Évaluer les tiers pour garantir la résilience de l'entreprise
L'Autorité australienne de régulation prudentielle (APRA ) a mis en œuvre la norme réglementaire CPS 234 en juillet 2019, en réponse à la menace constante de cyberattaques visant les organisations de services financiers.
La norme CPS 234 exige que toutes les organisations de services financiers en Australie "prennent des mesures pour être résilientes contre les incidents de sécurité de l'information (y compris cyber-attacks) en maintenant une capacité de sécurité de l'information proportionnelle aux vulnérabilités et aux menaces de sécurité de l'information".
Un objectif clé de la norme est de minimiser l'impact des incidents de sécurité de l'information sur la confidentialité, l'intégrité et la disponibilité des actifs et des données gérés par des tiers. Laplateforme de gestion des risques des tiers Prevalent aide les organisations à élaborer et à gérer leurs programmes TPRM conformément aux exigences de l'APRA.
Définir les rôles et les responsabilités du conseil d'administration, des cadres supérieurs, des organes directeurs et des individus en matière de sécurité de l'information.
Maintenir une capacité de sécurité de l'information qui permette la résilience opérationnelle et qui soit proportionnée à l'ampleur des menaces pesant sur ses actifs informationnels.
mettre en place des contrôles pour protéger ses actifs informationnels en fonction de leur criticité et de leur sensibilité, et tester systématiquement l'efficacité de ces contrôles
Notifier à l'APRA les incidents importants liés à la sécurité des informations
Mise en correspondance des capacités TPRM avec les exigences de l'APRA CPS 234
Examinez cette liste de contrôle pour comprendre les principales exigences en matière de gestion des risques liés aux tiers dans la norme de sécurité de l'information CPS 234 de l'Australian Prudential Regulation Authority (APRA).
Satisfaire aux exigences de l'APRA CPS 234 en matière de gestion des risques liés aux tiers.
Cette section met en correspondance les capacités de la plateforme de gestion des risques des tiers Prevalent avec certains articles de la norme de sécurité de l'information CPS 234 de l'Autorité australienne de réglementation prudentielle (APRA).
REMARQUE : Il s'agit uniquement d'un résumé des articles les plus pertinents, qui ne doit pas être considéré comme un guide complet et définitif. Pour une liste complète des articles, veuillez examiner le document complet en détail et consulter votre auditeur.
Exigences | Quelle aide nous apportons |
---|---|
Rôles et responsabilités |
|
13. Le conseil d'administration d'une entité réglementée par l'APRA (conseil d'administration) est responsable en dernier ressort de la sécurité des informations de l'entité. Le Conseil doit s'assurer que l'entité maintient la sécurité de l'information d'une manière proportionnelle à la taille et à l'étendue des menaces sur ses actifs informationnels, et qui permet le maintien d'un fonctionnement sain de l'entité. 14. Une entité réglementée par l'APRA doit définir clairement les rôles et les responsabilités en matière de sécurité de l'information du conseil d'administration, de la direction générale, des organes directeurs et des personnes chargées de la prise de décision, de l'approbation, de la surveillance, des opérations et des autres fonctions de sécurité de l'information. |
Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risques et de conformité, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers - de la recherche de sources d'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration - en fonction de l'appétit pour le risque de votre organisation. Dans le cadre de ce processus, Prevalent peut vous aider à définir :
|
Capacité en matière de sécurité de l'information |
|
15. Une entité réglementée par l'APRA doit maintenir une capacité de sécurité de l'information proportionnelle à la taille et à l'étendue des menaces pesant sur ses actifs informationnels, et qui permet le maintien d'un fonctionnement sain de l'entité. |
Voir Rôles et responsabilités (13 et 14) ci-dessus. |
16. Lorsque les actifs informationnels sont gérés par une partie liée ou un tiers, l'entité réglementée par l'APRA doit évaluer la capacité de sécurité de l'information de cette partie, proportionnellement aux conséquences potentielles d'un incident de sécurité de l'information affectant ces actifs. |
