Simplifier les évaluations de tiers DORA
La loi sur la résilience opérationnelle numérique (DORA ) vise à garantir que le secteur financier européen soit en mesure de maintenir sa résilience en cas de graves perturbations opérationnelles.
DORA définit des exigences uniformes pour la sécurité des réseaux et des systèmes d'information des entreprises et des organisations opérant dans le secteur financier, telles que les banques, les compagnies d'assurance et les entreprises d'investissement.
DORA crée un cadre réglementaire pour la résilience opérationnelle numérique en vertu duquel toutes les entreprises doivent confirmer qu'elles peuvent résister, répondre et se rétablir d'un large éventail de perturbations des TIC et de menaces cyber . Elle s'applique également aux tiers essentiels qui fournissent des services TIC (technologies de l'information et de la communication) au secteur des services financiers, tels que des plateformes en nuage ou des services d'analyse de données.
Gérer le risque lié aux TIC pour les tiers comme une composante intégrale de tous les risques liés aux TIC.
Évaluer le risque de concentration et le risque associé aux quatrième et Nième parties.
Veillez à ce que les contrats des fournisseurs tiers comportent des droits et des obligations qui peuvent être évalués en permanence.
Appliquer une méthodologie cohérente pour évaluer les tiers critiques.
Établir et gouverner un programme de gestion des risques liés aux tiers, y compris l'identification des rôles clés.
Réaliser des audits et des inspections sur place, et suivre le programme dans le temps.
Liste de contrôle de la conformité des tiers à la DORA
Cette liste de contrôle complète examine les articles clés du chapitre V de DORA : Managing of ICT Third-Party Risk et fournit des conseils pour répondre aux exigences.
Mise en correspondance des capacités de Prevalent avec les exigences du DORA Chapitre V : Gestion des risques liés aux TIC pour les tiers
Le chapitre V comprend plusieurs dispositions visant à garantir que les organisations établissent et maintiennent un programme rigoureux de gestion des risques liés aux tiers.
REMARQUE : Ces informations sont présentées à titre indicatif uniquement. Les organisations doivent examiner les exigences DORA dans leur intégralité en consultation avec leurs auditeurs.
Description | Quelle aide nous apportons |
---|---|
Section I : Principes clés pour une saine gestion des risques liés aux TIC avec des tiers |
|
Article 25 : Principes généraux "Les entités financières gèrent le risque lié aux tiers dans le domaine des TIC comme une composante à part entière du risque lié aux TIC dans leur cadre de gestion des risques liés aux TIC et conformément aux principes suivants ..." En résumé, les principes abordent des domaines tels que la gestion des contrats, la criticité des tiers, les rapports, la diligence raisonnable précontractuelle, les audits et les stratégies de sortie. |
La plateforme de gestion des risques liés aux tiersPrevalent est une solution SaaS qui automatise les flux de travail nécessaires à l'identification, l'évaluation, la gestion, la surveillance continue, l'établissement de rapports et la correction des risques liés aux tiers en matière de sécurité informatique, de confidentialité, de conformité, d'exploitation et de chaîne d'approvisionnement tout au long du cycle de vie des fournisseurs. Les principales fonctionnalités de la solution qui répondent aux exigences de l'article 25 comprennent :
|
Article 26 : Évaluation préliminaire du risque de concentration des TIC et accords de sous-traitance supplémentaires L'article 26 comprend des dispositions visant à guider les entités dans l'évaluation du risque de concentration et du risque associé aux quatrième et Nième parties, y compris des recommandations pour la surveillance du risque et les exigences contractuelles. |
Prevalent atténue les risques de concentration en identifiant les relations avec des tiers par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement. Les fournisseurs sont surveillés afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour découvrir les sanctions et les personnes politiquement exposées (PEP) liées à chaque organisation. Ensemble, ces capacités permettent d'identifier les risques de concentration de tiers et les quatrièmes parties dans l'écosystème étendu des fournisseurs. |
Article 27 : Principales dispositions contractuelles L'article 27 comprend des conseils pour s'assurer que les contrats avec les fournisseurs tiers comprennent des droits et des obligations qui peuvent être évalués en permanence. |
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. La plateforme Prevalent offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Les principales fonctionnalités sont les suivantes
En simplifiant le processus de gestion et de suivi des contrats des fournisseurs, des lignes rouges, des dates et d'autres attributs clés, Prevalent garantit le suivi des principales dispositions contractuelles jusqu'à leur aboutissement. |
