Conformité Hero soc2

Conformité à la ligne directrice B-10 du BSIF du Canada

Ligne directrice B-10 et gestion des risques liés aux tiers

La ligne directrice B-10 sur la gestion des risques liés aux tiers du Bureau du surintendant des institutions financières (BSIF) du gouvernement canadien traite des risques opérationnels et financiers associés aux relations avec les vendeurs et les fournisseurs.

La ligne directrice B-10 définit les attentes des institutions financières fédérales (IFF) en matière de gestion des risques liés aux accords avec des tiers.

La ligne directrice élargit également la définition d'un tiers pour inclure davantage d'entités telles que les professionnels indépendants, les courtiers et les services publics, et recommande d'inclure tous les types de tiers dans les évaluations des risques.

Ces nouvelles exigences sont motivées par le passage de l'importance relative à la criticité - lorsqu'un tiers exerce une fonction qui fait partie intégrante de la prestation par l'IFF d'une opération, d'une fonction ou d'un service important, il faut adopter une double approche où le risque et la criticité déterminent la nature et l'étendue des activités de diligence raisonnable.

Conditions applicables

  • Les structures de gouvernance et de responsabilité sont claires et des stratégies et des cadres de risque complets sont en place.

  • Les risques posés par les tiers sont identifiés et évalués

  • Les risques posés par les tiers sont gérés et atténués dans le cadre de l'appétit pour le risque de l'IFF.

  • Les performances des tiers sont contrôlées et évaluées, et les risques et incidents sont traités de manière proactive.

  • Le programme de gestion des risques liés aux tiers de l'IFF permet à l'IFF d'identifier et de gérer en permanence une série de relations avec des tiers.

  • Les opérations technologiques et cyber effectuées par des tiers sont transparentes, fiables et sûres

La liste de vérification de la conformité des tiers B-10 du BSIF

Apprenez comment satisfaire aux exigences d'évaluation et de surveillance par des tiers dans la ligne directrice B-10 du BSIF.

Lire la suite
Liste de contrôle de conformité osfi b10 0722

Conformité à la ligne directrice B-10 du BSIF

La ligne directrice B-10 présente six résultats escomptés que les IFF doivent atteindre en gérant le risque lié aux tiers. Ces résultats sont censés contribuer à la résilience opérationnelle et financière de l'IFF et aider à préserver sa réputation.

Les six résultats escomptés sont étayés par 11 principes que le BSIF décrit comme les meilleures pratiques en matière de gestion des risques des tiers. Le tableau récapitulatif ci-dessous met en correspondance les capacités de la plateforme de gestion des risques des tiers Prevalent avec ces 11 principes.

REMARQUE : Ce tableau ne doit pas être considéré comme un guide complet et définitif. Consultez votre auditeur pour obtenir une liste complète des exigences.

Principes de la ligne directrice B-10 du BSIF Quelle aide nous apportons

Résultat 1 : les structures de gouvernance et de responsabilité sont claires et des stratégies et des cadres de risque complets sont en place.

Principe 1 : "L'IFF est responsable en dernier ressort de la gestion des risques découlant de tous les types d'accords avec des tiers".

Principe 2 : " L'IFF doit établir un cadre de gestion des risques liés aux tiers (CGRTP) qui définit clairement les obligations de rendre compte, les responsabilités, les politiques et les processus permettant de déterminer, de gérer, d'atténuer et de surveiller les risques liés au recours à des tiers et d'en rendre compte. "

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, pour sélectionner des questionnaires et des cadres d'évaluation des risques et pour optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'exclusion.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairs (par exemple, RACI)
  • Inventaires de tiers
  • Notation et seuils de risque en fonction de la tolérance au risque de votre organisation.
  • Méthodes d'évaluation et de surveillance basées sur la criticité des tiers
  • Cartographie de la quatrième partie
  • Sources des données de contrôle continu (cyber, business, réputation, financier)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Gouverner les politiques, les normes, les systèmes et les processus pour protéger les données.
  • Conformité et exigences de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

Résultat 2 : Les risques posés par les tiers sont identifiés et évalués.

Principe 3 : " L'IFF doit identifier et évaluer les risques d'un accord avec un tiers avant de conclure l'accord et périodiquement par la suite. Les évaluations des risques doivent être proportionnelles à la criticité d'un accord. Plus précisément, l'IFF doit procéder à des évaluations des risques pour décider de la sélection d'un tiers, (ré)évaluer les risques et la criticité de l'accord, et planifier une atténuation des risques et une surveillance adéquates".

Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques liés à l'activité, à la réputation, aux finances et à la violation des données, afin d'éclairer et de contextualiser les décisions relatives à la sélection des fournisseurs.

Prevalent fait passer chaque fournisseur sélectionné aux phases de diligence raisonnable de contractualisation et/ou d'embarquement, faisant ainsi progresser automatiquement le fournisseur dans le cycle de vie des tiers.

