Conformité à la loi européenne sur la résilience opérationnelle numérique

Section I : Principes clés pour une saine gestion des risques liés aux TIC avec des tiers

Article 25 : Principes généraux

"Les entités financières gèrent le risque lié aux tiers dans le domaine des TIC comme une composante à part entière du risque lié aux TIC dans leur cadre de gestion des risques liés aux TIC et conformément aux principes suivants ..." En résumé, les principes abordent des domaines tels que la gestion des contrats, la criticité des tiers, les rapports, la diligence raisonnable précontractuelle, les audits et les stratégies de sortie.

La plateforme de gestion des risques liés aux tiersPrevalent est une solution SaaS qui automatise les flux de travail nécessaires à l'identification, l'évaluation, la gestion, la surveillance continue, l'établissement de rapports et la correction des risques liés aux tiers en matière de sécurité informatique, de confidentialité, de conformité, d'exploitation et de chaîne d'approvisionnement tout au long du cycle de vie des fournisseurs.

Les principales fonctionnalités de la solution qui répondent aux exigences de l'article 25 comprennent :

• Gestion du cycle de vie du contrat pour garantir que les indicateurs clés de performance (ICP) sont établis et suivis dès le début de la relation.
• Profilage et hiérarchisation automatisés de tous les tiers afin de garantir que les fournisseurs sont gérés en fonction de la criticité des services et d'autres facteurs.
• Un profil central du fournisseur qui comprend des informations démographiques, des dépendances de quatrième partie, des informations financières, l'historique des violations de données et toute nouvelle défavorable qui pourrait avoir un impact sur la relation commerciale.
• Des évaluations complètes et automatisées de la diligence raisonnable pour s'assurer que les tiers ont mis en place des contrôles essentiels de sécurité informatique.
• Recommandations de remédiation intégrées pour atténuer le risque de faiblesses de sécurité informatique de tiers.
• Des dizaines de modèles de rapports de conformité pour rationaliser le processus d'audit.
• L'exclusion programmée des tiers pour réduire le risque d'exposition post-contractuelle de l'organisation.

Article 26 : Évaluation préliminaire du risque de concentration des TIC et accords de sous-traitance supplémentaires

L'article 26 comprend des dispositions visant à guider les entités dans l'évaluation du risque de concentration et du risque associé aux quatrième et Nième parties, y compris des recommandations pour la surveillance du risque et les exigences contractuelles.

Prevalent atténue les risques de concentration en identifiant les relations avec des tiers par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement.

Les fournisseurs sont surveillés afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour découvrir les sanctions et les personnes politiquement exposées (PEP) liées à chaque organisation.

Ensemble, ces capacités permettent d'identifier les risques de concentration de tiers et les quatrièmes parties dans l'écosystème étendu des fournisseurs.

Article 27 : Principales dispositions contractuelles

L'article 27 comprend des conseils pour s'assurer que les contrats avec les fournisseurs tiers comprennent des droits et des obligations qui peuvent être évalués en permanence.

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. La plateforme Prevalent offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Les principales fonctionnalités sont les suivantes

• Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates de début et de fin, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
• Flux de travail basés sur l'utilisateur ou le type de contrat pour automatiser la progression des cycles de vie des contrats.
• Rappels automatisés et avis de retard pour garder les examens sur la bonne voie
• Discussions et commentaires centralisés sur les contrats, avec la possibilité de limiter les discussions aux seuls participants internes.
• Stockage des contrats et des documents avec des autorisations basées sur des rôles et un suivi des pistes d'audit.
• des capacités de suivi du contrôle des versions qui permettent de revoir les modifications apportées aux documents hors ligne
• Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

En simplifiant le processus de gestion et de suivi des contrats des fournisseurs, des lignes rouges, des dates et d'autres attributs clés, Prevalent garantit le suivi des principales dispositions contractuelles jusqu'à leur aboutissement.

Section II : Cadre de surveillance des fournisseurs tiers de services TIC critiques

Article 28 : Désignation des fournisseurs tiers de services TIC critiques

L'article 28 identifie les critères clés que les entités doivent prendre en compte pour désigner leurs prestataires de services tiers comme critiques.

La plateforme TPRM Prevalent permet aux équipes de sécurité et de gestion des risques de classer automatiquement les fournisseurs en fonction de leurs scores de risque inhérent. Les résultats peuvent être utilisés pour fixer des niveaux appropriés de diligence raisonnable supplémentaire et pour déterminer la criticité et la portée des évaluations en cours.

Prevalent permet aux organisations de classer les tiers en fonction de multiples critères, notamment :

• Type de contenu requis pour valider les contrôles
• Criticité pour la performance de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes
• Niveau de dépendance à l'égard de tierces parties
• Exposition aux processus opérationnels ou de contact avec les clients
• Interaction avec les données protégées
• Situation et implications financières
• Réputation

Les capacités de hiérarchisation et de catégorisation de la plateforme Prevalent permettent aux organisations d'évaluer les tiers en fonction de leur criticité pour les opérations commerciales, tout en informant les efforts de diligence raisonnable.

