APRA CPS 234 : Meilleures pratiques pour répondre aux exigences en matière de gestion des risques liés aux tiers.

APRA CPS 234 Lignes directrices sur la sécurité de l'information pour la gestion des risques liés aux tiers

La norme APRA est organisée en plusieurs catégories d'exigences. Nous avons identifié les plus applicables à la gestion des risques des tiers et les capacités des meilleures pratiques qui peuvent aider à répondre aux exigences.

Rôles et responsabilités

Cette catégorie comprend des dispositions qui obligent les entreprises à identifier les responsables de la sécurité de l'information au sein de leur organisation et les fonctions qu'ils exercent. Elle encourage la formation d'équipes interfonctionnelles pour assurer une surveillance adéquate, ainsi que la gouvernance par le conseil d'administration.

Pour que la gestion des risques liés aux tiers soit un élément clé d'un programme global de sécurité de l'information, élaborez un programme complet de gestion des risques liés aux tiers (TPRM) en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risque et de conformité, en vous basant sur des meilleures pratiques éprouvées et une vaste expérience du monde réel. Dans le cadre de ce programme de gouvernance, vos équipes internes doivent définir :

• Rôles et responsabilités clairs (par exemple, RACI)
• Inventaires de tiers
• Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
• Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
• Cartographie de la quatrième partie
• Sources des données de contrôle continu (cyber, business, réputation, financier)
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
• Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
• Conformité et exigences de rapports contractuels par rapport aux niveaux de service
• Exigences en matière de réponse aux incidents
• Rapports sur les risques et les parties prenantes internes
• Stratégies d'atténuation des risques et de remédiation

Veillez à examiner chaque étape du cycle de vie des tiers - de la recherche et de la diligence raisonnable à la résiliation et à l'intégration - afin d'aligner les attentes sur la tolérance au risque de votre organisation.

Capacité en matière de sécurité de l'information

Cette catégorie comprend l'obligation d'évaluer régulièrement les capacités des tiers en matière de sécurité des informations et de surveiller en permanence les menaces.

Pour aider à automatiser ce qui peut être un processus très lourd, envisagez :

• L'utilisation de plusieurs types d'évaluation des risques par des tiers, soutenue par des fonctionnalités de flux de travail, de gestion des tâches et d'examen automatisé des preuves. Ce niveau de flexibilité aidera votre équipe à traiter les risques qui comptent le plus pour l'organisation.
• Surveillance de l'Internet et du dark web à la recherche de cyber menaces et vulnérabilités, ainsi que des sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Cela permet de maintenir une attention continue sur les risques entre deux évaluations.
• La corrélation des données de surveillance avec les résultats de l'évaluation donne lieu à un registre de risques unifié pour chaque fournisseur, ce qui rationalise l'examen des risques, les rapports et les initiatives de réponse.
• Constituer une bibliothèque de recommandations de remédiation basées sur les résultats de l'évaluation des risques afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante.

Si vos ressources et votre expertise sont limitées, vous pouvez externaliser la gestion du cycle de vie du risque lié aux tiers, depuis l'intégration des fournisseurs et la collecte de preuves jusqu'à la fourniture de conseils en matière de remédiation et l'établissement de rapports sur les accords de niveau de service contractuels. Ainsi, vous réduisez le risque lié aux fournisseurs et simplifiez la conformité sans alourdir la charge du personnel interne.

Cadre politique

La catégorie Cadre politique exige des entreprises qu'elles maintiennent une politique de sécurité et qu'elles veillent à ce que les équipes internes et les tiers en aient connaissance et y adhèrent, et à ce qu'elle soit régulièrement évaluée.

Comme la conformité peut être délicate et prendre du temps, tirez parti d'une méthodologie d'évaluation qui correspond aux principaux cadres de gouvernance de la sécurité de l'information tels que l'ISO. Grâce à cette capacité, vous pouvez visualiser et traiter les exigences de conformité dans le cadre qui s'applique le mieux à votre organisation.

Actifs informationnels Identification et classification

Cette catégorie de la CPS 234 exige que les entités réglementées par l'APRA classent leurs actifs informationnels, y compris ceux gérés par des parties liées et des tiers, par criticité et sensibilité.

Pour lancer ce processus, définissez une méthodologie pour suivre et quantifier les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers devraient inclure les attributs suivants :

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

Mise en œuvre des contrôles et test de l'efficacité des contrôles

Ces catégories exigent des entreprises qu'elles disposent de contrôles de sécurité de l'information pour protéger les actifs informationnels, y compris ceux gérés par des parties liées et des tiers ; que ces contrôles soient proportionnés aux risques applicables à l'entreprise ; que leur conception soit régulièrement testée ; et que les déficiences qui ne peuvent être corrigées en temps voulu soient signalées au conseil d'administration ou à la direction générale.