Prevalent propose une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation continue des risques des tiers. Ces modèles sont intégrés aux fonctionnalités natives de surveillance des risques cyber, opérationnels, financiers et de réputation, qui valident en permanence les résultats de l'évaluation et comblent les lacunes entre les évaluations.

Des recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.

Grâce à cette capacité, Prevalent évalue les tiers avant de conclure des accords avec eux, régulièrement tout au long de la relation et à chaque fois qu'un changement important intervient dans la relation, déclenché par un contrôle continu.

Principe 4 : " L'IFF doit faire preuve de diligence raisonnable avant de conclure des contrats ou d'autres formes d'arrangement avec un tiers, et sur une base continue proportionnelle au niveau de risque et à la criticité de l'arrangement. "

Prevalent offre une évaluation de diligence raisonnable précontractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents à tous les tiers. Les critères incluent :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes
  • Niveau de dépendance à l'égard des quatrièmes parties (pour éviter le risque de concentration)
  • Exposition aux processus opérationnels ou de contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation.

Prevalent propose une bibliothèque de plus de 750 modèles préétablis pour l'évaluation des risques liés aux tiers. Les évaluations peuvent être réalisées au moment du renouvellement du contrat ou à n'importe quelle fréquence (trimestrielle ou annuelle, par exemple). Les questionnaires d'évaluation peuvent être axés sur le monde entier ou sur la région afin de répondre à des exigences juridiques ou opérationnelles particulières.

Prevalent fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques. Ces recommandations sont étayées par des fonctionnalités de gestion des flux de travail et des tâches afin de garantir que les tiers traitent les risques en temps voulu et de manière satisfaisante.

Les capacités intégrées et natives de surveillance des risquescyber, opérationnels, financiers et de réputation, signalent les changements importants entre les évaluations périodiques et peuvent déclencher des notifications, des évaluations de suivi ou d'autres actions.

Grâce à cette capacité, Prevalent permet à votre organisation d'évaluer les risques avant de conclure l'accord, dans le cadre du processus de renouvellement du contrat, et périodiquement sur une base continue proportionnelle au niveau de risque et de criticité ou chaque fois qu'il y a des changements importants dans l'accord avec un tiers.

Principe 5 : "L'IFF est responsable de l'identification, du suivi et de la gestion des risques découlant des accords de sous-traitance conclus par ses tiers".

Prevalent peut identifier les relations de sous-traitance de quatrième et de nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins de l'information et les dépendances qui pourraient exposer votre environnement à des risques.

Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP.

Cette approche permet d'aborder les risques potentiels de concentration technologique ou géographique.

Résultat 3 : Les risques posés par les tiers sont gérés et atténués dans le cadre de l'appétit pour le risque de l'IFF.

Principe 6 : " L'IFF doit conclure des accords écrits qui précisent les droits et les responsabilités de chaque partie. "

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Les principales fonctionnalités comprennent :

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Des fonctionnalités de workflow (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
  • Rappels et avis de retard automatisés pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur des rôles et des pistes d'audit de tous les accès.
  • Suivi du contrôle des versions qui prend en charge les modifications hors ligne des contrats et des documents.
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès en lecture/écriture/modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires sont définies dans le contrat du fournisseur, et que les accords de niveau de service sont suivis et gérés en conséquence.

Principe 7 : " Pendant toute la durée de l'entente avec le tiers, l'IFF et le tiers doivent établir et maintenir des mesures appropriées pour protéger la confidentialité, l'intégrité et la disponibilité des dossiers et des données. "

Prevalent offre une plateforme centralisée et collaborative permettant de réaliser des évaluations de la confidentialité et d'atténuer les risques liés à la confidentialité, qu'ils soient internes ou externes. Les principales fonctionnalités d'évaluation de la sécurité des données et de la confidentialité sont les suivantes

  • Évaluations programmées et cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès, le tout résumé dans un registre des risques qui met en évidence les expositions critiques.
  • Évaluations des incidences sur la vie privée pour découvrir les données commerciales et les informations personnelles identifiables (PII) à risque.
  • Évaluation des fournisseurs au regard du GDPR et d'autres réglementations relatives à la protection de la vie privée via le cadre de conformité (PCF) Prevalent - révèle les points sensibles potentiels en mettant en correspondance les risques identifiés et les contrôles spécifiques.
  • Cartographie des risques liés au GDPR et des réponses aux contrôles. Comprend des notes de conformité en pourcentage et des rapports spécifiques aux parties prenantes.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises - y compris les types et les quantités de données volées, les questions de conformité et de réglementation, et les notifications en temps réel des violations de données des fournisseurs
  • Centralisation de l'intégration, de la distribution, de la discussion, de la conservation et de la révision des contrats des fournisseurs - garantit que les dispositions relatives à la protection des données sont appliquées dès le début de la relation.

