Ligne directrice B-13 du BSIF - Conformité et gestion des risques liés aux tiers

Utilisez ce guide des bonnes pratiques pour améliorer la résilience face aux risques liés aux technologies tierces et à cyber .
Par :
Scott Lang
,
VP, Marketing produit
15 août 2024
Partager :
2024 Blog OSFI B13

La ligne directrice B-13 du BSIF, émise par le Bureau du surintendant des institutions financières (BSIF) au Canada, décrit les exigences en matière de gestion des risques pour développer une plus grande résilience face aux risques liés à la technologie et au site cyber - y compris ceux affichés par des tiers. Comme la ligne directrice B-10, qui traite de l'externalisation, la ligne directrice B-13 s'applique à toutes les institutions financières sous réglementation fédérale (IFF), y compris les succursales de banques étrangères et les succursales de compagnies d'assurance étrangères exerçant leurs activités au Canada.

Publiée initialement en juillet 2022, la ligne directrice B-13 est organisée en trois domaines, chacun ayant un résultat souhaité contribuant à la résilience face aux risques technologiques et aux risques liés au site cyber . Les résultats sont soutenus par 17 principes, eux-mêmes soutenus par des lignes directrices individuelles.

Le B-13 du BSIF et la gestion des risques liés aux tiers

En ce qui concerne la gestion des risques liés aux tiers, la ligne directrice B-13 souligne la nécessité pour les institutions financières de mettre en œuvre des stratégies globales pour gérer les risques liés à l'externalisation et aux relations avec les tiers. Le tableau ci-dessous résume les lignes directrices spécifiques à la gestion du risque de tiers dans la ligne directrice B-13 et fournit des recommandations de meilleures pratiques pour répondre aux exigences.

NOTE : Ce tableau ne résume que les exigences spécifiques aux risques des tiers. Pour une liste complète de toutes les exigences et de tous les principes, veuillez consulter l'intégralité des lignes directrices du BSIF.

Principes Meilleures pratiques du TPRM

Domaine : Gouvernance et gestion des risques

Ce domaine définit les attentes du BSIF en matière de responsabilité formelle, de leadership, de structure organisationnelle et de cadre utilisé pour soutenir la gestion des risques et la surveillance de la sécurité des technologies et du site cyber .

Résultat : Les risques liés à la technologie et au site cyber sont régis par des responsabilités et des structures claires, ainsi que par des stratégies et des cadres complets.

Principe 1 : La direction générale doit confier la responsabilité de la gestion des risques liés à la technologie et au site cyber à des cadres supérieurs. Elle doit également veiller à ce qu'une structure organisationnelle appropriée et des ressources adéquates soient en place pour gérer les risques technologiques et cyber dans l'ensemble de l'IFF.

Principe 2 : Les IFF doivent définir, documenter, approuver et mettre en œuvre un ou des plans stratégiques en matière de technologie et de cyber . Ce(s) plan(s) doit (doivent) s'aligner sur la stratégie de l'entreprise et fixer des buts et des objectifs mesurables et évolutifs en fonction des changements dans l'environnement technologique de l'IFF et du site cyber .

Recherchez des experts pour collaborer avec votre équipe à la définition et à la mise en œuvre de processus et de solutions de gestion des risques de tiers dans le contexte de votre approche globale de la gestion des risques, à la sélection de questionnaires et de cadres d'évaluation des risques et à l'optimisation de votre programme pour traiter l'ensemble du cycle de vie des risques de tiers - de l'approvisionnement et de la diligence raisonnable à la cessation d'activité et à l'abandon des activités.

Dans le cadre de ce processus, vous devez définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI).
  • Inventaires de tiers.
  • Une évaluation des risques et des seuils basés sur la tolérance au risque de votre organisation.
  • Méthodes d'évaluation et de contrôle basées sur la criticité des tiers.
  • Cartographie de la quatrième partie pour comprendre les risques dans l'écosystème étendu des fournisseurs.
  • Sources de données de contrôle continu (cyber, business, réputation, finances).
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI).
  • Politiques, normes, systèmes et processus régissant la protection des données.
  • Conformité et exigences de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

Principe 3 : Les IFF doivent mettre en place un cadre de gestion des risques technologiques et cyber . Ce cadre doit définir l'appétence pour les risques technologiques et cyber et définir les processus et les exigences de l'IFF en matière d'identification, d'évaluation, de gestion, de suivi et d'établissement de rapports sur les risques technologiques et cyber .

Recherchez une solution de gestion des risques qui propose une vaste bibliothèque d'évaluations des risques spécifiques au cadre - telles que ISO, NIST ou autres. Exploiter les évaluations de risques préétablies et spécifiques à un cadre pour simplifier le mappage des contrôles et l'établissement de rapports. Le cadre choisi doit s'aligner sur les exigences de l'entreprise en matière de gestion des risques.

Domaine : Opérations technologiques et résilience

Ce domaine définit les attentes du BSIF en matière de "gestion et de surveillance des risques liés à la conception, à la mise en œuvre, à la gestion et à la récupération des actifs et des services technologiques".

Résultat : Un environnement technologique stable, évolutif et résilient. L'environnement est maintenu à jour et soutenu par des processus d'exploitation et de récupération des technologies robustes et durables.

Principe 7 : Les IFF doivent mettre en œuvre un cycle de développement des systèmes (SDLC) pour le développement, l'acquisition et la maintenance sécurisés de systèmes technologiques qui fonctionnent comme prévu à l'appui des objectifs de l'entreprise.

Dans le cadre du processus de diligence raisonnable, exigez des fournisseurs qu'ils mettent à jour les nomenclatures de leurs produits logiciels. Cela vous aidera à identifier les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation.

