Simplifier l'évaluation des risques par des tiers par rapport aux exigences de déclaration à la SEC
En juillet 2023, la Securities and Exchange Commission (SEC) des États-Unis a adopté de nouvelles règles et modifications visant à améliorer et à normaliser les informations relatives à la gestion des risques de cybersécurité, à la stratégie, à la gouvernance et au signalement des incidents par les entreprises publiques.
La publication de la SEC note que les risques de cybersécurité ont récemment augmenté pour diverses raisons, notamment la dépendance croissante des entreprises à l'égard de prestataires de services tiers pour les services informatiques et le nombre croissant d'incidents de cybersécurité impliquant des prestataires de services tiers.
Les nouveaux amendements et les nouvelles exigences en matière de rapports sont officiellement entrés en vigueur le 18 décembre 2023.
Divulguer des informations sur un incident de cybersécurité important dans les quatre jours ouvrables suivant le moment où l'entreprise détermine que l'incident est important.
Fournir des informations actualisées sur les incidents de cybersécurité déjà divulgués lorsqu'ils deviennent globalement significatifs.
Expliquer le rôle de la direction dans la gouvernance de la cybersécurité
Se conformer aux dernières règles de divulgation de la SEC en matière de cybersécurité
Ce guide est idéal pour tout professionnel de la sécurité, de la conformité ou de la gestion des risques qui doit préparer son organisation à répondre aux dernières exigences de la SEC.
Répondre aux exigences de la SEC en matière de divulgation de la cybersécurité
Les règles et amendements de la SEC ont été introduits en réponse à un manque de cohérence dans les rapports d'incidents de cybersécurité des entreprises publiques, ce qui peut éroder la confiance des investisseurs. Le tableau ci-dessous résume les principales exigences en matière de gestion des risques par des tiers et de divulgation des incidents afin de restaurer cette confiance.
REMARQUE : ces informations sont présentées à titre d'orientation sommaire uniquement. Les organisations doivent examiner l'intégralité des exigences de la SEC en consultation avec leurs auditeurs.
Amendements | Quelle aide nous apportons |
---|---|
Déclaration des incidents de cybersécurité sur formulaire 8-K |
|
"Décrire les aspects importants de la nature, de la portée et du moment de l'incident, ainsi que l'impact important ou l'impact important raisonnablement probable sur le déclarant, y compris sa situation financière et ses résultats d'exploitation. |
Prevalent permet à votre équipe d'identifier rapidement les incidents de sécurité de fournisseurs tiers, d'y répondre, d'en rendre compte et d'en atténuer l'impact, dans le cadre de votre stratégie plus large de gestion des incidents. Outre nos solutions de plate-forme SaaS, Prevalent propose un service géré dans le cadre duquel nos experts gèrent vos fournisseurs de manière centralisée, procèdent à des évaluations proactives des risques liés aux événements, notent les risques identifiés, établissent des corrélations avec la surveillance continue de cyber et fournissent des conseils sur les mesures correctives, tout cela en votre nom. Les capacités clés comprennent :
Prevalent permet également d'accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde - y compris les types et les quantités de données volées, les problèmes de conformité et de réglementation, et les notifications en temps réel des violations de données des fournisseurs. Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact éventuel sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel aux experts de Prevalent . |
Divulgation des incidents de cybersécurité dans les rapports périodiques : Mises à jour des informations précédemment déposées sur le formulaire 8-K |
|
"Divulguer les informations qui auraient été initialement déclarées sur le formulaire 8-K si elles avaient été connues ou disponibles au moment de la divulgation initiale". |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont mises en corrélation avec les résultats des évaluations et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui permet de rationaliser l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse. Les sources de surveillance comprennent :
|
Divulgation de la stratégie et de la gestion des risques de cybersécurité d'un déclarant Point 106(b) du règlement S-K |
|
"Si et comment les processus de cybersécurité décrits dans la rubrique 106(b) ont été intégrés dans le système ou les processus globaux de gestion des risques du déclarant" |
Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM), en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risques et de conformité, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers - de la recherche de sources d'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration - en fonction de l'appétit pour le risque de votre organisation. Dans le cadre de ce processus, Prevalent peut vous aider à définir :
