Autorité de réglementation prudentielle de la Banque d'Angleterre SS2/21 Conformité

2 Définitions et champ d'application

2.8 "Conformément aux attentes formulées au chapitre 4 de la présente Norme, les cabinets peuvent mettre en œuvre une politique globale et unique de gestion des risques liés aux tiers, couvrant les accords d'externalisation et de non-externalisation des tiers. Elles peuvent également avoir des politiques distinctes sur chacun de ces domaines respectifs, à condition qu'elles soient alignées, cohérentes, efficaces et convenablement fondées sur les risques."

La plateforme de gestion des risques liés aux tiersPrevalent simplifie la gestion des tiers, permettant aux organisations d'unifier et d'automatiser les tâches essentielles requises pour identifier, évaluer, gérer, surveiller en permanence et corriger les risques liés aux tiers en matière de sécurité, de confidentialité, de conformité et d'exploitation à chaque étape du cycle de vie du fournisseur. La solution offre :

• Profilage, hiérarchisation et évaluation des risques inhérents et résiduels sur la base de critères exhaustifs pour identifier les tiers sous-traitants importants et non importants.

• Plus de 100 modèles standardisés et évaluations de risques personnalisées adaptés aux tiers matériels et non matériels avec gestion intégrée des flux de travail, des tâches et des preuves.

• Gestion de la remédiation avec des conseils intégrés pour agir sur les risques identifiés provenant de tiers sous-traitants.

• Rapports sur la conformité et les risques par cadre ou par réglementation afin de simplifier le processus d'audit.

2.9 "Les normes suivantes s'appliquent à tous les arrangements TIC avec des tiers :
[...]
les exigences et normes légales pertinentes en matière de sécurité des TIC (par exemple, Cyber Essentials Plus) et de protection des données, y compris, mais sans s'y limiter nécessairement, le règlement général sur la protection des données (RGPD) et la loi sur la protection des données de 2018."

La plateforme Prevalent comprend une bibliothèque de plus de 100 modèles de questionnaire qui répondent à une multitude de cadres basés sur la sécurité des TIC, notamment Cyber Essentials, ISO 27001, NIST 800-53, GDPR, et bien d'autres.

3 Proportionnalité

3.6 "En fonction de son niveau de contrôle et d'influence en ce qui concerne les accords d'externalisation intragroupe, une entreprise peut, par exemple :

• ajuster sa diligence raisonnable à l'égard des fournisseurs, bien que les entreprises doivent toujours évaluer soigneusement si un fournisseur de services potentiel qui fait partie de son groupe a la capacité, les moyens, les ressources et la structure organisationnelle appropriée pour soutenir l'exécution de la fonction externalisée ou du service tiers ;

• ..."

La plateforme TPRM Prevalent permet aux équipes de sécurité et de gestion des risques de classer automatiquement les fournisseurs en fonction de leurs scores de risque inhérent. Les résultats peuvent être utilisés pour fixer des niveaux appropriés de diligence raisonnable supplémentaire et déterminer la portée des évaluations en cours.

3.7 "Le cas échéant, les entreprises peuvent être en mesure de tirer parti de la conformité aux exigences existantes dans d'autres domaines de la réglementation pour aider à remplir leurs obligations réglementaires en ce qui concerne leurs accords d'externalisation intragroupe."

La plateforme Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les cadres réglementaires, notamment ISO 27001, GDPR et des dizaines d'autres. Vous pouvez ainsi visualiser et traiter rapidement les exigences de conformité importantes et simplifier les processus d'audit.

Les clients peuvent également choisir d'utiliser le cadre de conformité Prevalent (PCF), une évaluation unique et complète qui permet aux équipes de gestion de la sécurité et des risques de mettre en correspondance les réponses à plusieurs exigences réglementaires.

5 Phase de pré-outsourcing

5.8 "Les entreprises sont tenues d'évaluer l'importance relative de leurs accords d'externalisation et de tiers. La matérialité peut varier pendant la durée d'un accord et doit donc être (ré)évaluée :

• avant de signer l'accord écrit ;

• à intervalles appropriés par la suite, par exemple pendant les périodes de révision prévues ;

• lorsqu'une entreprise prévoit d'accroître son utilisation du service ou sa dépendance à l'égard du prestataire de services ; et/ou

• si un changement organisationnel important chez le prestataire de services ou chez un sous-fournisseur de services important a lieu, qui pourrait modifier de manière significative la nature, l'échelle et la complexité des risques inhérents à l'accord d'externalisation, y compris un changement important dans la propriété ou la position financière du prestataire de services."