Principe 8 : " Les ententes conclues par l'IFF avec des tiers devraient permettre à l'IFF d'obtenir en temps opportun, à l'adresse DeepL, des renseignements exacts et complets qui l'aideront à superviser la performance et les risques des tiers. L'IFF devrait également avoir le droit d'effectuer ou de commander une vérification indépendante d'un tiers. "

Avec Prevalent, les auditeurs peuvent établir un programme pour atteindre et démontrer efficacement la conformité. La solution automatise l'audit de conformité de la gestion des risques des tiers en collectant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels.

Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser rapidement les exigences de conformité importantes et d'y répondre.

En outre, Prevalent révèle les tendances en matière de risques, le statut et les exceptions au comportement commun pour les fournisseurs individuels ou les groupes grâce à des informations d'apprentissage automatique intégrées. Cela vous permettra d'identifier rapidement les valeurs aberrantes dans les évaluations, les tâches, les risques, etc. qui pourraient justifier un examen plus approfondi.

Principe 9 : " L'entente de l'IFF avec le tiers doit englober la capacité de poursuivre les activités en cas de perturbation, y compris le maintien, la mise à l'essai et l'activation des plans de continuité des activités et de reprise après sinistre. L'IFF doit avoir des plans d'urgence pour ses ententes critiques avec des tiers. "

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités de tiers, tout en mettant automatiquement les résultats en correspondance avec les cadres de contrôle NIST, ISO et autres.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:

  • Automatise la surveillance continue de cyber qui peut prédire d'éventuelles répercussions sur les activités de tiers.
  • Accès à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité des fournisseurs.
  • exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière ou les problèmes opérationnels des fournisseurs

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :

  • Catégoriser les fournisseurs en fonction de leur profil de risque et de leur criticité pour l'entreprise.
  • Définir des objectifs de points de reprise (RPO) et des objectifs de délais de reprise (RTO).
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs pendant les perturbations de l'activité.

Lorsqu'une résiliation ou une sortie est nécessaire pour des services essentiels, Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité aux lois pertinentes, les paiements finaux, etc. La solution suggère également des actions basées sur les réponses aux évaluations d'offboarding et achemine les tâches aux réviseurs si nécessaire.

Résultat 4 : Les performances des tiers sont contrôlées et évaluées, et les risques et incidents sont traités de manière proactive.

Principe 10 : " L'IFF doit surveiller ses ententes avec des tiers afin de vérifier la capacité de ces derniers à continuer de respecter leurs obligations et à gérer efficacement les risques. "

Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de surveillance sont corrélées aux résultats de l'évaluation et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, les rapports et les initiatives de réponse.

Les sources de surveillance comprennent :

  • Plus de 1 500 forums criminels, des milliers de pages oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification ayant fait l'objet de fuites, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde.
  • 550 000 sources publiques et privées d'informations sur la réputation, notamment les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
  • Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performance financière, y compris le chiffre d'affaires, les profits et pertes, les fonds des actionnaires, etc.
  • 30 000 sources d'information mondiales
  • Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
  • Listes de sanctions mondiales et plus de 1 000 listes d'exécution mondiales et dossiers judiciaires

Principe 11 : " Tant l'IFF que son tiers doivent disposer de processus documentés pour repérer, enquêter, transmettre aux échelons supérieurs, suivre et corriger efficacement les incidents afin d'assurer une résilience opérationnelle et financière continue et de maintenir les niveaux de risque dans les limites de l'appétit pour le risque de l'IFF. "

Prevalent permet à votre équipe d'identifier et d'atténuer rapidement l'impact des incidents impliquant des fournisseurs tiers en centralisant la gestion des fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

Résultat 5 : Le programme de gestion des risques liés aux tiers de l'IFF permet à l'IFF d'identifier et de gérer en permanence un éventail de relations avec des tiers.

Résultat 6 : Les opérations technologiques et cyber menées par des tiers sont transparentes, fiables et sûres.

La plateforme Prevalent comprend une vaste bibliothèque d'évaluations standardisées (y compris pour les cadres de meilleures pratiques NIST et ISO) et des capacités de personnalisation pour évaluer les tiers avec flexibilité. Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète des risques, Prevalent vous permet de cartographier les lacunes de contrôle identifiées dans le rapport SOC 2, de créer des éléments de risque contre le tiers au sein d'une plate-forme d'évaluation centrale, de suivre et de rendre compte des lacunes ainsi que d'autres risques.

Quel que soit le cadre de cybersécurité, Prevalent vous permet de réduire les délais d'évaluation et d'atténuer les risques.

Aligner votre programme de TPRM sur les 14 normes de l'industrie

Téléchargez ce guide pour passer en revue les normes industrielles avec les exigences spécifiques du TPRM, et découvrez les meilleures pratiques pour simplifier la conformité.

Lire la suite
Ressources présentées manuel de conformité normes industrielles
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo