Loi européenne sur la résilience opérationnelle numérique (DORA) et gestion des risques liés aux tiers

DORA Chapitre V : Gestion des risques liés aux TIC pour les tiers

Le chapitre V du DORA passe en revue les contrôles et processus requis à la section I et les mécanismes de surveillance d'un régime réglementaire à la section II.

Section I : Principes clés pour une saine gestion des risques liés aux TIC avec des tiers

La section I : Principes clés pour une gestion saine du risque lié aux TIC fournies par des tiers vise à garantir que les entités financières gèrent et atténuent de manière appropriée les risques découlant de leur utilisation de services TIC fournis par des tiers. Un résumé de ces exigences est inclus ci-dessous.

Cadre de gestion des risques

Les entités financières sont tenues d'évaluer les risques liés aux fournisseurs tiers de TIC. Il s'agit notamment d'évaluer les risques opérationnels potentiels, les risques de concentration et les risques systémiques. Les organisations doivent tenir compte de la criticité des services fournis. Le degré de gestion et de surveillance des risques doit être proportionnel à la criticité et à l'impact potentiel du service TIC tiers sur l'entité financière. C'est ce que l'on appelle le principe de proportionnalité.

Diligence raisonnable

Les entités financières doivent faire preuve d'une grande diligence avant de conclure des contrats avec des prestataires de services TIC tiers. Cette évaluation doit porter sur la capacité du prestataire à fournir des services fiables, sûrs et conformes aux attentes réglementaires. Après la signature du contrat, un suivi continu est nécessaire pour s'assurer que les fournisseurs tiers maintiennent le niveau attendu de résilience opérationnelle, y compris leur conformité aux normes de sécurité.

Exigences contractuelles

Les contrats entre les entités financières et les fournisseurs de services TIC tiers doivent comprendre des dispositions détaillées sur la gestion des risques, garantissant la responsabilité du fournisseur dans l'atténuation des risques et la continuité opérationnelle. Les contrats doivent également comprendre des clauses sur les droits de résiliation, permettant à l'entité financière de mettre fin à la relation si le tiers ne respecte pas les exigences réglementaires ou de résilience opérationnelle. Les entités financières doivent disposer de stratégies de sortie documentées et répétées pour les services TIC critiques, leur permettant de maintenir la résilience opérationnelle si un fournisseur de services clé n'est plus disponible.

Gestion du risque de concentration et de dépendance

Les entités financières doivent surveiller les risques de concentration liés aux fournisseurs tiers de TIC, en particulier lorsque seuls quelques fournisseurs dominent le marché. Les organisations doivent élaborer des plans d'urgence pour faire face aux perturbations potentielles causées par une telle concentration. Pour atténuer les risques de concentration, les entités sont encouragées à diversifier leurs fournisseurs de services TIC dans la mesure du possible.

Registre des risques liés aux TIC et aux tiers

Les entités financières doivent tenir un registre de tous les fournisseurs et services TIC tiers, qui comprend des détails sur les contrats, la criticité des services et l'évaluation des risques. Ce registre doit être régulièrement mis à jour et mis à disposition pour les examens réglementaires.

Test de résilience

Le DORA exige des entités financières qu'elles testent les capacités de résilience opérationnelle de leurs fournisseurs de TIC. Il s'agit d'effectuer des simulations ou des tests de résistance afin d'évaluer dans quelle mesure le tiers pourrait faire face à une perturbation majeure ou à une cyberattaque.

Sous-traitance

Si un fournisseur de TIC tiers sous-traite des parties du service, l'entité financière doit s'assurer que le sous-traitant est également soumis aux mêmes normes de diligence raisonnable, de contrôle et de gestion des risques.

Scénarios de risques pour les tiers

Les entités financières sont encouragées à analyser différents scénarios de risques pour les tiers, tels que les cyberattaques ou les pannes à grande échelle, et à élaborer des plans de récupération et d'urgence pour de tels événements.