|
"Le déclarant engage-t-il des évaluateurs, des consultants, des auditeurs ou d'autres tiers dans le cadre de ces processus ? |
Prevalent propose une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation des risques liés aux tiers. Les évaluations peuvent être réalisées au moment de l'intégration, du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement) en fonction des changements importants. Les évaluations sont gérées de manière centralisée dans la plateforme Prevalent et sont soutenues par des fonctionnalités de flux de travail, de gestion des tâches et d'examen automatisé des preuves afin de garantir que votre équipe dispose d'une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Plus important encore, Prevalent fournit des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir des preuves appropriées aux auditeurs. La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres sectoriels. Prevalent met automatiquement en correspondance les informations recueillies à partir des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser et de traiter rapidement les exigences de conformité importantes et d'ajuster votre programme en conséquence - y compris l'acceptation ou non des risques résiduels. Pour les organisations dont les ressources et l'expertise sont limitées, Prevalent peut gérer le cycle de vie du risque lié aux tiers en votre nom, depuis l'intégration des fournisseurs et la collecte de preuves jusqu'à la fourniture de conseils sur les mesures correctives et l'établissement de rapports sur les accords de niveau de service contractuels. Ainsi, vous réduisez les risques liés aux fournisseurs et simplifiez la conformité sans alourdir la charge du personnel interne. |
"Si le déclarant dispose de processus de surveillance et d'identification des risques importants liés aux menaces de cybersécurité associées à son utilisation d'un fournisseur de services tiers. |
Prevalent vous permet d'évaluer et de surveiller vos tiers en fonction de l'ampleur des menaces qui pèsent sur vos actifs informationnels en capturant, en suivant et en quantifiant les risques inhérents pour tous les tiers. Les critères utilisés pour calculer le risque inhérent pour la classification des tiers comprennent :
À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs par ordre de priorité, définir des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction de l'interaction des données et de considérations financières, réglementaires et de réputation. |
Divulgation du rôle de la direction et du conseil d'administration d'un déclarant en matière de gouvernance de la cybersécurité Points 106(c)(1) et 106(c)(2) du règlement S-K |
|
" Les processus par lesquels le conseil d'administration est informé des risques de cybersécurité, et la fréquence de ses discussions sur ce sujet ; et .... "Les processus par lesquels ces personnes ou comités sont informés de la prévention, de la détection, de l'atténuation et de la correction des incidents de cybersécurité et en assurent le suivi .... "La question de savoir si ces personnes ou comités communiquent des informations sur ces risques au conseil d'administration ou à un comité ou sous-comité du conseil d'administration. |
Prevalent fournit un cadre permettant de mesurer de manière centralisée les KRI des tiers par rapport à vos exigences et de réduire les lacunes en matière de surveillance des fournisseurs grâce à des informations intégrées d'apprentissage automatique (ML) et à des rapports personnalisables basés sur les rôles. Ces capacités peuvent aider votre équipe à découvrir les tendances en matière de risques, à déterminer le statut de risque d'un tiers et à identifier les exceptions aux comportements courants qui pourraient justifier une enquête plus approfondie. Prevalent améliore également l'efficacité en mettant les bonnes données entre les bonnes mains au bon moment. Les destinataires des rapports peuvent ainsi déterminer rapidement l'acceptabilité des risques et prendre des décisions en toute confiance, quel que soit leur niveau de compétence. |
Aligner votre programme TPRM sur les normes ISO, NIST, SOC 2, etc.
Téléchargez ce guide pour passer en revue les exigences spécifiques de 11 autorités différentes en matière de cybersécurité, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Préparez-vous à la mise à jour des exigences de la SEC en interrogeant vos vendeurs et fournisseurs sur leur risque de cybersécurité...
Les lignes directrices de l'ABE définissent les dispositions de gouvernance interne que les établissements de crédit, de paiement et de monnaie électronique...
Renseignez-vous sur les exigences relatives à l'évaluation par un tiers dans la ligne directrice B-10 du Bureau du surintendant des ...