APRA CPS 234 Conformité en matière de sécurité de l'information

Contacter un expert

Retour à tous les cas d'utilisation

Évaluer les tiers pour garantir la résilience de l'entreprise

L'Autorité australienne de réglementation prudentielle (APRA)a mis en œuvre la norme réglementaireCPS 234en juillet 2019 en réponse à la menace constante de cyberattaques visant les organismes de services financiers.

La norme CPS 234 exige que toutes les organisations de services financiers en Australie « prennent des mesures pour se prémunir contre les incidents liés à la sécurité de l'information (y compris les cyberattaques) en maintenant une capacité de sécurité de l'information proportionnelle aux vulnérabilités et aux menaces en matière de sécurité de l'information ».

L'un des principaux objectifs de la norme est de minimiser l'impact des incidents liés à la sécurité de l'information sur la confidentialité, l'intégrité et la disponibilité des actifs et des données gérés par des tiers. LaplateformePrevalentThird-Party Risk Managementaide les organisations à élaborer et à gérer leurs programmes TPRM conformément aux exigences de l'APRA.

Exigences pertinentes

  • Définir les rôles et responsabilités en matière de sécurité de l'information du conseil d'administration, de la haute direction, des organes directeurs et des individus.
  • Mettre en place des contrôles pour protéger ses actifs informationnels en fonction de leur importance et de leur sensibilité, et tester systématiquement l'efficacité de ces contrôles.
  • Maintenir une capacité de sécurité de l'information qui permette la résilience opérationnelle et qui soit proportionnée à l'ampleur des menaces pesant sur ses actifs informationnels.
  • Notifier l'APRA des incidents importants liés à la sécurité de l'information

 

Respect des exigences de l'APRA CPS 234 en matière de gestion des risques liés aux tiers

Cette section établit une correspondance entre les fonctionnalités de la plateforme de gestion des risques tiers Prevalent et certains articles de la norme CPS 234 relative à la sécurité de l'information de l'Autorité australienne de réglementation prudentielle (APRA).

NOTE : Il s'agit uniquement d'un résumé des articles les plus pertinents, qui ne doit pas être considéré comme un guide complet et définitif. Pour une liste complète des articles, veuillez consulter le document complet en détail et consulter votre auditeur.

Exigences

Comment nous aidons

Rôles et responsabilités

13.Le conseil d'administration d'une entité réglementée par l'APRA (le conseil) est responsable en dernier ressort de la sécurité de l'information de l'entité. Le conseil doit veiller à ce que l'entité assure la sécurité de l'information d'une manière proportionnée à l'ampleur et à la gravité des menaces qui pèsent sur ses actifs informationnels, et qui permette le bon fonctionnement continu de l'entité.

14.Une entité réglementée par l'APRA doit clairement définir les rôles et responsabilités en matière de sécurité de l'information du conseil d'administration, de la haute direction, des organes directeurs et des personnes chargées de la prise de décision, de l'approbation, de la surveillance, des opérations et d'autres fonctions liées à la sécurité de l'information.

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de risque et de conformité, sur la base des meilleures pratiques éprouvées et d'une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétit pour le risque de votre organisation.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI)
  • Inventaires de tiers
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Méthodes d'évaluation et de suivi basées sur la criticité des tiers
  • Cartographie quadripartite
  • Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Politiques, normes, systèmes et processus régissant la protection des données
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation

Capacité de sécurité de l'information

15.Une entité réglementée par l'APRA doit maintenir une capacité de sécurité de l'information proportionnelle à la taille et à l'ampleur des menaces pesant sur ses actifs informationnels, et qui permette le bon fonctionnement continu de l'entité.

Voir les rôles et responsabilités (13 et 14) ci-dessus.

16.Lorsque les actifs informationnels sont gérés par une partie liée ou un tiers, l'entité réglementée par l'APRA doit évaluer la capacité de cette partie en matière de sécurité de l'information, en fonction des conséquences potentielles d'un incident de sécurité de l'information affectant ces actifs.

Prevalent propose une bibliothèque de plus de 750 modèles prédéfinis pour les évaluations des risques liés aux tiers. Les évaluations peuvent être réalisées au moment de l'intégration, du renouvellement du contrat ou à toute fréquence requise (par exemple, trimestriellement ou annuellement).

