APRA CPS 234 : Meilleures pratiques pour répondre aux exigences en matière de gestion des risques liés aux tiers

La norme CPS 234 de l'Autorité australienne de régulation prudentielle (APRA) vise à améliorer la résilience opérationnelle du secteur financier. Voici les meilleures pratiques pour répondre aux principales exigences de la norme en matière de sécurité de l'information des tiers.

Personnel de Mitratech
Personnel de Mitratech 13 décembre 2022 8 min de lecture
Decorative image

En réponse à la menace constante de cyberattaques ciblant les organisations de services financiers, l'Autorité australienne de régulation prudentielle (APRA) a mis en œuvre la norme réglementaire CPS 234
en juillet 2019. Cette norme exige que toutes les organisations de services financiers en Australie, "prennent des mesures pour être résilientes contre les incidents de sécurité de l'information (y compris les cyber-attaques) en maintenant une capacité de sécurité de l'information proportionnelle aux vulnérabilités et aux menaces en matière de sécurité de l'information."

Plus précisément, la norme CPS 234 exige des organisations qu'elles

  • Définir clairement les rôles et responsabilités du conseil d'administration, de la direction générale, des organes directeurs et des individus en matière de sécurité de l'information ;
  • Maintenir une capacité de sécurité de l'information qui permette la résilience opérationnelle et qui soit proportionnelle à l'ampleur des menaces qui pèsent sur ses actifs informationnels ;
  • mettre en œuvre des contrôles pour protéger ses actifs informationnels en fonction de leur criticité et de leur sensibilité, et tester systématiquement l'efficacité de ces contrôles ; et
  • Notifier à l'APRA les incidents importants liés à la sécurité de l'information.

L'un des principaux objectifs de la norme est de minimiser l'impact des incidents de sécurité de l'information sur la confidentialité, l'intégrité et la disponibilité des actifs et des données gérés par des tiers. Cet article examine les principales dispositions de la norme APRA CPS 234 qui régissent les exigences en matière de sécurité de l'information des tiers et identifie les meilleures pratiques que vous pouvez utiliser pour répondre à ces exigences.

APRA CPS 234 Lignes directrices sur la sécurité de l'information pour la gestion des risques liés aux tiers

La norme de l'APRA est organisée en plusieurs catégories d'exigences. Nous avons identifié celles qui s'appliquent le plus à la gestion des risques des tiers et les meilleures pratiques qui peuvent aider à satisfaire aux exigences.

Rôles et responsabilités

Cette catégorie comprend des dispositions qui obligent les entreprises à identifier les personnes responsables de la sécurité de l'information au sein de leur organisation et les fonctions qu'elles exercent. Elle encourage la formation d'équipes interfonctionnelles pour assurer un contrôle adéquat, et la gouvernance par le conseil d'administration.

Pour que la gestion des risques liés aux tiers soit un élément clé d'un programme global de sécurité de l'information, élaborez un programme complet de gestion des risques liés aux tiers (TPRM) en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risque et de conformité, sur la base de meilleures pratiques éprouvées et d'une vaste expérience du monde réel. Dans le cadre de ce programme de gouvernance, vos équipes internes devraient définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI)
  • Inventaires de tiers
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Méthodes d'évaluation et de suivi basées sur la criticité des tiers
  • Cartographie quadripartite
  • Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Politiques, normes, systèmes et processus régissant la protection des données
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

Veillez à examiner chaque étape du cycle de vie de la tierce partie - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'exclusion - afin d'aligner les attentes sur l'appétit pour le risque de votre organisation.

Capacité de sécurité de l'information

Cette catégorie comprend l'obligation d'évaluer régulièrement les capacités des tiers en matière de sécurité de l'information et de surveiller en permanence les menaces.

Pour faciliter l'automatisation d'un processus qui peut s'avérer très fastidieux, il convient d'envisager :

  • Exploiter plusieurs types d'évaluation des risques par des tiers, soutenus par des capacités de flux de travail, de gestion des tâches et d'examen automatisé des preuves. Ce niveau de flexibilité aidera votre équipe à traiter les risques les plus importants pour l'organisation.
  • Surveiller l'Internet et le dark web pour détecter les cybermenaces et les vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances. Cela permet de maintenir l'attention sur les risques entre deux évaluations.
  • La mise en corrélation des données de contrôle avec les résultats de l'évaluation permet d'établir un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.
  • Créer une bibliothèque de recommandations de remédiation basées sur les résultats de l'évaluation des risques afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante.

Si vos ressources et votre expertise sont limitées, vous pouvez externaliser la gestion du cycle de vie des risques liés aux tiers, depuis l'intégration des fournisseurs et la collecte de preuves jusqu'à la fourniture de conseils en matière de remédiation et l'établissement de rapports sur les accords de niveau de service (SLA). Vous réduisez ainsi les risques liés aux fournisseurs et simplifiez la conformité sans alourdir la charge de travail du personnel interne.

Cadre politique

La catégorie "cadre politique" exige des entreprises qu'elles maintiennent une politique de sécurité et qu'elles veillent à ce que les équipes internes et les tiers en aient connaissance, y adhèrent et l'évaluent régulièrement.

Comme la conformité peut être délicate et prendre du temps, tirez parti d'une méthodologie d'évaluation qui s'appuie sur les principaux cadres de gouvernance de la sécurité de l'information, tels que l'ISO. Grâce à cette capacité, vous pouvez visualiser et traiter les exigences de conformité dans le cadre qui s'applique le mieux à votre organisation.