Section II : Cadre de surveillance des fournisseurs tiers de services TIC critiques

La section II : Cadre de surveillance des prestataires de services TIC tiers critiques établit des règles et des exigences concernant la supervision et la surveillance réglementaire des prestataires de services TIC tiers critiques (PSTC). Elle prévoit la nomination d'un superviseur principal chargé de superviser les pratiques de gestion des risques et de résilience du fournisseur, le pouvoir de mener des inspections et des tests de résilience, ainsi que des exigences en matière de notification des incidents et des mesures correctives.

Le DORA introduit des mécanismes de surveillance directe pour les fournisseurs tiers de TIC critiques, exigeant d'eux qu'ils se conforment à des normes supplémentaires en matière de reporting et de résilience opérationnelle. L'objectif est de s'assurer que ces fournisseurs de TIC critiques respectent des normes élevées de résilience opérationnelle et contribuent à la stabilité globale du système financier.

Comment Prevalent peut aider à simplifier la conformité de la gestion des risques des tiers avec la loi DORA

Le chapitre V, section I, articles 28-30 de la loi sur la résilience opérationnelle numérique (DORA) établit plusieurs exigences visant à garantir que les entités financières gèrent et atténuent de manière appropriée les risques découlant de leur utilisation de services de technologies de l'information et de la communication (TIC) fournis par des tiers. Il s'agit des pratiques que les professionnels du TPRM devraient mettre en œuvre pour répondre aux exigences de surveillance réglementaire de la section II.

Cependant, il est impossible d'évaluer, de contrôler et de gérer de manière adéquate le respect des exigences DORA par des tiers en utilisant des méthodes d'évaluation des risques manuelles et basées sur des feuilles de calcul. Prevalent peut vous aider.

La plateforme de gestion des risques des tiers (TPRM)Prevalent est une solution centralisée et automatisée qui permet d'évaluer, de surveiller et de gérer les risques liés aux fournisseurs de services tiers dans le cadre d'un programme plus large de cybersécurité et de gestion des risques de l'entreprise. Avec Prevalent, votre équipe peut :

• Centraliser la distribution, la discussion, la conservation et l'examen des contrats des fournisseurs de services tiers pour s'assurer que les exigences clés sont incluses, convenues et appliquées avec des indicateurs de performance clés (KPI) et des indicateurs de risque clés (KRI). Prevalent Contract Essentials est doté d'un flux de travail qui permet aux fournisseurs sous contrat de faire l'objet d'un contrôle préalable formel.
• Dresser un inventaire complet de tous les fournisseurs de services tiers et des dépendances des quatrième et neuvième parties, ainsi que des concentrations en tant que registre unique de vérité des tiers pour les parties prenantes de l'entreprise.
• Évaluer le risque inhérent afin d'établir le profil des fournisseurs de services, de les classer par niveau et par catégorie, et de déterminer la portée et la fréquence appropriées des activités de diligence raisonnable en cours.
• Automatiser l'évaluation des risques de résilience et le processus de remédiation à chaque étape du cycle de vie des tiers grâce à une bibliothèque étendue de plus de 750 modèles de questionnaires adaptés à de multiples cadres de meilleures pratiques et à des conseils de remédiation intégrés.
• Suivre et analyser en permanence les menaces externes pesant sur les tiers en surveillant l' Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber et en intégrant ces informations pour valider les contrôles des fournisseurs de services tiers.
• Automatisez la réponse aux incidents des tiers grâce à une surveillance programmatique, des évaluations et une gestion des réponses.
• Automatisez l'évaluation des contrats et les procédures d'abandon pour réduire le risque d'exposition post-contractuelle de votre organisation.

Pour en savoir plus sur la façon dont Prevalent peut simplifier la conformité de la gestion des risques des tiers avec la loi DORA, téléchargez notre liste de contrôle complète sur la gestion des risques des tiers avec la loi DORA ou demandez une démonstration dès aujourd'hui .