Les évaluations sont gérées de manière centralisée dans la plateforme Prevalent. Elles s'appuient sur des fonctionnalités de workflow, de gestion des tâches et d'examen automatisé des preuves afin d'offrir une visibilité sur les risques liés aux tiers tout au long de la relation avec les fournisseurs.

Prevalent fournit des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante.

Pour les organisations disposant de ressources et d'une expertise limitées, Prevalent peut gérer le cycle de vie des risques liés aux tiers en votre nom, depuis l'intégration des fournisseurs et la collecte de preuves jusqu'à la fourniture de conseils en matière de remédiation et la création de rapports sur les accords de niveau de service (SLA) contractuels. Vous réduisez ainsi les risques liés aux fournisseurs et simplifiez la conformité sans alourdir la charge de travail de votre personnel interne.

17.Une entité réglementée par l'APRA doit maintenir activement sa capacité en matière de sécurité de l'information en tenant compte des changements dans les vulnérabilités et les menaces, y compris celles résultant de modifications apportées aux actifs informationnels ou à son environnement commercial.

Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de surveillance sont corrélées aux résultats des évaluations (mentionnés au point 16 ci-dessus) et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui rationalise les initiatives d'examen, de signalement et de réponse aux risques.

Les sources de surveillance comprennent

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.

Toutes les menaces n'étant pas des cyberattaques directes, Prevalent intègre également des données provenant des sources suivantes afin de contextualiser les conclusions relatives aux cyberattaques :

  • 550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
  • Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc.
  • 30 000 sources d'information mondiales
  • Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
  • Listes de sanctions mondiales et plus de 1 000 listes d'application de la loi au niveau mondial et dépôts auprès des tribunaux

Cadre politique

18.Une entité réglementée par l'APRA doit maintenir un cadre de politique de sécurité de l'information adapté à son exposition aux vulnérabilités et aux menaces.

19.Le cadre de la politique de sécurité de l'information d'une entité réglementée par l'APRA doit fournir des orientations sur les responsabilités de toutes les parties qui ont l'obligation de maintenir la sécurité de l'information.

La plateforme Prevalent comprend une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation des risques liés aux tiers, y compris ceux qui correspondent aux principaux cadres de gouvernance de la sécurité de l'information tels quela norme ISO.

Le reporting vous permet de visualiser et de répondre aux exigences de conformité en mappant automatiquement les résultats d'évaluation et les flux de données aux exigences et cadres réglementaires.
Les vues spécifiques à chaque rôle permettent aux parties prenantes d'identifier les risques et d'agir en conséquence, grâce à des recommandations de remédiation intégrées.

Évalue les performances des fournisseurs et des partenaires commerciaux— L'entité évalue périodiquement les performances des fournisseurs et des partenaires commerciaux.

La plateforme Prevalent permet aux équipes chargées de la gestion des fournisseurs de définir des exigences afin de suivre et de centraliserles rapports sur les accords de niveau de service (SLA) et les performancespar rapport à ces exigences, via un tableau de bord unique dédié aux rapports et aux analyses.

Identification et classification des actifs informationnels

20.Une entité réglementée par l'APRA doit classer ses actifs informationnels, y compris ceux gérés par des parties liées et des tiers, en fonction de leur importance et de leur sensibilité. Cette classification doit refléter la mesure dans laquelle un incident de sécurité informationnelle affectant un actif informationnel est susceptible d'avoir des répercussions, financières ou non, sur l'entité ou les intérêts des déposants, des assurés, des bénéficiaires ou d'autres clients.

Prevalent vous permet d'évaluer et de surveiller les tiers en fonction de l'ampleur des menaces pesant sur leurs actifs informationnels en capturant, suivant et quantifiant les risques inhérents. Les critères utilisés pour calculerle risque inhérentpour la classification des tiers comprennent :

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation des risques inhérents, votre équipe peut automatiquement classer les fournisseurs, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.
La logique de classement basée sur des règles permet de catégoriser les fournisseurs à l'aide d'une série de considérations relatives à l'interaction des données, aux aspects financiers, réglementaires et à la réputation.

Mise en œuvre des contrôles

21.Une entité réglementée par l'APRA doit disposer de contrôles de sécurité de l'information afin de protéger ses actifs informationnels, y compris ceux gérés par des parties liées et des tiers, qui sont mis en œuvre en temps opportun et qui sont proportionnés à :

(a) les vulnérabilités et les menaces pesant sur les actifs informationnels ;

(b) le caractère critique et sensible des actifs informationnels ;

(c) le stade auquel se trouvent les actifs informationnels dans leur cycle de vie ; et

(d) les conséquences potentielles d'un incident lié à la sécurité de l'information.