Actifs informationnels Identification et classification

Cette catégorie de la norme CPS 234 exige des entités réglementées par l'APRA qu'elles classent leurs actifs informationnels, y compris ceux gérés par des parties liées et des tiers, en fonction de leur criticité et de leur sensibilité.

Pour lancer ce processus, il convient de définir une méthodologie de suivi et de quantification des risques inhérents. Les critères utilisés pour calculer le risque inhérent en vue de la classification par un tiers doivent comprendre les attributs suivants :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

Mise en œuvre des contrôles et test de l'efficacité des contrôles

Ces catégories exigent que les entreprises disposent de contrôles de la sécurité de l'information pour protéger les actifs informationnels, y compris ceux gérés par des parties liées et des tiers, qu'ils soient proportionnés aux risques applicables à l'entreprise, que leur conception soit régulièrement testée et que les déficiences auxquelles il ne peut être remédié en temps utile soient signalées au conseil d'administration ou à la direction générale.

Commencez par examiner les réponses et la documentation de l'évaluation d'un tiers par rapport aux protocoles de test établis afin de valider la mise en place des contrôles indiqués. Ensuite, il convient de faire correspondre les réponses à des cadres communs tels que SIG, ISO ou SOC 2 afin de simplifier leur évaluation et de suivre les mesures correctives jusqu'à leur achèvement.

Gestion des incidents

Cette catégorie exige des entités réglementées par l'APRA qu'elles mettent en place des politiques et des procédures pour détecter les incidents de sécurité de l'information et y répondre en temps utile, y compris l'escalade, le signalement et la révision régulière des politiques.

La mise en place d'un processus de gestion des incidents testé et éprouvé est essentielle pour accélérer la découverte et l'atténuation des incidents. Les étapes clés comprennent la gestion centralisée des fournisseurs, l'évaluation des événements, la notation des risques identifiés, la corrélation avec la cybersurveillance continue et l'accès aux conseils de remédiation.

Audit interne

Cette catégorie de l'APRA CPS 234 stipule que les activités d'audit interne doivent inclure un examen de la conception et de l'efficacité opérationnelle des contrôles de sécurité de l'information, y compris ceux maintenus par des parties liées et des tiers (assurance du contrôle de la sécurité de l'information) ; et que l'assurance du contrôle de la sécurité de l'information doit être fournie par un personnel dûment qualifié pour fournir une telle assurance.

Normaliser les évaluations de la sécurité de l'information par rapport à SOC 2, Cyber Essentials, ISO ou d'autres cadres de contrôle de la sécurité de l'information. Cette approche fournit aux équipes d'audit interne et de sécurité informatique une méthodologie centrale pour mesurer et démontrer le respect des contrôles informatiques internes. Ces mêmes évaluations sont également utilisées pour évaluer les contrôles de sécurité de l'information des tiers, ce qui permet d'obtenir une vision consolidée et interne de la sécurité de l'information.

Notification de l'APRA

La dernière catégorie de la norme APRA 234 exige que les entités réglementées par l'APRA notifient l'APRA dans les 72 heures après avoir pris connaissance d'un incident important en matière de sécurité de l'information, et dans les 10 jours ouvrables après avoir pris connaissance d'une faiblesse importante du contrôle de la sécurité de l'information qui ne peut être corrigée en temps voulu.

Pour répondre à cette exigence, il faut produire des rapports efficaces. L'analyse par apprentissage machine (ML) permet de révéler les tendances en matière de risques, l'état des risques liés aux tiers et les exceptions aux comportements courants qui pourraient ne pas être évidents avec de simples rapports basés sur des feuilles de calcul. Ce niveau d'analyse vous aide à visualiser et à répondre aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec les cadres réglementaires et sectoriels, et à produire des rapports spécifiques à la réglementation en une fraction du temps qui est normalement consacré aux processus manuels d'évaluation des risques basés sur des feuilles de calcul.

Comment Prevalent aide à répondre à la norme APRA CPS 234 Information Security Guidelines for Third-Party Risk Management (Lignes directrices sur la sécurité de l'information pour la gestion des risques liés aux tiers)

Prevalent peut aider votre organisation de services financiers à ajouter de la gouvernance et de la surveillance à ses relations avec les tiers :

  • Mise en place d'un programme de gestion des risques de tiers complet, agile et mature, basé sur les meilleures pratiques éprouvées du secteur des services financiers.
  • Automatiser l'identification et l'évaluation des tiers en fonction de leur criticité pour l'organisation
  • Évaluer et surveiller en permanence les risques liés à la cybersécurité, aux affaires, aux finances et à la réputation.
  • Mesurer les indicateurs de risque clés (KRI) et formuler des recommandations de remédiation afin de réduire le risque résiduel pour les tiers.
  • Automatiser les processus de validation des contrôles pour s'assurer que les contrôles clés sont en place et fonctionnent comme prévu.
  • Réduction des délais de réponse aux incidents et d'atténuation des risques grâce à l'automatisation et à la surveillance continue
  • Y compris des modèles pour simplifier l'établissement de rapports d'audit sur les cadres réglementaires et de sécurité à l'intention de multiples parties prenantes internes et externes.

Pour en savoir plus sur la façon dont Prevalent peut vous aider à répondre aux exigences de cette norme en matière de gestion des risques des tiers, téléchargez la liste de contrôle complète de la conformité à la norme APRA CPS 234 ou demandez une démonstration dès aujourd'hui.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.