Guide interagences sur les relations avec les tiers : Comment s'y conformer

2. Diligence raisonnable et sélection des tiers

Une fois qu'un tiers a été identifié, il est essentiel de procéder à un contrôle préalable approfondi avant de le sélectionner et de conclure un contrat. Le guide interagences sur les relations avec les tiers suggère que la diligence raisonnable devrait inclure l'évaluation de la capacité d'un tiers à effectuer l'activité comme prévu, à adhérer aux politiques, à se conformer à toutes les lois, réglementations et exigences applicables, et à opérer de manière sûre et saine.

Pour réussir cette étape, il faut évaluer et surveiller les tiers en fonction de l'ampleur des menaces qui pèsent sur les actifs informationnels, en saisissant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer les risques inhérents sont les suivants

• Type de contenu requis pour valider les contrôles
• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation financière et santé
• Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les tiers, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

3. Négociation du contrat

Les lignes directrices recommandent de revoir périodiquement les contrats existants, en particulier ceux qui impliquent des activités critiques, afin de s'assurer qu'ils continuent à prendre en compte les contrôles des risques et les protections juridiques pertinents.

Pour répondre à ces exigences, il faut centraliser la distribution, la discussion, la conservation et l'examen des contrats avec des tiers afin que toutes les équipes concernées puissent participer à l'examen des contrats pour s'assurer que les clauses appropriées sont incluses et gérées.

Les pratiques clés à prendre en compte dans la gestion des contrats avec des tiers sont les suivantes :

• Stockage centralisé des contrats
• Suivi de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
• Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
• Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
• Discussion centralisée des contrats et suivi des commentaires
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
• Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Une bonne gestion du cycle de vie des contrats permettra à l'organisation d'être efficace :

• Gérer les accords et les performances
• Appliquer les clauses de conservation des informations, de droit à l'audit et les mesures de remédiation
• Obtenir des rapports de conformité
• Exiger la résilience et la continuité des activités
• Apporter une visibilité sur la sous-traitance et les tiers basés à l'étranger

4. Contrôle continu

Les programmes efficaces de gestion des risques des tiers comprennent des évaluations périodiques des contrôles internes par rapport aux cadres normalisés de l'industrie et un suivi continu pour confirmer la qualité et la durabilité des contrôles des tiers.

Pour ce faire, il faut suivre et analyser en permanence les menaces externes qui pèsent sur les tiers en surveillant l'Internet et le dark web pour détecter les menaces et les vulnérabilités ( cyber ), ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance devraient inclure

• Des forums criminels, des milliers de pages en oignon, des forums d'accès spécial sur le dark web, des flux de menaces et des sites de collage d'informations d'identification ayant fait l'objet d'une fuite, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les mises à jour opérationnelles, etc.
• Les performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, etc.
• Sources relatives à la réputation, à la réglementation et aux sanctions, y compris les profils des personnes politiquement exposées, les listes de sanctions mondiales et les informations réglementaires et juridiques

Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.

5. Résiliation

Les organisations peuvent être exposées à des risques post-contractuels, mais les études montrent que peu d'entre elles gèrent les risques à la fin d'une relation. Le guide interagences indique qu'il est important que la direction mette fin aux relations avec les tiers de manière efficace, que les activités soient transférées à un autre tiers, qu'elles soient reprises en interne ou qu'elles soient interrompues.

Pour rationaliser le processus de retrait des fournisseurs, automatisez l'évaluation des contrats et les procédures de retrait afin de réduire le risque d'exposition post-contractuelle de votre organisation :

• Planifiez des tâches pour examiner les contrats afin de vous assurer que toutes les obligations ont été respectées. Émettez des évaluations de contrat personnalisables pour évaluer le statut.
• Exploitez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois pertinentes, les paiements finaux, etc.
• Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Tirez parti de l'analyse automatique intégrée des documents basée sur le traitement du langage naturel et l'apprentissage automatique d'AWS pour confirmer que les critères clés sont pris en compte.
• Prendre des mesures concrètes pour réduire les risques liés aux tiers grâce à des recommandations et des conseils intégrés en matière de remédiation.
• Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations avec n'importe quel règlement ou cadre.

Rationalisation de la conformité avec les lignes directrices interagences sur les relations avec les tiers

Il est pratiquement impossible de répondre efficacement aux exigences du guide si vous utilisez des feuilles de calcul pour collecter, analyser, remédier et rendre compte des contrôles de cybersécurité. Avec la plateforme de gestion des risques des tiersPrevalent , votre institution de services financiers peut automatiser et accélérer ses initiatives de conformité. La plateforme vous permet de :

• Mettre en place un programme de gestion des risques de tiers complet, agile et mature, fondé sur les meilleures pratiques éprouvées du secteur financier.
• Automatiser l'identification et l'évaluation des tiers critiques en fonction de leur criticité pour l'organisation
• Évaluer et surveiller en permanence les tiers en ce qui concerne les différents types de risques
• Fournir des recommandations automatisées de remédiation à des tiers afin de réduire le risque résiduel.
• Mesurer par rapport aux indicateurs de performance clés (KPI) et aux indicateurs de risque clés (KRI) contractuels.
• Simplifier les rapports d'audit des cadres réglementaires et de sécurité destinés à de multiples parties prenantes internes et externes
• Mettre en place des programmes normatifs de continuité des activités et de réponse aux incidents afin de s'assurer que les tiers disposent des politiques et des procédures nécessaires pour faire face aux risques émergents.
• Désengager les tiers en toute sécurité grâce à un processus normatif qui garantit que l'organisation n'est pas exposée à un risque résiduel permanent.

Pour en savoir plus sur le respect de la directive interagences sur les relations avec les tiers, téléchargez notre guide des meilleures pratiques ou contactez-nous pour planifier une démonstration.