Principe 10 : Les IFF doivent détecter, enregistrer, gérer, résoudre, contrôler et signaler efficacement les incidents technologiques et en minimiser l'impact.

Suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Dans ce cadre, surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance devraient inclure

  • Forums criminels, pages en oignon, forums d'accès spécial sur le dark web, flux de menaces et sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
  • Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse.

Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, il convient d'appliquer une notation et une hiérarchisation des risques selon un modèle de probabilité et d'impact. Ce modèle doit encadrer les risques dans une matrice, de sorte que vous puissiez facilement voir les risques ayant l'impact le plus élevé et prioriser les efforts de remédiation sur ceux-ci.

Attribuer des responsables et assurer le suivi des risques et des mesures correctives jusqu'à un niveau acceptable pour l'entreprise.

Principe 11 : Les IFF doivent élaborer des normes et des processus de service et de capacité pour contrôler la gestion opérationnelle de la technologie, en veillant à ce que les besoins de l'entreprise soient satisfaits.

Évaluer en permanence l'efficacité de votre programme de gestion des relations avec les tiers en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurant les indicateurs clés de performance (ICP) et les indicateurs clés de risque (ICR) des fournisseurs tiers tout au long du cycle de vie de la relation.

Domaine : Cyber security

Ce domaine définit les attentes du BSIF en matière de " gestion et de surveillance du risque cyber ".

Résultat : Une posture technologique sécurisée qui préserve la confidentialité, l'intégrité et la disponibilité des actifs technologiques de l'IFF.

Principe 14 : Les IFF doivent disposer d'un ensemble de pratiques, de capacités, de processus et d'outils permettant d'identifier et d'évaluer la sécurité du site cyber afin de déceler les faiblesses susceptibles d'être exploitées par des acteurs extérieurs ou internes.

Recherchez des solutions qui proposent une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation.
Les évaluations doivent être gérées de manière centralisée et s'appuyer sur des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important qu'une solution TPRM comprenne des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, il convient de suivre et d'analyser en permanence les menaces externes qui pèsent sur les tiers. Toutes les données de surveillance devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse.

Principe 17 : Les IFF doivent réagir aux incidents de sécurité ayant un impact sur leurs actifs technologiques, y compris les incidents provenant de fournisseurs tiers, les contenir, les rétablir et en tirer des enseignements ( cyber ).

Dans le cadre de votre stratégie globale de gestion des incidents, veillez à ce que votre programme de réponse aux incidents impliquant des tiers permette à votre équipe d'identifier rapidement les incidents de sécurité impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact.

Les capacités clés d'un service de réponse aux incidents d'une tierce partie sont les suivantes :

  • Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
  • Suivi en temps réel de la progression du remplissage du questionnaire
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Rapports proactifs sur les fournisseurs
  • Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Des règles de flux de travail pour déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'activité.
  • Modèles de rapports intégrés pour les parties prenantes internes et externes.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des fournisseurs en cas de violation de données.

Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts.

Respecter les directives du BSIF et assurer la résilience de l'entreprise

Téléchargez cette liste de contrôle complète pour comprendre et répondre aux exigences en matière de gestion des risques liés aux tiers énoncées dans le B-13 du BSIF.

Lire la suite
Liste de contrôle osfi b13

Meilleures pratiques pour répondre aux exigences de la ligne directrice BSIF B-13

Les exigences de la ligne directrice B-13 font partie d'un cadre plus large visant à garantir que les institutions financières gèrent efficacement les risques liés à la technologie et au site cyber , en particulier dans un contexte où les services de tiers sont de plus en plus utilisés. Commencez votre voyage vers la conformité avec ces pratiques :

  • Diligence raisonnable : Procéder à un contrôle préalable approfondi avant de nouer des relations avec des tiers. Il s'agit notamment d'évaluer la stabilité financière du tiers, sa réputation et l'adéquation de ses mesures de cybersécurité.
  • Contrats avec des tiers : Inclure dans les contrats avec des tiers des clauses spécifiques concernant les risques liés à la technologie et au site cyber . Il s'agit notamment de clauses relatives à la protection des données, au droit d'audit, au respect des indicateurs de performance clés et des seuils de risque clés, ainsi qu'aux exigences en matière de réponse aux incidents.
  • Évaluations des risques : Procéder à des évaluationsrégulières des risques pour comprendre les risques potentiels que peuvent poser les tiers, principalement en matière de technologie et de cybersécurité. Il s'agit notamment d'évaluer la manière dont les tiers traitent les données et l'impact potentiel des perturbations ou des violations de données.
  • Suivi et rapports : Surveiller en permanence les risques du site cyber , les performances des tiers et le respect des accords contractuels. Ils doivent disposer de processus permettant de signaler et de traiter rapidement tout problème ou manquement.
  • Gestion et réponse aux incidents : Veiller à ce que les tiers disposent de plans de gestion des incidents et d'intervention adéquats. Cela inclut des canaux de communication clairs et des protocoles pour répondre aux incidents sur le site cyber .
  • Continuité des activités et plans d'urgence : Veiller à ce que les tiers disposent de solides plans de continuité des activités qui s'alignent sur les plans d'urgence de l'institution. Cela permet de garantir la continuité des services essentiels en cas de perturbations.
  • Stratégies de résiliation et de sortie : Établir des stratégies et des procédures claires pour mettre fin aux relations avec les tiers et assurer une transition en douceur sans compromettre la sécurité ou la continuité des services.

Prochaines étapes de la mise en conformité avec le B-13 du BSIF

La ligne directrice B-13 du BSIF fournit un cadre complet pour assurer la résilience contre les risques technologiques et cyber - y compris ceux posés par des tiers. Si votre organisation examine ses pratiques de résilience, téléchargez notre liste de contrôle de conformité à la directive B-13 du BSIFou contactez Prevalent pour demander une démonstration.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo