Guide interagences sur les relations avec les tiers : Comment s'y conformer

L'Interagency Guidance on Third-Party Relationships aligne les exigences du U.S. Federal Reserve System, de la U.S. Federal Deposit Insurance Corporation et de l'Office of the Comptroller of the Currency. Voici les meilleures pratiques pour préparer votre programme de gestion des relations avec les tiers à la conformité.
Par :
Scott Lang
,
VP, Marketing produit
20 juin 2023
Partager :
Blog interagency guidance 0323

Le 6 juin 2023, le Conseil des gouverneurs du Système fédéral de réserve (le Conseil), la Federal Deposit Insurance Corporation (FDIC) et l'Office of the Comptroller of the Currency (OCC) ont publié des orientations uniformes sur la gestion des risques associés aux relations avec des tiers dans les organisations bancaires. Interagency Guidance on Third-Party Relationships : Risk Management est basé sur les orientations de 2013 et les FAQ de 2020 du site OCC. Elle remplace les orientations existantes de chaque agence sur les relations avec les tiers et s'applique à toutes les organisations bancaires supervisées par les agences.

La conformité totale étant attendue dans un délai de 12 mois, le moment est venu pour les banques réglementées d'examiner les recommandations et de déterminer l'impact sur leurs programmes de gestion des risques des tiers. Ce billet examine les objectifs de la directive et propose des bonnes pratiques pour s'y conformer.

L'objectif du guide interagences sur les relations avec les tiers

L'objectif de l'Interagency Guidance est d'apporter de l'uniformité et de la cohérence dans la manière dont les organisations bancaires développent et appliquent les principes de gestion des risques dans le cadre des relations avec les tiers. Selon le document, "les orientations finales présentent le point de vue des agences sur les principes sains de gestion des risques pour les organisations bancaires lors de l'élaboration et de la mise en œuvre des pratiques de gestion des risques à tous les stades du cycle de vie des relations avec les tiers".

Définition et principes relatifs aux tiers dans les lignes directrices interagences

Les lignes directrices définissent une relation avec un tiers comme "tout accord commercial entre un organisme bancaire et une autre entité, par contrat ou autrement";elles décrivent le cycle de vie de la gestion des risques liés aux tiers et identifient les principes applicables à chaque étape du cycle de vie d'un tiers, comme indiqué ci-dessous :

Lignes directrices interagences Cycle de vie des relations avec les tiers

Source : Conseil d'administration, FDIC et OCC

Comment se conformer au guide interagences sur les relations avec les tiers ?

Chacun des six principes énoncés dans le guide interagences sur les relations avec les tiers correspond à une étape du cycle de vie des tiers. Voici les principales exigences et les meilleures pratiques recommandées pour chaque étape.

1. La planification

Dès le début d'une relation avec un tiers, les lignes directrices recommandent d'évaluer les types et la nature des risques liés à la relation et d'élaborer un plan de gestion de la relation et des risques qui y sont associés. Dans le cadre du processus d'établissement ou d'affinement de votre programme de gestion des risques liés aux tiers, prenez en compte les éléments suivants :

  • Réglementer les politiques, les normes, les systèmes et les processus afin de protéger les systèmes et les données
  • Rôles et responsabilités (par exemple, RACI) de tous les membres de l'équipe concernés
  • Inventaires des tiers pour comprendre l'ampleur et la portée de l'implication des tiers
  • Classification par des tiers et approches de catégorisation
  • Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
  • Méthodes d'évaluation Méthodes d'évaluation et de suivi fondées sur la criticité des tiers
  • Participation des quatrième et neuvième parties à la fourniture de services essentiels
  • Sources de données de contrôle continu (cyber, affaires, réputation, finances)
  • Indicateurs clés de performance (ICP) et indicateurs clés de risque (ICR) pour évaluer votre programme et les tiers.
  • Exigences en matière de conformité et de rapports contractuels
  • Processus de réponse aux incidents
  • Rapports internes aux parties prenantes - pour la direction et le conseil d'administration
  • Stratégies d'atténuation des risques et de remédiation

Chacun de ces éléments est essentiel à l'élaboration d'un plan de programme de TPRM complet.

Aligner votre programme de TPRM sur les orientations interagences

Le guide interagences sur les relations avec les tiers : Best Practices Guide examine les exigences que les organisations doivent prendre en compte à chaque étape d'une relation avec un tiers.

Lire la suite
Ressources en vedette : orientations interagences

2. Diligence raisonnable et sélection des tiers

Une fois qu'un tiers a été identifié, il est essentiel de procéder à un contrôle préalable approfondi avant de le sélectionner et de conclure un contrat. Le guide interagences sur les relations avec les tiers suggère que la diligence raisonnable devrait inclure l'évaluation de la capacité d'un tiers à effectuer l'activité comme prévu, à adhérer aux politiques, à se conformer à toutes les lois, réglementations et exigences applicables, et à opérer de manière sûre et saine.

Pour réussir cette étape, il faut évaluer et surveiller les tiers en fonction de l'ampleur des menaces qui pèsent sur les actifs informationnels, en saisissant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer les risques inhérents sont les suivants

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les tiers, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

3. Négociation du contrat

Les lignes directrices recommandent de revoir périodiquement les contrats existants, en particulier ceux qui impliquent des activités critiques, afin de s'assurer qu'ils continuent à prendre en compte les contrôles des risques et les protections juridiques pertinents.

Pour répondre à ces exigences, il faut centraliser la distribution, la discussion, la conservation et l'examen des contrats avec des tiers afin que toutes les équipes concernées puissent participer à l'examen des contrats pour s'assurer que les clauses appropriées sont incluses et gérées.

Les pratiques clés à prendre en compte dans la gestion des contrats avec des tiers sont les suivantes :

  • Stockage centralisé des contrats
  • Suivi de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
  • Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Une bonne gestion du cycle de vie des contrats permettra à l'organisation d'être efficace :

  • Gérer les accords et les performances
  • Appliquer les clauses de conservation des informations, de droit à l'audit et les mesures de remédiation
  • Obtenir des rapports de conformité
  • Exiger la résilience et la continuité des activités
  • Apporter une visibilité sur la sous-traitance et les tiers basés à l'étranger

4. Contrôle continu

Les programmes efficaces de gestion des risques des tiers comprennent des évaluations périodiques des contrôles internes par rapport aux cadres normalisés de l'industrie et un suivi continu pour confirmer la qualité et la durabilité des contrôles des tiers.

Pour ce faire, il faut suivre et analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'Internet et le dark web pour détecter les menaces et les vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance devraient inclure

  • Des forums criminels, des milliers de pages en oignon, des forums d'accès spécial sur le dark web, des flux de menaces et des sites de collage d'informations d'identification ayant fait l'objet d'une fuite, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
  • Sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les mises à jour opérationnelles, etc.
  • Les performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, etc.
  • Sources relatives à la réputation, à la réglementation et aux sanctions, y compris les profils des personnes politiquement exposées, les listes de sanctions mondiales et les informations réglementaires et juridiques

Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.

5. Résiliation

Les organisations peuvent être exposées à des risques post-contractuels, mais les études montrent que peu d'entre elles gèrent les risques à la fin d'une relation. Le guide interagences indique qu'il est important que la direction mette fin aux relations avec les tiers de manière efficace, que les activités soient transférées à un autre tiers, qu'elles soient reprises en interne ou qu'elles soient interrompues.

Pour rationaliser le processus de retrait des fournisseurs, automatisez l'évaluation des contrats et les procédures de retrait afin de réduire le risque d'exposition post-contractuelle de votre organisation :

  • Planifiez des tâches pour examiner les contrats afin de vous assurer que toutes les obligations ont été respectées. Émettez des évaluations de contrat personnalisables pour évaluer le statut.
  • Exploitez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes, les paiements finaux, etc.
  • Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Tirez parti de l'analyse automatique intégrée des documents basée sur le traitement du langage naturel et l'apprentissage automatique d'AWS pour confirmer que les critères clés sont pris en compte.
  • Prendre des mesures concrètes pour réduire les risques liés aux tiers grâce à des recommandations et des conseils intégrés en matière de remédiation.
  • Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations avec n'importe quel règlement ou cadre.

Rationalisation de la conformité avec les lignes directrices interagences sur les relations avec les tiers

Il est pratiquement impossible de répondre efficacement aux exigences du guide si vous utilisez des feuilles de calcul pour collecter, analyser, remédier et rendre compte des contrôles de cybersécurité. Avec la plateforme de gestion des risques des tiersPrevalent , votre institution de services financiers peut automatiser et accélérer ses initiatives de conformité. La plateforme vous permet de :

  • Mettre en place un programme de gestion des risques de tiers complet, agile et mature, fondé sur les meilleures pratiques éprouvées du secteur financier.
  • Automatiser l'identification et l'évaluation des tiers critiques en fonction de leur criticité pour l'organisation
  • Évaluer et surveiller en permanence les tiers en ce qui concerne les différents types de risques
  • Fournir des recommandations automatisées de remédiation à des tiers afin de réduire le risque résiduel.
  • Mesurer par rapport aux indicateurs de performance clés (KPI) et aux indicateurs de risque clés (KRI) contractuels.
  • Simplifier les rapports d'audit des cadres réglementaires et de sécurité destinés à de multiples parties prenantes internes et externes
  • Mettre en place des programmes normatifs de continuité des activités et de réponse aux incidents afin de s'assurer que les tiers disposent des politiques et des procédures nécessaires pour faire face aux risques émergents.
  • Désengager les tiers en toute sécurité grâce à un processus normatif qui garantit que l'organisation n'est pas exposée à un risque résiduel permanent.

Pour en savoir plus sur le respect de la directive interagences sur les relations avec les tiers, téléchargez notre guide des meilleures pratiques ou contactez-nous pour planifier une démonstration.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo