Répondre aux exigences de la PRA SS2/21 en matière de gestion des risques liés aux tiers

Utilisez ces directives pour répondre aux exigences en matière d'externalisation énoncées dans la déclaration de surveillance SS2/21 de l'Autorité de réglementation prudentielle (PRA) de la Banque d'Angleterre.

Personnel de Mitratech
Personnel de Mitratech Juin 23, 2022 8 min de lecture

En mars 2022, l'Autorité de réglementation prudentielle (PRA) de la Banque d'Angleterre a activé une nouvelle déclaration de surveillance (SS2/21), qui définit les attentes quant à la manière dont les entreprises réglementées par la PRA doivent se conformer aux exigences réglementaires relatives à l'externalisation et à la gestion des risques liés aux tiers afin d'améliorer la résilience des entreprises.

Applicable à toutes les banques, sociétés d'investissement et d'assurance britanniques, ainsi qu'aux succursales britanniques de banques et de sociétés d'assurance étrangères, la déclaration de surveillance (SS) a pour objectifs :

« … faciliter une plus grande résilience et l'adoption du cloud et d'autres nouvelles technologies … compléter les exigences et les attentes en matière de résilience opérationnelle dans le règlement PRA ; SS1/21 … et mettre en œuvre les « Lignes directrices sur les accords d'externalisation » (EBA Outsourcing GL) de l'Autorité bancaire européenne (ABE). »

La déclaration de surveillance clarifie également la différence entre les accords importants d'externalisation et les accords avec des tiers sans externalisation, définit les attentes en matière d'évaluation et de diligence raisonnable des tiers, et identifie les domaines qui nécessitent un examen approfondi, notamment :

  • Sécurité des données
  • Droits d'accès, d'audit et d'information
  • Sous-traitance
  • Continuité des activités et stratégies de sortie

Cet article examine les exigences en matière d'évaluation et de diligence raisonnable pour les tiers externalisés et non externalisés, telles que définies dans la déclaration de surveillance. Il identifie également les fonctionnalités de la plateforme Prevalent Third-Party Risk Management Platform qui peuvent être utilisées pour répondre aux exigences de la PRA.

Comprendre la déclaration de surveillance SS2/21 de la PRA relative aux exigences en matière de gestion des risques liés aux tiers

La déclaration de surveillance SS2/21 exige que les entreprises réglementées par la PRA procèdent à une évaluation de l'importance relative lors de l'intégration des fournisseurs, puis périodiquement par la suite. La PRA souhaite être informée des tiers importants de chaque entreprise. Il est donc temps de vous assurer que vos tiers respectent les pratiques commerciales et opérationnelles nécessaires pour se conformer à la réglementation et minimiser les risques pour votre organisation.

Correspondance entre les capacités courantes et les exigences de la déclaration de surveillance SS2/21 de la PRA

La plateforme de gestion des risques liés aux tiers Prevalent peut aider les organismes de services financiers à répondre aux exigences en matière d'externalisation et de non-externalisation des tiers énoncées dans la norme PRA SS2/21.

REMARQUE : ces directives ne comprennent que les exigences les plus pertinentes et ne doivent pas être considérées comme exhaustives. Pour obtenir la liste complète des exigences, veuillez consulter attentivement la déclaration de surveillance dans son intégralité et vous adresser à votre auditeur.

Section 2 : Définitions et champ d'application

Pour répondre aux exigences des sections 2.8 et 2.9, la plateforme Prevalent offre :

  • Profilage, hiérarchisation et notation des risques inhérents et résiduels sur la base de critères exhaustifs afin d'identifier les tiers sous-traitants importants et non importants.
  • Plus de 100 modèles standardisés et évaluations des risques personnalisées adaptés aux tiers matériels et immatériels, avec gestion intégrée des flux de travail, des tâches et des preuves. Les évaluations couvrent une multitude de cadres basés sur la sécurité des TIC, notamment Cyber Essentials, ISO 27001, NIST 800-53, RGPD et bien d'autres.
  • Gestion des mesures correctives avec des conseils intégrés pour agir sur les risques identifiés liés à l'externalisation matérielle auprès de tiers.
  • Rapports de conformité et de risque par cadre ou réglementation afin de simplifier le processus d'audit.

Section 3 : Proportionnalité

Pour répondre aux exigences des sections 3.6 et 3.7, la plateforme Prevalent :

  • Permet aux équipes chargées de la sécurité et de la gestion des risques de classer automatiquement les fournisseurs en fonction de leur score de risque intrinsèque. Les résultats peuvent être utilisés pour définir les niveaux appropriés de diligence raisonnable supplémentaire et déterminer la portée des évaluations continues.
  • Mappe automatiquement les informations recueillies à partir d'évaluations basées sur le contrôle vers des cadres réglementaires, notamment ISO 27001, RGPD et des dizaines d'autres. Cela vous permet de visualiser et de traiter rapidement les exigences de conformité importantes et de simplifier les processus d'audit.
  • Propose le Prevalent Compliance Framework (PCF), une évaluation unique et complète qui permet aux équipes chargées de la sécurité et de la gestion des risques de cartographier les réponses à plusieurs exigences réglementaires.

Section 5 : Phase préalable à l'externalisation

Pour répondre aux exigences des sections 5.8, 5.10 à 5.13 et 5.18 à 5.24, la plateforme Prevalent offre :

  • Gestion des appels d'offres, permettant aux organisations d'automatiser et d'ajouter des informations sur les risques aux décisions de sélection des fournisseurs.
  • Gestion du cycle de vie des contrats, automatisation visant à améliorer l'expérience contractuelle des fournisseurs et surveillance continue des accords de niveau de service (SLA).
  • Profilage complet et hiérarchisation des tiers afin de déterminer leur importance relative. Les critères pris en compte comprennent la criticité, les considérations réglementaires, la dépendance vis-à-vis de quatrièmes parties, l'exposition opérationnelle, la situation financière et la réputation.
  • La plus grande bibliothèque d'évaluations des risques standardisées et personnalisées avec workflow, tâches et gestion des preuves intégrés. Comprend une évaluation intégrée de la résilience des entreprises basée sur la norme ISO 22301.

  • des cyberrisques, des violations de données, des risques commerciaux, réputationnels et financiers surveillance afin d'évaluer en permanence les risques liés aux fournisseurs entre les évaluations annuelles et de corréler les conclusions avec les résultats des évaluations afin de déterminer si une enquête plus approfondie est nécessaire.
  • Mise en correspondance automatique des résultats d'évaluation et de surveillance avec les cadres de contrôle NIST, ISO et autres afin de démontrer la conformité.
  • Conseils pour mettre en place un programme plus solide de résilience commerciale auprès des tiers.
  • Réponse aux incidents visant à identifier et à atténuer l'impact des violations commises par des fournisseurs tiers grâce à des évaluations d'événements, des notations et des conseils en matière de remédiation.

Section 6 : Contrats d'externalisation

Pour répondre aux exigences du point 6.3, Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Grâce à ces fonctionnalités, les organisations peuvent suivre de manière centralisée tous les contrats et attributs contractuels susceptibles d'avoir un impact sur les niveaux de service, ce qui leur permet d'appliquer efficacement les garanties contractuelles.

Section 7 : Sécurité des données

Pour répondre aux exigences de la section 7, Prevalent fournit une plateforme collaborative unique permettant de réaliser des évaluations de confidentialité et d'atténuer les risques liés à la confidentialité, tant externes qu'internes. Les principales fonctionnalités d'évaluation de la sécurité et de la confidentialité des données comprennent :

  • Évaluations programmées et cartographie des relations afin de déterminer où se trouvent les données personnelles, où elles sont partagées et qui y a accès – le tout résumé dans un registre des risques qui met en évidence les expositions critiques.
  • Évaluations de l'impact sur la confidentialité pour mettre au jour les données commerciales à risque et les informations personnelles identifiables (PII) – vous permettant d'analyser l'origine, la nature et la gravité du risque et d'obtenir des conseils pour y remédier.
  • Évaluations des fournisseurs par rapport au RGPD
    et à d'autres réglementations en matière de confidentialité via le Prevalent Compliance Framework (PCF) – vous permettant de révéler les points sensibles potentiels en associant les risques identifiés à des contrôles spécifiques.
  • Cartographie des risques et des réponses liés au RGPD par rapport aux contrôles – vous fournissant des notes de conformité en pourcentage et des rapports spécifiques aux parties prenantes.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde. Elle comprend les types et les quantités de données volées, les problèmes de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs.
  • Centralisation de l'intégration, de la distribution, de la discussion, de la conservation et de la révision des contrats fournisseurs. Cela garantit l'application des dispositions relatives à la protection des données dès le début de la relation.

