En réponse à la menace constante de cyberattaques visant les organisations de services financiers, l'Autorité australienne de régulation prudentielle (APRA ) a mis en œuvre la norme réglementaire CPS 234. en juillet 2019. La norme exige que toutes les organisations de services financiers en Australie, "prennent des mesures pour être résilientes face aux incidents de sécurité de l'information (y compris cyber-attaques) en maintenant une capacité de sécurité de l'information proportionnelle aux vulnérabilités et aux menaces de sécurité de l'information."
Plus précisément, la norme CPS 234 demande aux organisations de :
Un objectif clé de la norme est de minimiser l'impact des incidents de sécurité de l'information sur la confidentialité, l'intégrité et la disponibilité des actifs et des données gérés par des tiers. Ce post examine les dispositions clés de l'APRA CPS 234 qui régissent les exigences de sécurité de l'information des tiers et identifie les meilleures pratiques que vous pouvez utiliser pour répondre à ces exigences.
Mise en correspondance des capacités TPRM avec les exigences de l'APRA CPS 234
Examinez cette liste de contrôle pour comprendre les principales exigences en matière de gestion des risques liés aux tiers dans la norme de sécurité de l'information CPS 234 de l'Australian Prudential Regulation Authority (APRA).
La norme APRA est organisée en plusieurs catégories d'exigences. Nous avons identifié les plus applicables à la gestion des risques des tiers et les capacités des meilleures pratiques qui peuvent aider à répondre aux exigences.
Cette catégorie comprend des dispositions qui obligent les entreprises à identifier les responsables de la sécurité de l'information au sein de leur organisation et les fonctions qu'ils exercent. Elle encourage la formation d'équipes interfonctionnelles pour assurer une surveillance adéquate, ainsi que la gouvernance par le conseil d'administration.
Pour que la gestion des risques liés aux tiers soit un élément clé d'un programme global de sécurité de l'information, élaborez un programme complet de gestion des risques liés aux tiers (TPRM) en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risque et de conformité, en vous basant sur des meilleures pratiques éprouvées et une vaste expérience du monde réel. Dans le cadre de ce programme de gouvernance, vos équipes internes doivent définir :
Veillez à examiner chaque étape du cycle de vie des tiers - de la recherche et de la diligence raisonnable à la résiliation et à l'intégration - afin d'aligner les attentes sur la tolérance au risque de votre organisation.
Cette catégorie comprend l'obligation d'évaluer régulièrement les capacités des tiers en matière de sécurité des informations et de surveiller en permanence les menaces.
Pour aider à automatiser ce qui peut être un processus très lourd, envisagez :
Si vos ressources et votre expertise sont limitées, vous pouvez externaliser la gestion du cycle de vie du risque lié aux tiers, depuis l'intégration des fournisseurs et la collecte de preuves jusqu'à la fourniture de conseils en matière de remédiation et l'établissement de rapports sur les accords de niveau de service contractuels. Ainsi, vous réduisez le risque lié aux fournisseurs et simplifiez la conformité sans alourdir la charge du personnel interne.
La catégorie Cadre politique exige des entreprises qu'elles maintiennent une politique de sécurité et qu'elles veillent à ce que les équipes internes et les tiers en aient connaissance et y adhèrent, et à ce qu'elle soit régulièrement évaluée.
Comme la conformité peut être délicate et prendre du temps, tirez parti d'une méthodologie d'évaluation qui correspond aux principaux cadres de gouvernance de la sécurité de l'information tels que l'ISO. Grâce à cette capacité, vous pouvez visualiser et traiter les exigences de conformité dans le cadre qui s'applique le mieux à votre organisation.
Cette catégorie de la CPS 234 exige que les entités réglementées par l'APRA classent leurs actifs informationnels, y compris ceux gérés par des parties liées et des tiers, par criticité et sensibilité.
Pour lancer ce processus, définissez une méthodologie pour suivre et quantifier les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers devraient inclure les attributs suivants :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.
Ces catégories exigent des entreprises qu'elles disposent de contrôles de sécurité de l'information pour protéger les actifs informationnels, y compris ceux gérés par des parties liées et des tiers ; que ces contrôles soient proportionnés aux risques applicables à l'entreprise ; que leur conception soit régulièrement testée ; et que les déficiences qui ne peuvent être corrigées en temps voulu soient signalées au conseil d'administration ou à la direction générale.
Commencez par examiner les réponses et la documentation de l'évaluation d'un tiers par rapport aux protocoles de test établis afin de valider que les contrôles indiqués sont en place. Ensuite, faites correspondre les réponses aux cadres communs tels que SIG, ISO ou SOC 2 pour simplifier leur évaluation et suivre les mesures correctives jusqu'à leur achèvement.
Cette catégorie exige que les entités réglementées par l'APRA aient des politiques et des procédures en place pour détecter et répondre aux incidents de sécurité de l'information en temps opportun, y compris l'escalade, le signalement et la révision régulière des politiques.
La mise en place d'un processus de gestion des incidents testé et éprouvé est essentielle pour accélérer la découverte et l'atténuation des incidents. Les étapes clés comprennent la gestion centralisée des fournisseurs, l'évaluation des événements, la notation des risques identifiés, la corrélation avec la surveillance continue de cyber et l'accès aux conseils de remédiation.
Cette catégorie de l'APRA CPS 234 stipule que les activités d'audit interne doivent inclure un examen de la conception et de l'efficacité opérationnelle des contrôles de la sécurité de l'information, y compris ceux maintenus par les parties liées et les tiers (assurance du contrôle de la sécurité de l'information) ; et que l'assurance du contrôle de la sécurité de l'information doit être fournie par un personnel convenablement qualifié pour fournir une telle assurance.
Standardiser les évaluations de la sécurité de l'information par rapport à SOC 2, Cyber Essentials, ISO ou d'autres cadres de contrôle de la sécurité de l'information. Cette approche fournit aux équipes d'audit interne et de sécurité informatique une méthodologie centrale pour mesurer et démontrer l'adhésion aux contrôles informatiques internes. Ces mêmes évaluations sont également utilisées pour évaluer les contrôles de sécurité de l'information de tiers, ce qui permet d'obtenir une vue consolidée et globale de la sécurité de l'information.
La dernière catégorie de la norme APRA 234 exige que les entités réglementées par l'APRA notifient l'APRA dans les 72 heures après avoir pris connaissance d'un incident important lié à la sécurité de l'information, et dans les 10 jours ouvrables après avoir pris connaissance d'une faiblesse importante du contrôle de la sécurité de l'information qui ne peut être corrigée en temps voulu.
Pour répondre à cette exigence, il faut produire des rapports efficaces. L'analyse par apprentissage automatique (ML) permet de révéler les tendances en matière de risques, l'état des risques liés aux tiers et les exceptions aux comportements courants qui ne sont pas toujours évidents avec de simples rapports basés sur des feuilles de calcul. Ce niveau d'analyse vous aide à visualiser et à répondre aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec les cadres réglementaires et sectoriels, et à produire des rapports spécifiques à la réglementation en une fraction du temps qui est normalement consacré aux processus d'évaluation des risques manuels, basés sur des feuilles de calcul.
Prevalent peut aider votre organisation de services financiers à renforcer la gouvernance et la surveillance de ses relations avec les tiers :
Pour en savoir plus sur la façon dont Prevalent peut aider à répondre aux exigences de gestion des risques de tiers de cette norme, téléchargez la liste de contrôle complète de la conformité à la norme APRA CPS 234 ou demandez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024