Article 29 : Structure du cadre de surveillance

L'article 29 décrit comment établir et gouverner un programme de gestion des risques liés aux tiers, y compris l'identification des rôles clés.

Prevalent s'associe à ses clients pour élaborer des programmes complets de gestion des risques liés aux tiers (TPRM), fondés sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec les clients sur tous les aspects, de la définition des processus TPRM à la sélection des questionnaires d'évaluation et des cadres réglementaires, en passant par l'évaluation et l'optimisation continues du programme TPRM afin de couvrir l'ensemble du cycle de vie du risque tiers.

Dans le cadre de ce processus, Prevalent aide à définir :

• Rôles et responsabilités clairs (par exemple, RACI)
• Inventaires de tiers
• Notation des risques et seuils pour identifier les risques en fonction de l'appétit.
• Méthodologies d'évaluation et de surveillance basées sur la criticité des affaires
• Cartographie de la quatrième partie
• Sources des données de contrôle continu (cyber, business, réputation, financier)
• Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
• Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
• Conformité et exigences de rapports contractuels par rapport aux niveaux de service
• Exigences en matière de réponse aux incidents
• Rapports sur les risques et les parties prenantes internes
• Stratégies d'atténuation des risques et de remédiation

Article 32 : Demande d'information

Article 33 : Enquêtes générales

Les articles 32 et 33 expliquent comment mener des audits et autres enquêtes connexes, y compris l'identification des types de données à collecter.

Prevalent fournit les bases d'un programme mature de gestion des risques liés aux tiers en aidant les équipes de sécurité et de gestion des risques à traiter les risques à chaque étape du cycle de vie des fournisseurs. La plate-forme offre :

• Automatisation de l'entrée et de la sortie des fournisseurs.
• Profilage automatisé, hiérarchisation et évaluation du risque inhérent et résiduel.
• Cartographie automatisée de la quatrième partie et données démographiques sur les fournisseurs.
• Une vaste bibliothèque d'évaluations des risques standardisées et personnalisées avec création automatisée des risques, flux de travail, tâches et gestion des preuves à l'appui.
• Surveillance continue native des risques cyber, commerciaux, de réputation, de dépistage et financiers, afin de mettre en corrélation les risques avec les résultats de l'évaluation et de valider les conclusions.
• Des rapports au niveau de la direction, des programmes et des opérateurs, étayés par des analyses d'apprentissage automatique pour normaliser et corréler les résultats provenant de sources multiples.
• Rapports automatisés sur la conformité et les risques par cadre ou réglementation
• Gestion de la remédiation avec conseils intégrés
• Gestion des contrats et des appels d'offres pour faciliter une gestion plus complète des risques avant l'intégration.

Prevalent comprend plus de 750 modèles de questionnaires dans la bibliothèque d'enquêtes de sa plateforme, ainsi que des dizaines de milliers d'évaluations réalisées dans les échanges de son réseau. Cela permet aux organisations d'évaluer les tiers par rapport à de multiples domaines de risque, de la cybersécurité et de la confidentialité des données à la résilience commerciale et opérationnelle.

Article 34 : Inspections sur place

L'article 24 décrit les processus d'examen et d'audit des contrôles sur place.

Leservice de validation des contrôles Prevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués.

Prevalent Les experts examinent d'abord les réponses aux évaluations, puis les mettent en correspondance avec les cadres de contrôle SIG, SCA, ISO, SOC II, AITECH et/ou autres. Nous travaillons également avec les clients pour élaborer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options disponibles à distance et sur site, Prevalent offre l'expertise nécessaire pour aider les organisations à réduire les risques avec leurs ressources existantes.

Article 35 : Contrôle permanent

L'article 35 décrit les processus de gestion continue d'un programme de gestion des risques pour les tiers, y compris la surveillance continue et les obligations de rapports réguliers aux autorités compétentes.

Pour simplifier la surveillance continue des programmes de gestion des risques des tiers, Prevalent offre une surveillance continue des risques, des conseils de remédiation et des rapports de conformité.

Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Prevalent intègre et met en corrélation la surveillance continue et les aperçus de profil avec les résultats d'évaluation afin de fournir un emplacement central pour visualiser et agir sur les risques.

Des recommandations de remédiation intégrées accélèrent l'atténuation des risques avec les tiers. Les organisations peuvent utiliser la plate-forme pour communiquer avec les fournisseurs et coordonner les efforts de remédiation, ainsi que pour capturer et auditer les conversations ; enregistrer les dates d'achèvement estimées ; accepter ou rejeter les réponses d'évaluation individuelles ; attribuer des tâches en fonction des risques, des documents ou des entités ; et faire correspondre la documentation et les preuves aux risques.
La plate-forme comprend des dizaines de modèles de rapports de conformité et de risque préétablis par cadre ou par réglementation afin de simplifier les audits en cours.