Prevalent offre une bibliothèque de plus de 750 modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations peuvent être réalisées au moment de l'intégration, du renouvellement du contrat ou à n'importe quelle fréquence (trimestrielle ou annuelle, par exemple). Les évaluations sont gérées de manière centralisée dans la plateforme Prevalent . Elles s'appuient sur des fonctionnalités de flux de travail, de gestion des tâches et d'examen automatisé des preuves pour permettre une visibilité des risques liés aux tiers tout au long de la relation avec le vendeur ou le fournisseur. Il est important de noter que Prevalent fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante. Pour les organisations dont les ressources et l'expertise sont limitées, Prevalent peut gérer le cycle de vie du risque lié aux tiers en votre nom, depuis l'intégration des fournisseurs et la collecte de preuves jusqu'à la fourniture de conseils sur les mesures correctives et l'établissement de rapports sur les accords de niveau de service contractuels. Ainsi, vous réduisez les risques liés aux fournisseurs et simplifiez la conformité sans alourdir la charge du personnel interne. |
17. Une entité réglementée par l'APRA doit maintenir activement sa capacité de sécurité de l'information en ce qui concerne les changements dans les vulnérabilités et les menaces, y compris ceux résultant de changements dans les actifs d'information ou dans son environnement commercial. |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation (notée au point 16 ci-dessus) et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, les rapports et les initiatives de réponse. Les sources de surveillance comprennent :
Comme toutes les menaces ne sont pas des cyberattaques directes, Prevalent incorpore également des données provenant des sources suivantes pour ajouter du contexte aux conclusions de cyber :
|
Cadre politique |
|
18. Une entité réglementée par l'APRA doit maintenir un cadre de politique de sécurité de l'information proportionnel à ses expositions aux vulnérabilités et aux menaces. 19. Le cadre de politique de sécurité de l'information d'une entité réglementée par l'APRA doit fournir des directives sur les responsabilités de toutes les parties qui ont l'obligation de maintenir la sécurité de l'information. |
La plateforme Prevalent propose une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation des risques par des tiers, y compris ceux qui correspondent aux principaux cadres de gouvernance de la sécurité de l'information tels que l'ISO. Les rapports vous permettent de visualiser et de répondre aux exigences de conformité en mettant automatiquement en correspondance les résultats des évaluations et les flux de données avec les exigences et les cadres réglementaires. |
Identification et classification des actifs informationnels |
|
20. Une entité réglementée par l'APRA doit classer ses actifs informationnels, y compris ceux gérés par des parties liées et des tiers, par criticité et sensibilité. Cette classification doit refléter le degré auquel un incident de sécurité de l'information affectant un actif informationnel a le potentiel d'affecter, financièrement ou non, l'entité ou les intérêts des déposants, assurés, bénéficiaires ou autres clients. |
Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de l'ampleur des menaces pesant sur leurs actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par catégories, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. |
Mise en œuvre des contrôles |
|
21. Une entité réglementée par l'APRA doit disposer de contrôles de sécurité de l'information pour protéger ses actifs informationnels, y compris ceux gérés par des parties liées et des tiers, qui sont mis en œuvre en temps opportun et qui sont proportionnés : (a) les vulnérabilités et les menaces pesant sur les actifs informationnels ; (b) la criticité et la sensibilité des actifs informationnels ; (c) le stade auquel se trouvent les actifs informationnels dans leur cycle de vie ; et (d) les conséquences potentielles d'un incident de sécurité de l'information. |
Prevalent automatise les évaluations de risques afin d'étendre la visibilité, l'efficacité et l'échelle de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers. Avec une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports. Avec Prevalent, vous pouvez facilement rassembler et corréler les renseignements sur un large éventail de contrôles des fournisseurs afin de déterminer les menaces pour la gestion de l'information, en fonction de la criticité du tiers, telle que déterminée par l'évaluation du risque inhérent. Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre unique des risques avec des cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à cet aperçu, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques. |