Commencez par examiner les réponses et la documentation de l'évaluation d'un tiers par rapport aux protocoles de test établis afin de valider que les contrôles indiqués sont en place. Ensuite, faites correspondre les réponses aux cadres communs tels que SIG, ISO ou SOC 2 pour simplifier leur évaluation et suivre les mesures correctives jusqu'à leur achèvement.

Gestion des incidents

Cette catégorie exige que les entités réglementées par l'APRA aient des politiques et des procédures en place pour détecter et répondre aux incidents de sécurité de l'information en temps opportun, y compris l'escalade, le signalement et la révision régulière des politiques.

La mise en place d'un processus de gestion des incidents testé et éprouvé est essentielle pour accélérer la découverte et l'atténuation des incidents. Les étapes clés comprennent la gestion centralisée des fournisseurs, l'évaluation des événements, la notation des risques identifiés, la corrélation avec la surveillance continue de cyber et l'accès aux conseils de remédiation.

Audit interne

Cette catégorie de l'APRA CPS 234 stipule que les activités d'audit interne doivent inclure un examen de la conception et de l'efficacité opérationnelle des contrôles de la sécurité de l'information, y compris ceux maintenus par les parties liées et les tiers (assurance du contrôle de la sécurité de l'information) ; et que l'assurance du contrôle de la sécurité de l'information doit être fournie par un personnel convenablement qualifié pour fournir une telle assurance.

Standardiser les évaluations de la sécurité de l'information par rapport à SOC 2, Cyber Essentials, ISO ou d'autres cadres de contrôle de la sécurité de l'information. Cette approche fournit aux équipes d'audit interne et de sécurité informatique une méthodologie centrale pour mesurer et démontrer l'adhésion aux contrôles informatiques internes. Ces mêmes évaluations sont également utilisées pour évaluer les contrôles de sécurité de l'information de tiers, ce qui permet d'obtenir une vue consolidée et globale de la sécurité de l'information.

Notification de l'APRA

La dernière catégorie de la norme APRA 234 exige que les entités réglementées par l'APRA notifient l'APRA dans les 72 heures après avoir pris connaissance d'un incident important lié à la sécurité de l'information, et dans les 10 jours ouvrables après avoir pris connaissance d'une faiblesse importante du contrôle de la sécurité de l'information qui ne peut être corrigée en temps voulu.

Pour répondre à cette exigence, il faut produire des rapports efficaces. L'analyse par apprentissage automatique (ML) permet de révéler les tendances en matière de risques, l'état des risques liés aux tiers et les exceptions aux comportements courants qui ne sont pas toujours évidents avec de simples rapports basés sur des feuilles de calcul. Ce niveau d'analyse vous aide à visualiser et à répondre aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec les cadres réglementaires et sectoriels, et à produire des rapports spécifiques à la réglementation en une fraction du temps qui est normalement consacré aux processus d'évaluation des risques manuels, basés sur des feuilles de calcul.

Comment Prevalent aide à répondre aux directives de l'APRA CPS 234 sur la sécurité de l'information pour la gestion des risques liés aux tiers.

Prevalent peut aider votre organisation de services financiers à renforcer la gouvernance et la surveillance de ses relations avec les tiers :

• Mise en place d'un programme complet, agile et mature de gestion des risques liés aux tiers, fondé sur les meilleures pratiques éprouvées du secteur des services financiers.
• Automatisation de l'identification et de l'évaluation des tiers en fonction de leur criticité pour l'organisation
• Évaluer et surveiller en permanence les risques liés à la cybersécurité, aux affaires, aux finances et à la réputation.
• Mesurer par rapport aux indicateurs de risque clés (KRI) et fournir des recommandations de remédiation pour réduire le risque résiduel des tiers.
• Automatiser les processus de validation des contrôles pour s'assurer que les contrôles clés sont en place et fonctionnent comme prévu.
• Réduction des délais de réponse aux incidents et d'atténuation des risques grâce à l'automatisation et à la surveillance continue.
• Incluant des modèles pour simplifier les rapports d'audit des cadres réglementaires et de sécurité à destination de multiples parties prenantes internes et externes.

Pour en savoir plus sur la façon dont Prevalent peut aider à répondre aux exigences de gestion des risques de tiers de cette norme, téléchargez la liste de contrôle complète de la conformité à la norme APRA CPS 234 ou demandez une démonstration dès aujourd'hui.