Note de la rédaction : Dans l'édition de cette semaine de notre série d'articles intitulée « Gestion des risques liés aux tiers : comment échapper à la surveillance réglementaire », nous examinons les directives FG 16/5 de la Financial Conduct Authority (FCA) destinées aux entreprises qui externalisent leurs services informatiques vers le cloud ou d'autres prestataires tiers. N'hésitez pas à consulter tous les articles de cette série et à télécharger le livre blanc pour obtenir un examen complet des exigences.
La Financial Conduct Authority (FCA) est un organisme de réglementation britannique indépendant du gouvernement britannique qui réglemente les sociétés financières fournissant des services aux consommateurs et veille à l'intégrité des marchés financiers au Royaume-Uni.
En juillet 2018, la FCA a publié ses directives définitives, FG 16/5 Guidance for firms outsourcing to the « cloud » and other third-party IT services(Directives à l'intention des entreprises qui externalisent vers le « cloud » et d'autres services informatiques tiers), afin d'aider les entreprises financières à superviser efficacement tous les aspects du cycle de vie des accords d'externalisation. Cela comprend :
- Prendre la décision d'externaliser et choisir un prestataire de services
- Réaliser des évaluations des risques appropriées pour tous les accords d'externalisation
- Surveiller en permanence les activités externalisées, identifier et gérer les risques
La directive FCA 16/5 a ajouté des contrôles spécifiques au cloud, conformément aux exigences générales de la FCA en matière d'externalisation figurant dans les sections « Systèmes et contrôles » (SYSC) du manuel FCA destiné aux entreprises soumises à une réglementation appropriée, et exige également la conformité avec le RGPD. Bien que cette directive ne soit pas contraignante et vise à illustrer les moyens par lesquels les entreprises peuvent se conformer aux règles applicables, les entreprises doivent la prendre en considération dans le contexte de leurs obligations générales au titre du système réglementaire. Le respect de ces directives indique généralement la conformité aux exigences réglementaires de la FCA en matière d'externalisation.
Respect des exigences de conformité relatives au cloud FCA et aux services informatiques tiers
Le guide FCA FG 16/5 aide les entreprises à superviser efficacement tous les aspects du cycle de vie des accords d'externalisation. Aux fins de cet article, nous avons résumé certaines exigences de la FCA et identifié les fonctionnalités de la plateforme de gestion des risques liés aux tiers Prevalent qui démontrent l'étendue et la valeur que vous pouvez tirer de notre plateforme TPRM complète. Pour obtenir la liste complète des exigences de la FCA et savoir comment les fonctionnalités de Prevalent y répondent directement, veuillez télécharger le livre blanc intitulé « The Third-Party Risk Management Compliance Handbook » (Manuel de conformité en matière de gestion des risques liés aux tiers).
Selon la FCA FG 16/5, l'externalisation efficace des services informatiques auprès de tiers comprend :
- Identifier et gérer de manière appropriée les risques opérationnels liés au recours à des tiers, notamment en effectuant une vérification préalable avant de décider d'externaliser.
- Réaliser et documenter une évaluation des risques afin d'identifier les risques pertinents et de déterminer les mesures à prendre pour les atténuer.
- Veiller à ce que le personnel dispose des compétences et des ressources suffisantes pour superviser et tester les activités externalisées ; identifier, surveiller et atténuer les risques.
- Réaliser une évaluation des risques liés à la sécurité qui inclut le fournisseur de services et les actifs technologiques gérés par l'entreprise.
Prevalent aide à évaluer et à surveiller les tiers conformément aux directives de la FCA
La FCA considère que le recours approprié à l'externalisation vers le cloud et à d'autres services informatiques tiers permet aux entreprises d'accroître leur flexibilité et de favoriser l'innovation. D'autre part, la FCA reconnaît que l'externalisation vers le cloud peut également entraîner des risques qui doivent être correctement identifiés, surveillés et atténués. Cela passe par une évaluation appropriée des risques.
Le service Prevalent Assessment automatise le cycle de vie de la gestion des risques fournisseurs, y compris la collecte, l'analyse et la correction des risques tiers, offrant aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une solution unique pour gérer le processus d'évaluation des risques des fournisseurs de services informatiques et déterminer la conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données. Grâce à des workflows de remédiation bidirectionnels, des rapports en temps réel et un tableau de bord facile à utiliser pour plus d'efficacité, la solution garantit que les risques sont identifiés et transmis aux canaux appropriés.
La solution Cyber & Business Monitoring de Prevalent offre aux entreprises la possibilité d'obtenir des informations sur les vulnérabilités informatiques potentielles d'un prestataire de services ou sur les risques commerciaux pertinents avant de conclure un contrat ou pendant un accord commercial défini. La solution combine l'analyse native des vulnérabilités avec plusieurs sources externes d'informations sur les cybermenaces afin de fournir des informations approfondies sur les risques informatiques des prestataires de services. Prevalent se distingue également par son offre de surveillance des risques commerciaux, qui fait appel à des analystes humains pour interpréter les risques opérationnels, réglementaires, juridiques, financiers et liés à la marque.
Ces fonctionnalités sont centralisées dans la plateforme Prevalent Third-Party Risk Management, qui comprend des rapports efficaces permettant de satisfaire aux exigences en matière d'audit et de conformité, ainsi que de présenter les conclusions au conseil d'administration et à la direction. L'ensemble du profil de risque peut être consulté dans la console de reporting centralisée en temps réel, et les rapports peuvent être téléchargés et exportés afin de déterminer le statut de conformité. Les fonctionnalités avancées de reporting comprennent des filtres et des graphiques interactifs accessibles par simple clic. La solution comprend un référentiel complet de tous les documents collectés et examinés au cours du processus de diligence raisonnable.
La plateforme de gestion des risques tiers de Prevalent fournit un cadre complet pour la mise en œuvre de la gestion des politiques, de l'audit et du reporting, comme l'exige la directive FCA FG 16/5.
Contactez-nous dès aujourd'hui pour obtenir une démonstration et découvrir comment cela fonctionne.
Notre série continue…
Le blog de la semaine prochaine examine les considérations relatives à la gestion des risques liés aux tiers inhérentes au règlement général sur la protection des données (RGPD).
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