22. Lorsque les actifs informationnels d'une entité réglementée par l'APRA sont gérés par une partie liée ou un tiers, l'entité réglementée par l'APRA doit évaluer la conception des contrôles de sécurité de l'information de cette partie qui protège les actifs informationnels de l'entité réglementée par l'APRA. |
Leservice de validation des contrôles Prevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués. Prevalent Les experts examinent d'abord les réponses aux évaluations, qu'elles proviennent de questionnaires personnalisés ou standardisés. Nous mettons ensuite les réponses en correspondance avec les cadres de contrôle SIG, SCA, ISO, SOC II, AITECH et/ou autres. Enfin, nous travaillons avec vous pour élaborer des plans de remédiation et en assurer le suivi jusqu'à leur achèvement. Avec des options à distance disponibles, Prevalent offre l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes. |
Gestion des incidents |
|
23. Une entité réglementée par l'APRA doit avoir des mécanismes solides en place pour détecter et répondre aux incidents de sécurité de l'information en temps opportun. 24. Une entité réglementée par l'APRA doit maintenir des plans pour répondre aux incidents de sécurité de l'information que l'entité considère comme pouvant se produire de manière plausible (plans de réponse de sécurité de l'information). 25. Les plans d'intervention en matière de sécurité des informations d'une entité réglementée par l'APRA doivent inclure les mécanismes en place pour : (a) la gestion de toutes les étapes pertinentes d'un incident, de la détection à l'examen post-incident ; et (b) l'escalade et le signalement des incidents de sécurité de l'information au conseil d'administration, aux autres organes directeurs et aux personnes responsables de la gestion et de la surveillance des incidents de sécurité de l'information, selon le cas. 26. Une entité réglementée par l'APRA doit revoir et tester chaque année ses plans d'intervention en matière de sécurité de l'information afin de s'assurer qu'ils restent efficaces et adaptés à leur objectif. |
Prevalent permet à votre équipe d'identifier rapidement les incidents impliquant des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact en centralisant la gestion des fournisseurs, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant une corrélation avec la surveillance continue de cyber et en accédant à des conseils de remédiation. Les principales fonctionnalités comprennent :
|
Tester l'efficacité des contrôles |
|
27. Une entité réglementée par l'APRA doit tester l'efficacité de ses contrôles de sécurité de l'information au moyen d'un programme de tests systématiques. La nature et la fréquence des tests systématiques doivent être proportionnées à : (a) le rythme auquel les vulnérabilités et les menaces évoluent ; (b) la criticité et la sensibilité de l'actif informationnel ; (c) les conséquences d'un incident de sécurité de l'information ; (d) les risques liés à l'exposition à des environnements dans lesquels l'entité réglementée par l'APRA n'est pas en mesure d'appliquer ses politiques de sécurité de l'information ; et (e) l'importance et la fréquence des modifications apportées aux actifs informationnels. 28. Lorsque les actifs informationnels d'une entité réglementée par l'APRA sont gérés par une partie liée ou un tiers, et que l'entité réglementée par l'APRA dépend des tests de contrôle de la sécurité de l'information de cette partie, l'entité réglementée par l'APRA doit évaluer si la nature et la fréquence des tests des contrôles relatifs à ces actifs informationnels sont proportionnées aux paragraphes 27(a) à 27€ de la présente norme prudentielle. |
Voir Mise en œuvre des contrôles (22), ci-dessus. |
29. Une entité réglementée par l'APRA doit faire remonter et signaler au conseil d'administration ou à la direction générale tout résultat de test identifiant des déficiences de contrôle de la sécurité de l'information qui ne peuvent pas être corrigées en temps utile. |
Prevalent vous aide à révéler les tendances en matière de risques, l'état des risques liés aux tiers et les exceptions aux comportements habituels, grâce à l'apprentissage automatique (ML) intégré et à des vues de rapport personnalisables et basées sur les rôles. En outre, Prevalent permet de mesurer de manière centralisée les KRI des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs, en fournissant un cadre de mesure par rapport aux exigences. Grâce à cette capacité, vous pouvez rapidement identifier les valeurs aberrantes qui justifient une enquête plus approfondie, transmettre les bonnes données aux bonnes personnes et déterminer efficacement l'acceptabilité des risques. |