La plateforme Prevalent permet aux organisations d'évaluer, de surveiller et de corriger les risques à toutes les étapes du cycle de vie des tiers. Ses principales fonctionnalités sont les suivantes

• la gestion des appels d'offres, qui permet aux organisations d'automatiser et d'ajouter des informations sur les risques aux décisions relatives à la sélection des fournisseurs

• Gestion du cycle de vie des contrats, en offrant l'automatisation nécessaire pour améliorer l'expérience contractuelle des fournisseurs et assurer un suivi continu des accords de niveau de service.

• La plus grande bibliothèque d'évaluations des risques standardisées et personnalisées avec un flux de travail, des tâches et une gestion des preuves intégrés pour des évaluations régulières des risques.

• Native cyber, surveillance des risques de violation, des risques commerciaux, des risques de réputation et des risques financiers afin d'évaluer en permanence les risques liés aux fournisseurs entre les évaluations annuelles et de mettre en corrélation les conclusions avec les résultats des évaluations afin de déterminer si une enquête supplémentaire est nécessaire

5.10 "Les entreprises doivent développer leurs propres processus d'évaluation de la matérialité dans le cadre de leur politique de gestion des risques liés à l'externalisation ou aux tiers (voir chapitre 4)."

La plateforme Prevalent automatise l'identification, l'évaluation, l'analyse, la surveillance continue et la remédiation des risques liés aux tiers à chaque étape du cycle de vie des fournisseurs, de la sélection à l'exclusion. La plate-forme comprend une vaste bibliothèque de modèles d'évaluation, y compris ceux permettant de déterminer l'importance d'un accord avec un tiers et les risques qu'il comporte.

5.11 "Conformément à la définition d'une "externalisation importante" dans le Rulebook de la PRA et, le cas échéant, aux critères du Outsourcing GL de l'ABE, une entreprise doit généralement considérer un accord d'externalisation ou de tiers comme important lorsqu'un défaut ou une défaillance dans sa performance pourrait nuire de manière significative à la stabilité financière du Royaume-Uni ou des entreprises" ;

• la capacité à remplir les conditions du seuil ;

• le respect des règles fondamentales ;

• les exigences de la " législation pertinente " et du Rulebook de la PRA;36

• la sécurité et la solidité, y compris sa :
  sa résilience financière, c'est-à-dire ses actifs, son capital, son financement et ses liquidités ; ou sa résilience opérationnelle, c'est-à-dire sa capacité à continuer à fournir des services commerciaux importants ;

• pour les assureurs uniquement, la capacité à fournir un degré approprié de protection pour ceux qui sont ou peuvent devenir des assurés, conformément aux objectifs statutaires de la PRA ; et
  l'obligation de ne pas compromettre le "service continu et satisfaisant aux titulaires de polices" conformément aux conditions régissant les activités 7.2.

• OCIR et, le cas échéant, résolvabilité".

La plateforme TPRM Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, qu'ils soient ou non externalisés, tout en mettant automatiquement les résultats en correspondance avec les normes NIST, ISO et autres cadres de contrôle pour démontrer la conformité.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:

• Automatise la surveillance continue de cyber afin de prévoir les éventuels impacts sur les entreprises tierces.

• Accès à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité des fournisseurs.

• exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière ou les problèmes opérationnels des fournisseurs

5.12 "La PRA attend également des entreprises qu'elles classent un accord d'externalisation comme important si le service externalisé implique une :

• toute une "activité réglementée", par exemple la gestion de portefeuille ; ou

• "contrôle interne" ou "fonction clé", à moins que l'entreprise ne soit convaincue qu'un défaut ou une défaillance d'exécution n'aurait pas d'incidence négative sur la fonction concernée."

Prevalent permet aux organisations de classer les tiers en fonction de multiples critères, notamment :

• Type de contenu requis pour valider les contrôles

• Criticité pour la performance de l'entreprise

• Lieu(x) et considérations juridiques ou réglementaires connexes

• Niveau de dépendance à l'égard de tierces parties

• Exposition aux processus opérationnels ou de contact avec les clients

• Interaction avec les données protégées

• Situation et implications financières

• Réputation

Un processus efficace de hiérarchisation et de catégorisation permet aux organisations d'évaluer les tierces parties en fonction de leur criticité pour les opérations commerciales, tout en informant les autres efforts de diligence raisonnable.

5.13 "La PRA attend des entreprises qu'elles prennent en compte tous les critères applicables du tableau 5 ci-dessous, à la fois individuellement et conjointement, lors de l'évaluation de la matérialité d'un accord d'externalisation ou de tiers non couvert par les paragraphes 5.8 et 5.9. Bien qu'en pratique, de nombreux accords d'externalisation et de tiers significatifs impliquent des produits ou des services de TIC (par exemple, le cloud), la présence d'un produit ou d'un service de TIC donné ne rend pas, en soi, automatiquement un accord d'externalisation significatif.

Recréé à partir du tableau 5 :

Lien direct avec l'exercice d'une activité réglementée.

Taille et complexité du ou des domaines d'activité ou des fonctions concernés.

L'impact potentiel d'une perturbation, d'une défaillance ou d'une performance inadéquate sur l'entreprise :

• la continuité des activités, la résilience opérationnelle et le risque opérationnel, notamment le risque lié à la conduite, le risque lié aux TIC, le risque juridique et le risque lié à la réputation.

• capacité à : se conformer aux exigences légales et réglementaires ; mener des audits appropriés de la fonction, du service ou du fournisseur de services concerné ; et identifier, surveiller et gérer tous les risques.

• les obligations découlant du règlement de la PRA ;
  la protection des données et l'impact potentiel d'une violation de la confidentialité ou de l'incapacité à assurer la disponibilité et l'intégrité des données de l'établissement ou de l'établissement de paiement et de ses clients, y compris, mais sans s'y limiter, le GDPR et le Data Protection Act 2018.

• les contreparties, les clients ou les assurés.

• l'intervention précoce, la planification de la récupération et de la résolution, l'OCIR et la résolvabilité.

La capacité de l'entreprise à faire évoluer le service externalisé.

Capacité à remplacer le prestataire de services ou à ramener le service externalisé en interne, y compris les coûts estimés, l'impact opérationnel, les risques et le calendrier d'une sortie dans des scénarios stressés et non stressés."

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301. Cela permet aux organisations de :

• Catégoriser les fournisseurs en fonction de leur profil de risque et de leur criticité pour l'entreprise.

• Définir des objectifs de points de reprise (RPO) et des objectifs de délais de reprise (RTO).

• Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les profils des entreprises tierces.

• Assurer une communication cohérente avec les fournisseurs pendant les perturbations de l'activité.

5.18 "La PRA attend des entreprises qu'elles mènent une diligence raisonnable sur le fournisseur de services potentiel avant de conclure un accord d'externalisation, et qu'elles identifient une alternative appropriée ou des fournisseurs de secours lorsqu'ils sont disponibles. Si aucun fournisseur alternatif ou de secours pour un accord d'externalisation important n'est disponible, les entreprises doivent envisager des dispositifs alternatifs de continuité des activités, de planification d'urgence et de reprise après sinistre pour s'assurer qu'elles peuvent continuer à fournir des activités importantes pertinentes dans le cadre de leurs tolérances d'impact en cas de perturbation importante chez leur fournisseur de services choisi (voir chapitre 10)."

Prevalent RFx Essentials centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). RFx Essentials permet aux équipes d'approvisionnement de sélectionner facilement les solutions et les fournisseurs qui répondent aux exigences de l'organisation en matière de fonctionnalité et de risque, mais aussi de faire un premier pas essentiel dans la gestion du risque tout au long du cycle de vie du tiers.
Avant de sélectionner le fournisseur, Prevalent permet aux équipes de comparer et de surveiller les données démographiques du fournisseur, les technologies tierces, les scores ESG, les informations récentes sur les affaires et la réputation, l'historique des violations de données et les performances financières.

Les organisations peuvent également tirer parti desVendor Intelligence Networks ( Prevalent ), qui sont des bibliothèques à la demande de milliers de rapports sur les risques liés aux fournisseurs, basés sur la sécurité, la confidentialité, la résilience des entreprises et les risques opérationnels. Prevalent Les réseaux de renseignements sur les fournisseurs sont continuellement mis à jour et enrichis de preuves à l'appui.

5.19 "Dans le cas d'une externalisation importante, la PRA s'attend à ce que la diligence raisonnable des entreprises prenne en compte les fournisseurs potentiels :

• modèle d'entreprise, complexité, situation financière, nature, structure de propriété et échelle ;

• capacité, expertise et réputation ;

• les ressources financières, humaines et technologiques ;

• les contrôles et la sécurité des TIC ; et

• les fournisseurs de services sous-traités, le cas échéant, qui participeront à la fourniture de services commerciaux importants ou de parties de ceux-ci."

5.20 "La diligence raisonnable devrait également examiner si les fournisseurs de services potentiels :

• disposer des autorisations ou enregistrements nécessaires à l'exécution du service ;

• se conformer au GDPR, à la loi sur la protection des données et aux autres exigences légales et réglementaires applicables en matière de protection des données ;

• peuvent démontrer une adhésion certifiée à des normes industrielles reconnues et pertinentes ;

• peut fournir, le cas échéant et sur demande, les certificats et documents pertinents (par exemple, des dictionnaires de données) ; et

• ont la capacité et l'aptitude à fournir le service dont l'entreprise a besoin d'une manière conforme aux exigences réglementaires britanniques (y compris en cas de hausse soudaine de la demande pour le service en question, par exemple à la suite d'un passage au travail à distance pendant une pandémie). Un historique "général" des performances antérieures peut ne pas être une preuve suffisante en soi."

La plateforme Prevalent comprend plus de 100 modèles d'évaluation prédéfinis, notamment des questionnaires standardisés d'évaluation des risques des fournisseurs de sécurité de l'information, ainsi que des questionnaires sur la résilience des entreprises, le GDPR, la FCA, l'ISO 27001, l'esclavage moderne, la lutte contre la corruption, la santé et la sécurité, la performance financière, la gestion et l'éthique, etc.

Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Prevalent gère des profils centralisés de fournisseurs qui unifient les données démographiques, les déclarations d'esclavage moderne, les scores ESG et les quatrièmes parties cartographiées.

Prevalent intègre et met en corrélation la surveillance continue et les aperçus de profil avec les résultats d'évaluation afin de fournir un emplacement central pour visualiser les risques et agir en conséquence.

5.21 "Conformément à la section Contrôle des risques 3.4(2) et à la section Gestion des risques 3.1, les entreprises doivent, de manière proportionnée, évaluer les risques potentiels de tous les accords avec des tiers, y compris les accords d'externalisation, quelle que soit leur importance. Dans le cadre de l'évaluation des risques, la PRA s'attend à ce que les entreprises prennent en compte :

• les risques opérationnels basés sur une analyse de scénarios graves mais plausibles, par exemple une violation ou une panne affectant la confidentialité et l'intégrité des données sensibles et/ou la disponibilité de la prestation de services (voir chapitre 10) ; et

• les risques financiers, y compris la nécessité éventuelle pour l'entreprise d'apporter un soutien financier à un prestataire de services externalisés ou sous-externalisés important en difficulté ou de reprendre son activité, y compris à la suite d'un ralentissement économique (risque de 'step-in')".

Leservice de réponse aux incidents impliquant des tiers ( Prevalent ) permet aux équipes d'identifier et d'atténuer rapidement l'impact des violations commises par des fournisseurs tiers en centralisant la gestion des fournisseurs, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. La base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Combinée à la surveillance continue de cyber , elle fournit aux organisations une vue d'ensemble des risques externes en matière de sécurité de l'information qui peuvent avoir un impact sur les opérations.

Prevalent exploite les informations financières d'un réseau mondial de 2 millions d'entreprises. Cela comprend 5 années de changements organisationnels et de performances financières, telles que le chiffre d'affaires, les profits et pertes, les fonds des actionnaires et d'autres données utiles pour évaluer la santé et la viabilité des entreprises.

5.22 "La PRA attend des entreprises qu'elles procèdent à des évaluations des risques dans les circonstances mentionnées au paragraphe 5.6 et également si elles considèrent qu'il peut y avoir eu un changement significatif des risques d'un accord d'externalisation en raison, par exemple, d'une violation grave/de violations continues de l'accord ou d'un risque cristallisé."

Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

La plate-forme offre un accès à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. La base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs.

Ces capacités permettent de combler les lacunes entre les évaluations régulières des risques par des tiers, les résultats déclenchant des actions automatisées telles que des évaluations et des mesures correctives supplémentaires.

