'une violation de données a un impact sur une technologie spécifique et qu'il est nécessaire d'identifier rapidement les organisations d'un écosystème de fournisseurs susceptibles de l'exploiter. Elle améliore la proactivité grâce à la visibilité et à l'automatisation.

Grâce à cette capacité, les entreprises peuvent rapidement identifier et communiquer avec les fournisseurs potentiellement exposés à une interruption de la chaîne d'approvisionnement en logiciels, ce qui permet de réduire les risques et d'accélérer les délais de résolution.

Compte tenu des récents incidents très médiatisés survenus dans la chaîne d'approvisionnement, comme la panne de CrowdStrike en juillet 2024, quelles leçons Mitratech a-t-elle tirées de l'élaboration de ces nouveaux outils de gestion des risques ?

La panne généralisée de CrowdStrike survenue le 24 juillet a été un signal d'alarme pour les organisations qui doivent mieux comprendre les technologies déployées dans l'écosystème de leurs fournisseurs. Savoir quels sont les tiers qui utilisent une technologie particulière permet d'accélérer la réponse aux incidents en cas de panne critique. Et cela commence par la découverte, c'est-à-dire l'établissement d'un inventaire central des technologies utilisées par les tiers. La solution Prevalent permettait déjà de suivre les technologies, mais la dernière amélioration permet de précharger des options à ajouter au profil du fournisseur afin de simplifier le suivi et d'accélérer la réponse aux incidents.

Alors que l'IA transforme diverses industries, certaines organisations expriment des inquiétudes quant à ses risques potentiels. Comment Mitratech s'assure-t-elle que ses outils alimentés par l'IA sont transparents, éthiques et alignés sur la conformité réglementaire ?

Nous avons mis en place plusieurs contrôles pour atténuer les risques de partialité et d'hallucination et pour garantir la sécurité.

  • Le LLM que nous avons intégré à notre solution a été formé sur des événements et tire parti de nos 20 années d'expérience.
  • Le modèle est contrôlé par des personnes qui veillent à ce que les résultats soient réalistes et représentent des recommandations réelles.
  • Toutes les données ont été rendues anonymes et seul le nom du risque et/ou de l'événement a été indiqué, sans autre contexte.

Le développement durable et l'ESG sont devenus des paramètres essentiels pour l'évaluation des relations avec les fournisseurs. Pouvez-vous nous donner un aperçu des critères ESG spécifiques que la plateforme de Mitratech utilise pour évaluer et noter les fournisseurs ?

La solution Prevalent fournit des informations sur plusieurs indicateurs ESG.

  • Des données de source mondiale, basées sur des normes, provenant d'un leader reconnu en matière de rapports ESG et de développement durable.
  • Des notations et des scores avancés en matière de développement durable, y compris les émissions de type 1, 2 et 3 et l'intensité de la valeur équivalente en espèces (EVIC), pour chaque fournisseur, afin de les comparer dans le temps et par rapport aux moyennes du secteur.
  • Les scores d'émissions, les nouvelles négatives et les controverses, créés par des analystes, offrent une visibilité sur les problèmes de réputation potentiels.

Les données sont présentées dans le temps et permettent aux utilisateurs de comparer les fournisseurs entre eux :

  • Moyennes de l'industrie
  • Leurs pairs
  • Autres fournisseurs dans la même région

À la lumière de ces récentes mises à jour, comment voyez-vous l'évolution du rôle de la technologie dans le contexte de la gestion des risques pour les tiers, en particulier lorsqu'il s'agit de s'adapter aux nouvelles exigences réglementaires ?

La technologie et l'automatisation des processus devraient être au cœur de la gestion des risques liés aux tiers. Deux des défis les plus importants liés à l'évaluation d'un tiers sont la réalisation des évaluations et la collecte de données externes pour formuler un score de risque qui informe ensuite sur la manière dont le tiers doit être traité à l'avenir. Les solutions TPRM répondent directement à ces deux défis en automatisant la gestion, le remplissage et la notation des questionnaires, et en centralisant les informations des fournisseurs externes dans de multiples domaines de risque. La technologie permet ensuite de corréler les réponses au questionnaire avec des données externes afin de valider les réponses, la notation, la gestion des mesures correctives et le reporting automatisés. En l'absence de technologie, les entreprises se retrouvent avec des processus manuels, basés sur des feuilles de calcul, ou avec une notation des risques décousue qui limite la visibilité.

Pour l'avenir, quels sont les principaux domaines d'innovation sur lesquels Mitratech se concentre pour rester leader dans le domaine de la GRC et de la gestion des risques des tiers ?

Mitratech continuera d'innover dans des domaines tels que l'amélioration de la surveillance continue, la traduction et l'automatisation de l'IA, les rapports en langage naturel, ainsi que la fourniture de nouveaux aperçus sur les données géographiques et firmographiques et l'analyse.