La ligne directrice B-13 du BSIF est une ligne directrice publiée par le Bureau du surintendant des institutions financières (BSIF) au Canada qui décrit les exigences en matière de gestion des risques afin de renforcer la résilience face aux risques technologiques et cybernétiques, y compris ceux posés par des tiers. À l'instar de la ligne directrice B-10, qui traite de l'externalisation, la ligne directrice B-13 s'applique à toutes les institutions financières sous réglementation fédérale (IFRF), y compris les succursales de banques étrangères et les succursales de compagnies d'assurance étrangères opérant au Canada.
Publiée initialement en juillet 2022, la ligne directrice B-13 s'articule autour de trois domaines, chacun ayant un résultat souhaité contribuant à la résilience face aux risques technologiques et cybernétiques. Les résultats sont étayés par 17 principes, qui sont eux-mêmes étayés par des lignes directrices individuelles.
OSFI B-13 et gestion des risques liés aux tiers
En ce qui concerne la gestion des risques liés aux tiers, la ligne directrice B-13 souligne la nécessité pour les institutions financières de mettre en œuvre des stratégies globales pour gérer les risques associés à l'externalisation et aux relations avec des tiers. Le tableau ci-dessous résume les lignes directrices spécifiques à la gestion des risques liés aux tiers dans la ligne directrice B-13 et fournit des recommandations sur les meilleures pratiques pour répondre aux exigences.
REMARQUE : Ce tableau résume uniquement les exigences spécifiques aux risques liés aux tiers. Pour obtenir la liste complète de toutes les exigences et de tous les principes, veuillez consulter les lignes directrices complètes du BSIF.
| Principes | Meilleures pratiques en matière de TPRM |
|---|---|
| Domaine : Gouvernance et gestion des risques
Ce domaine définit les attentes du BSIF en matière de responsabilité officielle, de leadership, de structure organisationnelle et de cadre utilisés pour soutenir la gestion des risques et la surveillance de la technologie et de la cybersécurité. Résultat : Les risques technologiques et cybernétiques sont gérés grâce à des responsabilités et des structures claires, ainsi qu'à des stratégies et des cadres complets. |
|
| Principe 1 : La haute direction devrait confier la responsabilité de la gestion des risques technologiques et cybernétiques à des cadres supérieurs. Elle devrait également veiller à ce qu'une structure organisationnelle appropriée et des ressources adéquates soient en place pour gérer les risques technologiques et cybernétiques dans l'ensemble de l'IRFFF.
Principe 2 : Les institutions financières réglementées devraient définir, documenter, approuver et mettre en œuvre un ou plusieurs plans stratégiques en matière de technologie et de cybersécurité. Ces plans devraient s'aligner sur la stratégie commerciale et fixer des buts et des objectifs mesurables et évolutifs en fonction des changements dans l'environnement technologique et cybernétique de l'institution financière réglementée. |
Rechercher experts collaborer avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM dans le cadre de votre approche globale de gestion des risques ; sélectionner des questionnaires et des cadres d'évaluation des risques ; et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, depuis la recherche de fournisseurs et la diligence raisonnable jusqu'à la résiliation et au départ.
Dans le cadre de ce processus, vous devez définir : * Rôles et responsabilités clairement définis (par exemple, RACI). |
| Principe 3 : Les institutions financières fédérales devraient établir un cadre de gestion des risques technologiques et cybernétiques (RMF). Ce cadre devrait définir le niveau de risque acceptable pour les risques technologiques et cybernétiques et préciser les processus et les exigences des institutions financières fédérales en matière d'identification, d'évaluation, de gestion, de surveillance et de communication des risques technologiques et cybernétiques. | Recherchez une solution de gestion des risques qui propose une vaste bibliothèque d'évaluations des risques spécifiques à certains cadres, tels que ISO, NIST ou autres. Tirez parti d'évaluations des risques prédéfinies et spécifiques à certains cadres pour simplifier la cartographie des contrôles et la création de rapports. Le cadre choisi doit être conforme aux exigences de gestion des risques au niveau de l'entreprise. Meilleures pratiques pour répondre aux exigences de la ligne directrice B-13 du BSIF |
| Domaine : Opérations technologiques et résilience
Ce domaine définit les attentes du BSIF en matière de « gestion et de surveillance des risques liés à la conception, à la mise en œuvre, à la gestion et à la récupération des actifs et des services technologiques ». Résultat : un environnement technologique stable, évolutif et résilient. L'environnement est maintenu à jour et soutenu par des processus opérationnels et de reprise robustes et durables. |
|
| Principe 7 : Les FRFI devraient mettre en œuvre un cadre de cycle de vie du développement des systèmes (SDLC) pour le développement, l'acquisition et la maintenance sécurisés de systèmes technologiques qui fonctionnent comme prévu à l'appui des objectifs opérationnels. | Dans le cadre du processus de diligence raisonnable, exigez des fournisseurs qu'ils fournissent des nomenclatures logicielles (SBOM) mises à jour pour leurs produits logiciels. Cela vous aidera à identifier les vulnérabilités potentielles ou les problèmes de licence susceptibles d'avoir un impact sur la sécurité et la conformité de votre organisation. |
| Principe 10 : Les FRFI devraient détecter, consigner, gérer, résoudre, surveiller et signaler efficacement les incidents technologiques et en minimiser les répercussions. | Suivre et analyser en continu menaces externes envers des tiersDans ce cadre, surveillez Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.
Les sources de surveillance doivent inclure : Toutes les données de surveillance doivent être corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser les initiatives d'examen des risques, de reporting, de remédiation et d'intervention. Une fois que toutes les données d'évaluation et de suivi sont corrélées dans un registre central des risques, il convient d'attribuer une note aux risques et de les classer par ordre de priorité en fonction d'un modèle de probabilité et d'impact. Ce modèle doit encadrer les risques dans une matrice, de sorte que vous puissiez facilement voir les risques ayant l'impact le plus élevé et prioriser les efforts de remédiation sur ceux-ci. Attribuer des responsables et assurer le suivi des risques et des mesures correctives jusqu'à un niveau acceptable pour l'entreprise. |
| Principe 11 : Les FRFI devraient élaborer des normes et des processus en matière de services et de capacités afin de surveiller la gestion opérationnelle de la technologie, en veillant à ce que les besoins opérationnels soient satisfaits. | Évaluez en permanence l'efficacité de votre programme TPRM en fonction de l'évolution des besoins et des priorités de l'entreprise, en mesurant les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurs tiers tout au long du cycle de vie de la relation. |
| Domaine : Cybersécurité
Ce domaine définit les attentes du BSIF en matière de « gestion et de surveillance des cyberrisques ». Résultat : une posture technologique sécurisée qui préserve la confidentialité, l'intégrité et la disponibilité des actifs technologiques de l'IRFF. |
|
| Principe 14 : Les FRFI doivent maintenir un éventail de pratiques, de capacités, de processus et d'outils permettant d'identifier et d'évaluer les faiblesses en matière de cybersécurité qui pourraient être exploitées par des acteurs malveillants externes et internes. | Recherchez des solutions qui proposent une vaste bibliothèque de modèles prédéfinis pour les évaluations des risques liés aux tiers. Les évaluations doivent être réalisées au moment de l'intégration du fournisseur, du renouvellement du contrat ou à toute fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants dans la relation. Les évaluations doivent être gérées de manière centralisée et s'appuyer sur des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin de garantir que votre équipe ait une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation. Il est important qu'une solution TPRM inclue des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et puissent fournir les preuves appropriées aux auditeurs. Dans le cadre de ce processus, suivez et analysez en permanence les menaces externes pesant sur les tiers. Toutes les données de surveillance doivent être corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui permet de rationaliser les initiatives d'examen des risques, de reporting, de remédiation et de réponse. Les exigences de la ligne directrice B-13 s'inscrivent dans un cadre plus large visant à garantir que les institutions financières gèrent efficacement les risques technologiques et cybernétiques, en particulier dans un contexte où les services tiers sont de plus en plus utilisés. Commencez votre parcours vers la conformité avec ces pratiques : |
| Principe 17 : Les FRFI devraient réagir aux incidents de cybersécurité qui touchent leurs actifs technologiques, y compris ceux provenant de fournisseurs tiers, les contenir, les réparer et en tirer des leçons. | Dans le cadre de votre stratégie globale stratégie de gestion des incidents Veillez à ce que votre programme tiers de réponse aux incidents permette à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impact des incidents. incidents de sécurité liés à des fournisseurs tiers.
Les principales fonctionnalités d'un service tiers de réponse aux incidents comprennent : Pensez également à exploiter les bases de données qui contiennent plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications en temps réel des fournisseurs en cas de violation de données. Forte de ces informations, votre équipe peut mieux comprendre la portée et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en faisant appel à des experts. Diligence raisonnable : effectuez une diligence raisonnable approfondie avant de conclure un contrat avec des tiers. Cela comprend l'évaluation de la stabilité financière, de la réputation et de l'adéquation des mesures de cybersécurité du tiers. |
- Contrats avec des tiers : inclure dans les contrats avec des tiers des clauses spécifiques traitant des risques technologiques et cybernétiques. Cela comprend des clauses relatives à la protection des données, au droit d'audit, au respect des indicateurs de performance clés et des seuils de risque clés, ainsi qu'aux exigences en matière de réponse aux incidents.
- Évaluations des risques : Effectuez régulièrement des évaluations des risques
afin de comprendre les risques potentiels que peuvent présenter les tiers, principalement en matière de technologie et de cybersécurité. Cela doit inclure une évaluation de la manière dont les tiers traitent les données et de l'impact potentiel des perturbations ou des violations de données. - Surveillance et rapports : surveiller en permanence les cyberrisques, les performances des tiers et le respect des accords contractuels. Ils doivent disposer de processus permettant de signaler et de traiter rapidement tout problème ou toute violation.
- Gestion et réponse aux incidents : veiller à ce que les tiers disposent de plans adéquats de gestion et de réponse aux incidents. Cela inclut des canaux de communication clairs et des protocoles pour répondre aux incidents cybernétiques.
- Continuité des activités et planification d'urgence :
Veillez à ce que les tiers disposent de plans de continuité des activités solides, alignés sur les plans d'urgence de l'institution. Cela permet d'assurer la continuité des services essentiels en cas de perturbation. - Stratégies de résiliation et de sortie : établir des stratégies et des procédures claires pour mettre fin aux relations avec des tiers et assurer une transition en douceur sans compromettre la sécurité ou la continuité du service.
Prochaines étapes pour la conformité à la norme OSFI B-13
La ligne directrice B-13 du BSIF fournit un cadre complet pour garantir la résilience face aux risques technologiques et cybernétiques, y compris ceux posés par des tiers. Si votre organisation examine ses pratiques en matière de résilience opérationnelle, téléchargez notre liste de contrôle de conformité à la ligne directrice B-13 du BSIFou contactez Prevalent pour demander une démonstration.
Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