5.23 "L'évaluation des risques d'une entreprise doit mettre en balance les risques que l'accord d'externalisation peut créer ou accroître avec les risques qu'il peut réduire ou permettre à l'entreprise de gérer plus efficacement (par exemple, la résilience de l'entreprise face aux perturbations). L'évaluation doit également tenir compte des mesures d'atténuation des risques existantes ou prévues, par exemple les procédures et la formation du personnel."

La plateforme Prevalent comprend des recommandations de remédiation intégrées pour accélérer l'atténuation des risques avec les tiers. Les organisations peuvent utiliser la plate-forme pour communiquer avec les fournisseurs et coordonner les efforts de remédiation, ainsi que pour capturer et auditer les conversations, enregistrer les dates d'achèvement estimées, accepter ou rejeter les réponses d'évaluation individuelles, attribuer des tâches en fonction des risques, des documents ou des entités, et faire correspondre la documentation et les preuves aux risques.

5.24 " La PRA attend des entreprises et des groupes qu'ils (ré)évaluent périodiquement et prennent des mesures raisonnables pour gérer leur dépendance globale à l'égard des tiers ; et
les risques de concentration ou de verrouillage des fournisseurs au sein de l'entreprise ou du groupe, en raison de :

• des accords multiples avec les mêmes prestataires de services ou des prestataires étroitement liés ;

• les dépendances de la quatrième partie/chaîne d'approvisionnement, par exemple, lorsque plusieurs prestataires de services, par ailleurs non connectés, dépendent du même sous-traitant pour la fourniture de leurs services ;

• des accords avec des prestataires de services qu'il est difficile ou impossible de remplacer ; et/ou

• la concentration de l'externalisation et d'autres dépendances de tiers dans un lieu géographique proche, comme une seule juridiction. Ce type de concentration peut se produire même si une entreprise fait appel à de multiples prestataires de services tiers non reliés entre eux, par exemple un centre d'externalisation des processus d'affaires ou de délocalisation."

Prevalent atténue les risques de concentration en identifiant les relations avec des tiers par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement.

Les fournisseurs découverts grâce à ce processus sont contrôlés afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP.

6 Accords d'externalisation

6.3 "Les entreprises doivent s'assurer que les accords écrits pour les accords d'externalisation non significatifs comprennent des garanties contractuelles appropriées pour gérer et surveiller les risques pertinents. En outre, indépendamment de l'importance relative, les entreprises doivent s'assurer que les accords d'externalisation n'entravent pas ou ne limitent pas la capacité de la PRA à superviser efficacement l'entreprise ou l'activité, la fonction ou le service externalisé. "

Prevalent Contract Essentials centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il inclut également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.

Avec Contract Essentials, les organisations peuvent suivre de manière centralisée tous les contrats et attributs contractuels susceptibles d'avoir un impact sur les niveaux de service, ce qui permet d'appliquer efficacement les garanties contractuelles.

7 Sécurité des données

Prevalent offre une plateforme unique et collaborative permettant de réaliser des évaluations de la confidentialité et d'atténuer les risques liés à la confidentialité, qu'ils soient internes ou externes. Les principales fonctionnalités d'évaluation de la sécurité des données et de la confidentialité comprennent :

• Des évaluations programmées et une cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès - le tout résumé dans un registre des risques qui met en évidence les expositions critiques.

• Des évaluations des incidences sur la vie privée pour découvrir les données commerciales et les informations personnelles identifiables (PII) à risque, ce qui vous permet d'analyser l'origine, la nature et la gravité du risque et d'obtenir des conseils pour y remédier.

• Évaluations des fournisseurs par rapport au GDPR et à d'autres réglementations en matière de protection de la vie privée via le cadre de conformité Prevalent (PCF) - vous permettant de révéler les points chauds potentiels en faisant correspondre les risques identifiés à des contrôles spécifiques.

• Cartographie des risques et des réponses au GDPR en fonction des contrôles - en vous dotant de taux de conformité et de rapports spécifiques aux parties prenantes.

• Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. Elle comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs.

• Centralisation de l'intégration, de la distribution, de la discussion, de la conservation et de la révision des contrats des fournisseurs. Cela permet de s'assurer que les dispositions relatives à la protection des données sont appliquées dès le début de la relation.

8 Droits d'accès, d'audit et d'information

8.7 "Les entreprises peuvent utiliser une série de méthodes d'audit et d'autres méthodes de collecte d'informations, notamment :

• les audits hors site, tels que les certificats et autres rapports indépendants fournis par les prestataires de services ; et

• des audits sur place, soit individuellement, soit en collaboration avec d'autres cabinets (audits groupés)."

Leservice de validation des contrôles Prevalent examine les réponses et la documentation des évaluations de tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués.

Prevalent Les experts examinent d'abord les réponses aux évaluations, qu'elles proviennent de questionnaires personnalisés ou standardisés. Nous faisons ensuite correspondre les réponses aux normes SIG, SCA, ISO, SOC II,

AITECH, et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour élaborer des plans de remédiation et en assurer le suivi jusqu'à leur achèvement. Avec des options disponibles à distance et sur site, Prevalent offre l'expertise nécessaire pour vous aider à réduire les risques avec vos ressources existantes.

8.9 "Les certificats et rapports fournis par les prestataires de services peuvent aider les entreprises à obtenir une assurance sur l'efficacité des contrôles du prestataire de services. Cependant, dans le cadre d'accords d'externalisation importants, la PRA s'attend à ce que les entreprises :

• évaluer le caractère adéquat des informations contenues dans ces certificats et rapports, et ne pas supposer que leur simple existence ou leur fourniture constitue une preuve suffisante que le service est fourni conformément à leurs obligations légales, réglementaires et de gestion des risques ; et

• s'assurer que les certificats et les rapports d'audit répondent aux attentes du tableau 8".

Prevalent centralise les certifications, les accords, les contrats et les pièces justificatives avec une gestion intégrée des tâches et des acceptations, ainsi que des fonctions de téléchargement obligatoire.

9 Sous-traitance

Prevalent identifie les relations avec les quatrième et neuvième parties par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement.

Les fournisseurs découverts grâce à ce processus sont contrôlés afin d'identifier les risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que pour le dépistage des sanctions/PEP.

10 Continuité des activités et plans de sortie

10.1 "Pour chaque accord d'externalisation important, la PRA s'attend à ce que les entreprises développent, maintiennent et testent un plan de continuité d'activité ; et une stratégie de sortie documentée, qui doit couvrir et différencier les situations où une entreprise quitte un accord d'externalisation :

• dans des circonstances stressantes, par exemple à la suite de la défaillance ou de l'insolvabilité du prestataire de services (sortie stressée) ; et

• par une sortie planifiée et gérée pour des raisons commerciales, de performance ou de stratégie (sortie non stressée)."

La plateforme de gestion des risques des tiers Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes NIST, ISO et autres cadres de contrôle.
Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent:

• Automatise la surveillance continue de cyber afin de prévoir les éventuels impacts sur les entreprises tierces.

• Accès à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité des fournisseurs.

• Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des fournisseurs ou les problèmes opérationnels.

Cette approche proactive permet aux organisations de minimiser l'impact des perturbations causées par des tiers et de rester en tête des exigences de conformité.

10.3 "Les entreprises doivent mettre en œuvre et exiger des prestataires de services dans le cadre d'accords d'externalisation importants qu'ils mettent en œuvre des plans de continuité des activités appropriés pour anticiper, résister, réagir et se remettre d'une perturbation opérationnelle grave mais plausible."

10.9 "Conformément à la règle fondamentale 7, en cas de perturbation ou d'urgence (y compris chez un prestataire de services externalisé ou tiers), les entreprises doivent s'assurer qu'elles ont mis en place des mesures efficaces de communication de crise. Ceci afin que toutes les parties prenantes internes et externes concernées, y compris la Banque, la PRA, la FCA, les autres régulateurs internationaux et, le cas échéant, les prestataires de services eux-mêmes, soient informés en temps utile et de manière appropriée."

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises, basée sur les pratiques de la norme ISO 22301, qui permet aux organisations de :

• Catégoriser les fournisseurs en fonction de leur profil de risque et de leur criticité pour l'entreprise.

• Définir des objectifs de points de reprise (RPO) et des objectifs de délais de reprise (RTO).

• Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.

• Assurer une communication cohérente avec les fournisseurs pendant les perturbations de l'activité.

Prevalent fournit des ressources gratuites que les organisations peuvent utiliser lorsqu'elles élaborent ou développent leurs programmes de continuité des activités de tiers.