30. Une entité réglementée par l'APRA doit s'assurer que les tests sont effectués par des spécialistes suffisamment qualifiés et fonctionnellement indépendants. 31. Une entité réglementée par l'APRA doit examiner la suffisance du programme de test au moins une fois par an ou lorsqu'un changement important est apporté aux actifs informationnels ou à l'environnement commercial. |
Voir la mise en œuvre des contrôles (22) ci-dessus. |
Audit interne |
|
32. Les activités d'audit interne d'une entité réglementée par l'APRA doivent inclure un examen de la conception et de l'efficacité opérationnelle des contrôles de sécurité de l'information, y compris ceux maintenus par les parties liées et les tiers (assurance du contrôle de la sécurité de l'information). |
Prevalent standardise les évaluations par rapport à SOC 2, Cyber Essentials, ISO et d'autres cadres de contrôle de la sécurité de l'information, fournissant ainsi aux équipes d'audit interne et de sécurité informatique une plateforme centrale pour mesurer et démontrer l'adhésion aux mandats de contrôles informatiques internes. Ces mêmes évaluations sont également utilisées pour évaluer les contrôles de sécurité de l'information de tiers, ce qui permet d'obtenir une vue consolidée et globale de la sécurité de l'information. |
33. Une entité réglementée par l'APRA doit s'assurer que l'assurance du contrôle de la sécurité de l'information est fournie par un personnel convenablement qualifié pour fournir une telle assurance. |
Voir la mise en œuvre des contrôles (22) ci-dessus. |
34. La fonction d'audit interne d'une entité réglementée par l'APRA doit évaluer l'assurance du contrôle de la sécurité des informations fournie par une partie liée ou un tiers lorsque : (a) un incident de sécurité de l'information affectant les actifs informationnels a le potentiel d'affecter matériellement, financièrement ou non, l'entité ou les intérêts des déposants, des assurés, des bénéficiaires ou d'autres clients ; et (b) l'audit interne a l'intention de s'appuyer sur l'assurance du contrôle de la sécurité des informations fournie par la partie liée ou le tiers. |
La plateforme Prevalent comprend un moteur d'automatisation et de règles qui suggère automatiquement des actions ou modifie les scores de risques en fonction des résultats de l'évaluation et des flux de données externes. Grâce à cette fonctionnalité, vous pouvez créer automatiquement des tâches basées sur des événements et les assigner à des propriétaires pour suivre les problèmes jusqu'à leur conclusion. Cela permet d'accélérer les délais de réduction des risques. Prevalent surveille également en permanence les changements en matière de cybersécurité, d'activité, de réputation et de finances qui peuvent avoir un impact important sur la relation avec un tiers. Les résultats sont corrélés aux évaluations de tiers pour une approche complète et validée de la gestion des risques liés aux tiers. |
Notification ARPA |
|
35. Une entité réglementée par l'APRA doit notifier l'APRA dès que possible et, dans tous les cas, au plus tard 72 heures, après avoir pris connaissance d'un incident de sécurité des informations qui : (a) a affecté ou était susceptible d'affecter sensiblement, financièrement ou non, l'entité ou les intérêts des déposants, assurés, bénéficiaires ou autres clients ; ou (b) a été notifié à d'autres régulateurs, que ce soit en Australie ou dans d'autres juridictions. 36. Une entité réglementée par l'APRA doit notifier l'APRA dès que possible et, dans tous les cas, au plus tard 10 jours ouvrables, après avoir pris connaissance d'une faiblesse importante du contrôle de la sécurité de l'information à laquelle l'entité s'attend à ne pas pouvoir remédier en temps voulu. |
Prevalent révèle les tendances en matière de risques, l'état des risques liés aux tiers et les exceptions aux comportements habituels, grâce à l'apprentissage automatique (ML) intégré et aux rapports personnalisables en fonction du rôle. Avec Prevalent, vous pouvez visualiser et répondre aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec les cadres réglementaires et sectoriels. Vous pouvez également produire des rapports spécifiques à la réglementation en une fraction du temps qui est normalement consacré aux processus d'évaluation des risques manuels, basés sur des feuilles de calcul. |
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Découvrez les meilleures pratiques pour répondre aux exigences clés de sécurité de l'information des tiers dans APRA CPS 234.
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
Utilisez ce guide pour répondre aux exigences d'externalisation de l'Autorité de régulation prudentielle (PRA) de la Banque d'Angleterre....