Section 8 : Droits d'accès, d'audit et d'information

Pour répondre aux exigences des sections 8.7 et 8.9 :

  • Le service de validation des contrôles courants examine les réponses et la documentation des évaluations tierces par rapport aux protocoles de test établis afin de vérifier que les contrôles indiqués sont en place.
  • Les experts de Prevalent examinent d'abord les réponses aux évaluations, qu'elles proviennent de questionnaires personnalisés ou standardisés. Nous cartographions ensuite les réponses selon les cadres de contrôle SIG, SCA, ISO, SOC II, AITECH et/ou autres. Enfin, nous travaillons avec vous pour élaborer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Prevalent met à votre disposition son expertise pour vous aider à réduire les risques avec vos ressources existantes.
  • Prevalent centralise les certifications, les accords, les contrats et les pièces justificatives grâce à une gestion intégrée des tâches et des acceptations, ainsi qu'à des fonctionnalités de téléchargement obligatoires.

Section 9 : Sous-traitance

Pour répondre aux exigences de la section 9, Prevalent identifie les relations avec les quatrièmes parties et les Nèmes parties grâce à une évaluation d'identification native ou en analysant passivement l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement. Les fournisseurs découverts grâce à ce processus sont ensuite surveillés afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le contrôle des sanctions/PEP.

Section 10 : Continuité des activités et plans de sortie

Pour répondre aux exigences des sections 10.1, 10.3 et 10.9, Prevalent :

  • Fournit des ressources gratuites que les organisations peuvent utiliser pour élaborer ou perfectionner leurs programmes de continuité des activités tiers.
  • Comprend une évaluation complète de la résilience opérationnelle basée sur les pratiques standard ISO 22301 qui permet aux organisations :
    • Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
    • Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
    • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
    • Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

Comment Prevalent aide à répondre aux exigences en matière d'externalisation et de gestion des risques liés aux tiers de la norme PRA SS2/21

Prevalent peut aider les organisations à automatiser les évaluations de matérialité et à surveiller en permanence leurs tiers externalisés et non externalisés afin d'identifier les risques liés à la résilience de l'entreprise. Les capacités d'évaluation et de surveillance de Prevalent permettent aux organisations de déterminer et de valider si un défaut ou une défaillance dans les performances d'un fournisseur nuit de manière significative :

  • Capacité de l'organisation à remplir les conditions minimales requises
  • Respect des règles fondamentales ou des principes commerciaux de la Financial Conduct Authority (FCA)
  • La stabilité financière du Royaume-Uni
  • Les exigences de l'organisation dans la section « Collecte d'informations » du règlement PRA
  • La résilience financière ou opérationnelle de l'organisation

Pour les organisations qui ont externalisé un contrôle interne ou une fonction clé, Prevalent peut aider à déterminer si un défaut ou une défaillance dans la performance aurait un impact négatif sur la fonction concernée. Il peut également aider à déterminer l'impact potentiel d'une perturbation, d'une défaillance ou d'une performance inadéquate sur :

  • risque opérationnel, risque de conduite, risque lié aux technologies de l'information et de la communication (TIC), risque juridique et risque de réputation
  • la capacité de l'organisation à se conformer aux exigences légales et réglementaires et à en rendre compte
  • l'accès de l'organisation à des données essentielles ou le risque de violation de données confidentielles ou hautement confidentielles

Prochaines étapes pour se conformer à la norme PRA SS2/21

Pour en savoir plus sur la manière dont Prevalent peut vous aider à répondre aux exigences énoncées dans la déclaration de surveillance SS2/21 de la PRA, téléchargez la liste de contrôle complète en matière de conformité ou demandez une démonstration dès aujourd'hui.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.