Prevalent automatise l'évaluation des risques afin d'accroître la visibilité, l'efficacité et la portée de votre programme de gestion des risques liés aux tiers à chaque étape du cycle de vie des tiers.

Avec une bibliothèque de plus de 750 évaluations standardisées, des capacités de personnalisation, un flux de travail intégré et des mesures correctives, la solution automatise tout, de la collecte et de l'analyse des enquêtes à l'évaluation des risques et à l'établissement de rapports.

Avec Prevalent, vous pouvez facilement rassembler et corréler des informations sur un large éventail de contrôles de fournisseurs afin de déterminer les menaces pour la gestion de l'information, sur la base de la criticité du tiers telle que déterminée par l'évaluation du risque inhérent.

Les résultats des évaluations et de la surveillance continue sont rassemblés dans un registre des risques unique, avec des rapports sous forme de cartes thermiques qui mesurent et classent les risques en fonction de leur probabilité et de leur impact. Grâce à ces informations, les équipes peuvent facilement voir les conséquences d'un risque et disposer de recommandations de remédiation prêtes à l'emploi pour les tiers afin d'atténuer les risques.

22.Lorsque les actifs informationnels d'une entité réglementée par l'APRA sont gérés par une partie liée ou un tiers, l'entité réglementée par l'APRA doit évaluer la conception des contrôles de sécurité de l'information mis en place par cette partie pour protéger ses actifs informationnels.

Le service de validation des contrôles prévalents examine les réponses et la documentation de l'évaluation par une tierce partie par rapport aux protocoles de test établis afin de valider que les contrôles indiqués sont en place.

Les experts de Prevalent examinent d'abord les réponses aux évaluations, qu'elles proviennent de questionnaires personnalisés ou standardisés. Nous mappons ensuite les réponses aux cadres de contrôle SIG, SCA, ISO, SOC II, AITECH et/ou autres. Enfin, nous travaillons avec vous pour élaborer des plans de remédiation et les suivre jusqu'à leur achèvement. Grâce à ses options à distance, Prevalent vous apporte son expertise pour vous aider à réduire les risques avec vos ressources existantes.

Gestion des incidents

23.Une entité réglementée par l'APRA doit disposer de mécanismes robustes pour détecter et réagir rapidement aux incidents liés à la sécurité de l'information.

24.Une entité réglementée par l'APRA doit disposer de plans pour répondre aux incidents liés à la sécurité de l'information qu'elle estime susceptibles de se produire (plans d'intervention en matière de sécurité de l'information).

25.Les plans d'intervention en matière de sécurité de l'information d'une entité réglementée par l'APRA doivent inclure les mécanismes mis en place pour :

(a) gérer toutes les étapes pertinentes d'un incident, depuis sa détection jusqu'à son examen après coup ; et

(b) l'escalade et la communication des incidents liés à la sécurité de l'information au conseil d'administration, aux autres organes directeurs et aux personnes responsables de la gestion et de la supervision des incidents liés à la sécurité de l'information, selon le cas.

26.Une entité réglementée par l'APRA doit examiner et tester chaque année ses plans d'intervention en matière de sécurité de l'information afin de s'assurer qu'ils restent efficaces et adaptés à leur objectif.

Prevalent permet à votre équipe d'identifier, de répondre, de rapporter et d'atténuer rapidement l'impact des incidents impliquant des fournisseurs tiers en gérant les fournisseurs de manière centralisée, en menant des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la cybersurveillance continue et en accédant à des conseils de remédiation. Les principales fonctionnalités sont les suivantes :

  • Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
  • Suivi en temps réel de l'état d'avancement du questionnaire
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs des fournisseurs
  • Des vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et des tiers afin de visualiser les chemins de l'information et de déterminer les données à risque.

Test de l'efficacité des contrôles

27.Une entité réglementée par l'APRA doit tester l'efficacité de ses contrôles de sécurité de l'information au moyen d'un programme de tests systématiques. La nature et la fréquence des tests systématiques doivent être proportionnées à :

(a) le rythme auquel les vulnérabilités et les menaces évoluent ;

(b) le caractère critique et sensible des informations ;

(c) les conséquences d'un incident lié à la sécurité de l'information ;

(d) les risques liés à l'exposition à des environnements dans lesquels l'entité réglementée par l'APRA n'est pas en mesure d'appliquer ses politiques en matière de sécurité de l'information ; et

(e) l'importance relative et la fréquence des modifications apportées aux actifs informationnels.

