Guide interagences sur les relations avec les tiers : Comment s'y conformer

L'Interagency Guidance on Third-Party Relationships aligne les exigences du U.S. Federal Reserve System, de la U.S. Federal Deposit Insurance Corporation et de l'Office of the Comptroller of the Currency. Voici les meilleures pratiques pour préparer votre programme de gestion des relations avec les tiers à la conformité.

Personnel de Mitratech
Personnel de Mitratech Juin 20, 2023 8 min de lecture
Decorative image

Le 6 juin 2023, le Conseil des gouverneurs du Système fédéral de réserve (le Conseil), la Federal Deposit Insurance Corporation (FDIC) et l'Office of the Comptroller of the Currency (OCC) ont publié des orientations uniformes sur la gestion des risques associés aux relations avec des tiers dans les organisations bancaires. Interagency Guidance on Third-Party Relationships : Risk Management est basé sur les orientations de l'OCC de 2013 et les FAQ de 2020. Elle remplace les directives existantes de chaque agence sur les relations avec les tiers et s'applique à toutes les organisations bancaires supervisées par les agences.

La conformité totale étant attendue dans un délai de 12 mois, le moment est venu pour les banques réglementées d'examiner les recommandations et de déterminer l'impact sur leurs programmes de gestion des risques des tiers. Ce billet examine les objectifs de la directive et propose des bonnes pratiques pour s'y conformer.

L'objectif du guide interagences sur les relations avec les tiers

L'objectif de l'Interagency Guidance est d'apporter de l'uniformité et de la cohérence dans la manière dont les organisations bancaires développent et appliquent les principes de gestion des risques dans le cadre des relations avec les tiers. Selon le document, "les orientations finales présentent le point de vue des agences sur les principes sains de gestion des risques pour les organisations bancaires lors de l'élaboration et de la mise en œuvre des pratiques de gestion des risques à tous les stades du cycle de vie des relations avec les tiers".

Définition et principes relatifs aux tiers dans les lignes directrices interagences

Les lignes directrices définissent une relation avec un tiers comme "tout accord commercial entre un organisme bancaire et une autre entité, par contrat ou autrement"; ellesdécrivent le cycle de vie de la gestion des risques liés aux tiers et identifient les principes applicables à chaque étape du cycle de vie d'un tiers, comme indiqué ci-dessous :

Lignes directrices interagences Cycle de vie des relations avec les tiers

Source : Conseil d'administration, FDIC et OCC

Comment se conformer au guide interagences sur les relations avec les tiers ?

Chacun des six principes énoncés dans le guide interagences sur les relations avec les tiers correspond à une étape du cycle de vie des tiers. Voici les principales exigences et les meilleures pratiques recommandées pour chaque étape.

1. La planification

Dès le début d'une relation avec un tiers, les lignes directrices recommandent d'évaluer les types et la nature des risques liés à la relation et d'élaborer un plan de gestion de la relation et des risques qui y sont associés. Dans le cadre du processus d'établissement ou d'affinement de votre programme de gestion des risques liés aux tiers, prenez en compte les éléments suivants :

  • Réglementer les politiques, les normes, les systèmes et les processus afin de protéger les systèmes et les données
  • Rôles et responsabilités (par exemple, RACI) de tous les membres de l'équipe concernés
  • Inventaires des tiers pour comprendre l'ampleur et la portée de l'implication des tiers
  • Classification par des tiers et approches de catégorisation
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Méthodes d'évaluation
    Méthodes d'évaluation et de suivi fondées sur la criticité des tiers
  • Participation des quatrième et neuvième parties à la fourniture de services essentiels
  • Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
  • Indicateurs clés de performance (ICP) et indicateurs clés de risque (ICR) pour évaluer votre programme et les tiers.
  • Exigences en matière de conformité et de rapports contractuels
  • Processus de réponse aux incidents
  • Rapports internes aux parties prenantes - pour la direction et le conseil d'administration
  • Stratégies d'atténuation des risques et de remédiation

Chacun de ces éléments est essentiel à l'élaboration d'un plan de programme de TPRM complet.

2. Diligence raisonnable et sélection des tiers

Une fois qu'un tiers a été identifié, il est essentiel de procéder à un contrôle préalable approfondi avant de le sélectionner et de conclure un contrat. Le guide interagences sur les relations avec les tiers suggère que la diligence raisonnable devrait inclure l'évaluation de la capacité d'un tiers à effectuer l'activité comme prévu, à adhérer aux politiques, à se conformer à toutes les lois, réglementations et exigences applicables, et à opérer de manière sûre et saine.

Pour réussir cette étape, il faut évaluer et surveiller les tiers en fonction de l'ampleur des menaces qui pèsent sur les actifs informationnels, en saisissant, en suivant et en quantifiant les risques inhérents. Les critères utilisés pour calculer les risques inhérents sont les suivants

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les tiers, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

3. Négociation du contrat

Les lignes directrices recommandent de revoir périodiquement les contrats existants, en particulier ceux qui impliquent des activités critiques, afin de s'assurer qu'ils continuent à prendre en compte les contrôles des risques et les protections juridiques pertinents.

