B-13 du BSIF est une ligne directrice publiée par le Bureau du surintendant des institutions financières (BSIF) au Canada qui décrit les exigences en matière de gestion des risques pour développer une plus grande résilience face aux risques liés à la technologie et au site cyber - y compris ceux affichés par des tiers.
Publiée à l'origine en juillet 2022, la ligne directrice B-13 est organisée en trois domaines, chaque domaine ayant un résultat souhaité qui contribue à la résilience face aux risques technologiques et aux risques liés au site cyber . Les résultats sont étayés par 17 principes qui, à leur tour, sont étayés par des lignes directrices individuelles.
En ce qui concerne la gestion des risques liés aux tiers, la ligne directrice B-13 souligne la nécessité pour les institutions financières de mettre en œuvre des stratégies globales pour gérer les risques liés à l'externalisation et aux relations avec les tiers.
Les risques liés à la technologie et au site cyber sont régis par des responsabilités et des structures claires, ainsi que par des stratégies et des cadres complets.
Un dispositif technologique sécurisé qui préserve la confidentialité, l'intégrité et la disponibilité des actifs technologiques de l'IFF.
Un environnement technologique stable, évolutif et résilient. L'environnement est maintenu à jour et soutenu par des processus d'exploitation et de récupération des technologies robustes et durables.
Respecter les directives du BSIF et assurer la résilience de l'entreprise
Téléchargez cette liste de contrôle complète pour comprendre et répondre aux exigences en matière de gestion des risques liés aux tiers énoncées dans le B-13 du BSIF.
Respect de la ligne directrice B-13 du BSIF
La ligne directrice B-13 présente 17 principes permettant aux IFF de structurer leurs programmes de gestion des risques. Ces principes sont censés contribuer à la résilience opérationnelle de l'IFF. Le tableau récapitulatif ci-dessous établit une correspondance entre les capacités de la plate-forme de gestion des risques par des tiers ( Prevalent ) et les principes les plus pertinents.
REMARQUE : Ce tableau ne doit pas être considéré comme un guide complet et définitif. Consultez votre auditeur pour obtenir une liste complète des exigences et consultez l'intégralité de la ligne directrice du BSIF.
Principes | Meilleures pratiques du TPRM |
---|---|
Domaine : Gouvernance et gestion des risques Ce domaine définit les attentes du BSIF en matière de responsabilité formelle, de leadership, de structure organisationnelle et de cadre utilisé pour soutenir la gestion des risques et la surveillance de la sécurité des technologies et du site cyber . Résultat : Les risques liés à la technologie et au site cyber sont régis par des responsabilités et des structures claires, ainsi que par des stratégies et des cadres complets. |
|
Principe 1 : La direction générale doit confier la responsabilité de la gestion des risques liés à la technologie et au site cyber à des cadres supérieurs. Elle doit également veiller à ce qu'une structure organisationnelle appropriée et des ressources adéquates soient en place pour gérer les risques technologiques et cyber dans l'ensemble de l'IFF. Principe 2 : Les IFF doivent définir, documenter, approuver et mettre en œuvre un ou des plans stratégiques en matière de technologie et de cyber . Ce(s) plan(s) doit (doivent) s'aligner sur la stratégie de l'entreprise et fixer des buts et des objectifs mesurables et évolutifs en fonction des changements dans l'environnement technologique de l'IFF et du site cyber . |
Prevalent collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de TPRM dans le contexte de votre approche globale de la gestion des risques, pour sélectionner des questionnaires et des cadres d'évaluation des risques et pour optimiser votre programme afin de prendre en compte l'ensemble du cycle de vie des risques liés aux tiers, depuis le sourcing et la diligence raisonnable jusqu'à la résiliation et l'abandon des activités. Dans le cadre de ce processus, Prevalent vous aide à définir :
|
Principe 3 : Les IFF doivent mettre en place un cadre de gestion des risques technologiques et cyber . Ce cadre doit définir l'appétence pour les risques technologiques et cyber et définir les processus et les exigences de l'IFF en matière d'identification, d'évaluation, de gestion, de suivi et d'établissement de rapports sur les risques technologiques et cyber . |
La plate-forme Prevalent TPRM dispose d'une vaste bibliothèque d'évaluations des risques spécifiques au cadre - telles que ISO, NIST ou autres. L'utilisation d'évaluations de risques prédéfinies et spécifiques à un cadre simplifie le mappage des contrôles et l'établissement de rapports. Le cadre choisi doit s'aligner sur les exigences de l'entreprise en matière de gestion des risques. |
Domaine : Opérations technologiques et résilience Ce domaine définit les attentes du BSIF en matière de "gestion et de surveillance des risques liés à la conception, à la mise en œuvre, à la gestion et à la récupération des actifs et des services technologiques". Résultat : Un environnement technologique stable, évolutif et résilient. L'environnement est maintenu à jour et soutenu par des processus d'exploitation et de récupération des technologies robustes et durables. |
|
Principe 7 : Les IFF doivent mettre en œuvre un cycle de développement des systèmes (SDLC) pour le développement, l'acquisition et la maintenance sécurisés de systèmes technologiques qui fonctionnent comme prévu à l'appui des objectifs de l'entreprise. |
Dans le cadre du processus de diligence raisonnable, Prevalent peut aider votre équipe à analyser les nomenclatures logicielles (SBOM) des produits logiciels tiers. Cela vous aidera à identifier les vulnérabilités potentielles ou les problèmes de licence qui peuvent avoir un impact sur la sécurité et la conformité de votre organisation. |
Principe 10 : Les IFF doivent détecter, enregistrer, gérer, résoudre, contrôler et signaler efficacement les incidents technologiques et en minimiser l'impact. |
Prevalent suivre et analyser en permanence les menaces externes qui pèsent sur les tiers. Dans ce cadre, Prevalent surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que des sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Les sources de surveillance comprennent :
Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse. Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle doit encadrer les risques dans une matrice, afin que vous puissiez facilement voir les risques ayant le plus d'impact et que vous puissiez prioriser les efforts de remédiation sur ceux-ci. Enfin, avec Prevalent , vous pouvez désigner des responsables et suivre les risques et les mesures correctives jusqu'à un niveau acceptable pour l'entreprise. |
Principe 11 : Les IFF doivent élaborer des normes et des processus de service et de capacité pour contrôler la gestion opérationnelle de la technologie, en veillant à ce que les besoins de l'entreprise soient satisfaits. |
Avec Prevalent , vous pouvez évaluer en permanence l'efficacité de votre programme TPRM en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurant les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurs tiers tout au long du cycle de vie de la relation. |
Domaine : Cyber security Ce domaine définit les attentes du BSIF en matière de " gestion et de surveillance du risque cyber ". Résultat : Une posture technologique sécurisée qui préserve la confidentialité, l'intégrité et la disponibilité des actifs technologiques de l'IFF. |
|
Principe 14 : Les IFF doivent disposer d'un ensemble de pratiques, de capacités, de processus et d'outils permettant d'identifier et d'évaluer la sécurité du site cyber afin de déceler les faiblesses susceptibles d'être exploitées par des acteurs extérieurs ou internes. |
La plateforme Prevalent TPRM propose une vaste bibliothèque de modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à toute autre fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants survenus dans la relation. Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir les preuves appropriées aux auditeurs. Dans le cadre de ce processus, Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. Toutes les données de surveillance doivent être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de remédiation et de réponse. |
Principe 17 : Les IFF doivent réagir aux incidents de sécurité ayant un impact sur leurs actifs technologiques, y compris les incidents provenant de fournisseurs tiers, les contenir, les rétablir et en tirer des enseignements ( cyber ). |
Dans le cadre de votre stratégie globale de gestion des incidents, Prevalent s'assure que votre programme de réponse aux incidents de tiers permet à votre équipe d'identifier rapidement les incidents de sécurité des fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact. Les capacités clés d'un service de réponse aux incidents d'une tierce partie sont les suivantes :
En outre, Prevalent exploite des bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des fournisseurs en cas de violation de données. Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact éventuel sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel aux experts de Prevalent . |
Aligner votre programme de TPRM sur 13 normes industrielles
Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.
Renseignez-vous sur les exigences relatives à l'évaluation par un tiers dans la ligne directrice B-10 du Bureau du surintendant des ...
Utilisez ce guide des bonnes pratiques pour améliorer la résilience face aux risques liés aux technologies tierces et à cyber .
Voici huit bonnes pratiques pour se préparer à la lutte contre le travail forcé et le travail des enfants...