Section II : Cadre de surveillance des fournisseurs tiers de services TIC critiques |
|
Article 28 : Désignation des fournisseurs tiers de services TIC critiques L'article 28 identifie les critères clés que les entités doivent prendre en compte pour désigner leurs prestataires de services tiers comme critiques. |
La plateforme TPRM Prevalent permet aux équipes de sécurité et de gestion des risques de classer automatiquement les fournisseurs en fonction de leurs scores de risque inhérent. Les résultats peuvent être utilisés pour fixer des niveaux appropriés de diligence raisonnable supplémentaire et pour déterminer la criticité et la portée des évaluations en cours. Prevalent permet aux organisations de classer les tiers en fonction de multiples critères, notamment :
Les capacités de hiérarchisation et de catégorisation de la plateforme Prevalent permettent aux organisations d'évaluer les tiers en fonction de leur criticité pour les opérations commerciales, tout en informant les efforts de diligence raisonnable. |
Article 29 : Structure du cadre de surveillance L'article 29 décrit comment établir et gouverner un programme de gestion des risques liés aux tiers, y compris l'identification des rôles clés. |
Prevalent s'associe à ses clients pour élaborer des programmes complets de gestion des risques liés aux tiers (TPRM), fondés sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec les clients sur tous les aspects, de la définition des processus TPRM à la sélection des questionnaires d'évaluation et des cadres réglementaires, en passant par l'évaluation et l'optimisation continues du programme TPRM afin de couvrir l'ensemble du cycle de vie du risque tiers. Dans le cadre de ce processus, Prevalent aide à définir :
|
Article 32 : Demande d'information Article 33 : Enquêtes générales Les articles 32 et 33 expliquent comment mener des audits et autres enquêtes connexes, y compris l'identification des types de données à collecter. |
Prevalent fournit les bases d'un programme mature de gestion des risques liés aux tiers en aidant les équipes de sécurité et de gestion des risques à traiter les risques à chaque étape du cycle de vie des fournisseurs. La plate-forme offre :
Prevalent comprend plus de 750 modèles de questionnaires dans la bibliothèque d'enquêtes de sa plateforme, ainsi que des dizaines de milliers d'évaluations réalisées dans les échanges de son réseau. Cela permet aux organisations d'évaluer les tiers par rapport à de multiples domaines de risque, de la cybersécurité et de la confidentialité des données à la résilience commerciale et opérationnelle. |
Article 34 : Inspections sur place L'article 24 décrit les processus d'examen et d'audit des contrôles sur place. |
Leservice de validation des contrôles Prevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués. Prevalent Les experts examinent d'abord les réponses aux évaluations, puis les mettent en correspondance avec les cadres de contrôle SIG, SCA, ISO, SOC II, AITECH et/ou autres. Nous travaillons également avec les clients pour élaborer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options disponibles à distance et sur site, Prevalent offre l'expertise nécessaire pour aider les organisations à réduire les risques avec leurs ressources existantes. |
Article 35 : Contrôle permanent L'article 35 décrit les processus de gestion continue d'un programme de gestion des risques pour les tiers, y compris la surveillance continue et les obligations de rapports réguliers aux autorités compétentes. |
Pour simplifier la surveillance continue des programmes de gestion des risques des tiers, Prevalent offre une surveillance continue des risques, des conseils de remédiation et des rapports de conformité. Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Prevalent intègre et met en corrélation la surveillance continue et les aperçus de profil avec les résultats d'évaluation afin de fournir un emplacement central pour visualiser et agir sur les risques. Des recommandations de remédiation intégrées accélèrent l'atténuation des risques avec les tiers. Les organisations peuvent utiliser la plate-forme pour communiquer avec les fournisseurs et coordonner les efforts de remédiation, ainsi que pour capturer et auditer les conversations ; enregistrer les dates d'achèvement estimées ; accepter ou rejeter les réponses d'évaluation individuelles ; attribuer des tâches en fonction des risques, des documents ou des entités ; et faire correspondre la documentation et les preuves aux risques. |
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Les lignes directrices de l'ABE définissent les dispositions de gouvernance interne que les établissements de crédit, de paiement et de monnaie électronique...
Atténuer les risques de confidentialité et se conformer aux exigences du GDPR en évaluant les contrôles de protection des données des tiers avec ces...
Ce règlement obligera les organisations à rendre compte des pratiques de leurs fournisseurs en matière de droits de l'homme et d'environnement. Voici...