Pour répondre à ces exigences, il faut centraliser la distribution, la discussion, la conservation et l'examen des contrats avec des tiers afin que toutes les équipes concernées puissent participer à l'examen des contrats pour s'assurer que les clauses appropriées sont incluses et gérées.

Les pratiques clés à prendre en compte dans la gestion des contrats avec des tiers sont les suivantes :

  • Stockage centralisé des contrats
  • Suivi de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
  • Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
  • Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Une bonne gestion du cycle de vie des contrats permettra à l'organisation d'être efficace :

  • Gérer les accords et les performances
  • Appliquer les clauses de conservation des informations, de droit à l'audit et les mesures de remédiation
  • Obtenir des rapports de conformité
  • Exiger la résilience et la continuité des activités
  • Apporter une visibilité sur la sous-traitance et les tiers basés à l'étranger

4. Contrôle continu

Les programmes efficaces de gestion des risques des tiers comprennent des évaluations périodiques des contrôles internes par rapport aux cadres normalisés de l'industrie et une surveillance continue pour confirmer la qualité et la durabilité des contrôles des tiers.

Pour ce faire, il convient de suivre et d'analyser en permanence les menaces externes pesant sur les tiers en surveillant l'internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance devraient inclure

  • Des forums criminels, des milliers de pages en oignon, des forums d'accès spécial sur le dark web, des flux de menaces et des sites de collage d'informations d'identification ayant fait l'objet d'une fuite, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
  • Sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les mises à jour opérationnelles, etc.
  • Les performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds des actionnaires, etc.
  • Sources relatives à la réputation, à la réglementation et aux sanctions, y compris les profils des personnes politiquement exposées, les listes de sanctions mondiales et les informations réglementaires et juridiques

Corréler toutes les données de contrôle aux résultats de l'évaluation et les centraliser dans un registre des risques unifié pour chaque tiers, afin de rationaliser l'examen des risques, l'établissement de rapports et les initiatives de réponse.

5. Résiliation

Les organisations peuvent être exposées à des risques post-contractuels, mais les études montrent que peu d'entre elles gèrent les risques à la fin d'une relation. Le guide interagences indique qu'il est important que la direction mette fin aux relations avec les tiers de manière efficace, que les activités soient transférées à un autre tiers, qu'elles soient reprises en interne ou qu'elles soient interrompues.

Pour rationaliser le processus de retrait des fournisseurs, automatisez l'évaluation des contrats et les procédures de retrait afin de réduire le risque d'exposition post-contractuelle de votre organisation :

  • Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Émettre des évaluations de contrat personnalisables pour évaluer l'état d'avancement.
  • Utilisez des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, et bien plus encore.
  • Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service (SLA), les accords de service (SOW) et les contrats. Tirez parti de l'analyse automatisée intégrée des documents basée sur le traitement du langage naturel d'AWS et les analyses d'apprentissage automatique pour confirmer que les critères clés sont pris en compte.
  • Prendre des mesures concrètes pour réduire les risques liés aux tiers grâce à des recommandations et des conseils intégrés en matière de remédiation.
  • Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec n'importe quelle réglementation ou cadre.

Rationalisation de la conformité avec les lignes directrices interagences sur les relations avec les tiers

Il est pratiquement impossible de répondre efficacement aux exigences du guide si vous vous appuyez sur des feuilles de calcul pour collecter, analyser, remédier et rendre compte des contrôles de cybersécurité. Grâce à la plateforme Prevalent de gestion des risques liés aux tiers, votre institution financière peut automatiser et accélérer ses initiatives en matière de conformité. La plateforme vous permet de :

  • Mettre en place un programme de gestion des risques de tiers complet, agile et mature, fondé sur les meilleures pratiques éprouvées du secteur financier.
  • Automatiser l'identification et l'évaluation des tiers critiques en fonction de leur criticité pour l'organisation
  • Évaluer et surveiller en permanence les tiers en ce qui concerne les différents types de risques
  • Fournir des recommandations automatisées de remédiation à des tiers afin de réduire le risque résiduel.
  • Mesurer par rapport aux indicateurs de performance clés (KPI) et aux indicateurs de risque clés (KRI) contractuels.
  • Simplifier les rapports d'audit des cadres réglementaires et de sécurité destinés à de multiples parties prenantes internes et externes
  • Mettre en place des programmes normatifs de continuité des activités et de réponse aux incidents afin de s'assurer que les tiers disposent des politiques et des procédures nécessaires pour faire face aux risques émergents.
  • Désengager les tiers en toute sécurité grâce à un processus normatif qui garantit que l'organisation n'est pas exposée à un risque résiduel permanent.

Pour en savoir plus sur le respect de la directive interagences sur les relations avec les tiers, téléchargez notre guide des meilleures pratiques ou contactez-nous pour planifier une démonstration.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.