28.Lorsque les actifs informationnels d'une entité réglementée par l'APRA sont gérés par une partie liée ou un tiers, et que l'entité réglementée par l'APRA s'appuie sur les tests de contrôle de la sécurité de l'information effectués par cette partie, l'entité réglementée par l'APRA doit évaluer si la nature et la fréquence des tests de contrôle relatifs à ces actifs informationnels sont conformes aux paragraphes 27(a) à 27€ de la présente norme prudentielle.

Voir « Mise en œuvre des contrôles » (22) ci-dessus.

29.Une entité réglementée par l'APRA doit signaler au conseil d'administration ou à la direction générale tout résultat de test mettant en évidence des lacunes dans les contrôles de sécurité de l'information qui ne peuvent être corrigées en temps opportun.

Prevalent vous aide à mettre en évidence les tendances en matière de risques, le statut des risques liés aux tiers et les exceptions aux comportements courants grâce à des informations intégrées issues du machine learning (ML) et à des vues de rapports personnalisables et basées sur les rôles.

De plus, Prevalent aide à mesurer de manière centraliséeles KRI tiersafin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en fournissant un cadre permettant de mesurer les exigences.

Grâce à cette fonctionnalité, vous pouvez rapidement identifier les valeurs aberrantes qui méritent une enquête plus approfondie, transmettre les bonnes données aux bonnes personnes et déterminer efficacement l'acceptabilité des risques.

30.Une entité réglementée par l'APRA doit veiller à ce que les tests soient effectués par des spécialistes possédant les compétences appropriées et fonctionnellement indépendants.

31.Une entité réglementée par l'APRA doit vérifier la pertinence du programme de tests au moins une fois par an ou lorsqu'un changement important intervient au niveau des actifs informationnels ou de l'environnement commercial.

Voir la mise en œuvre des contrôles (22) ci-dessus.

Audit interne

32.Les activités d'audit interne d'une entité réglementée par l'APRA doivent inclure un examen de la conception et de l'efficacité opérationnelle des contrôles de sécurité de l'information, y compris ceux mis en place par des parties liées et des tiers (assurance du contrôle de la sécurité de l'information).

Prevalent normalise les évaluations par rapportaux normes SOC 2, Cyber Essentials,ISO et autres cadres de contrôle de la sécurité de l'information, fournissant aux équipes d'audit interne et de sécurité informatique une plateforme centrale pour mesurer et démontrer le respect des exigences internes en matière de contrôle informatique. Ces mêmes évaluations sont également utilisées pour évaluer les contrôles de sécurité de l'information des tiers, offrant ainsi une vue consolidée et complète de la sécurité de l'information.

33.Une entité réglementée par l'APRA doit s'assurer que le contrôle de la sécurité de l'information est assuré par du personnel possédant les compétences requises pour fournir une telle assurance.

Voir la mise en œuvre des contrôles (22) ci-dessus.

34.La fonction d'audit interne d'une entité réglementée par l'APRA doit évaluer l'assurance en matière de contrôle de la sécurité de l'information fournie par une partie liée ou un tiers lorsque :

(a) un incident de sécurité de l'information affectant les actifs informationnels est susceptible d'avoir une incidence significative, financière ou non financière, sur l'entité ou les intérêts des déposants, des assurés, des bénéficiaires ou d'autres clients ; et

(b) l'audit interne a l'intention de s'appuyer sur l'assurance relative au contrôle de la sécurité de l'information fournie par la partie liée ou le tiers.

La plateforme Prevalent comprend un moteur d'automatisation et de règles qui suggère automatiquement des actions ou modifie les scores de risque en fonction des résultats d'évaluation et des flux de données externes. Grâce à cette fonctionnalité, vous pouvez créer automatiquement des tâches en fonction des événements et les attribuer à des responsables afin de suivre les problèmes jusqu'à leur résolution. Cela permet d'accélérer les délais de réduction des risques.

Prevalentsurveilleégalementen permanenceles changements en matière de cybersécurité, d'activité, de réputation et de finances susceptibles d'avoir un impact significatif sur les relations avec les tiers. Les résultats sont corrélés aux évaluations des tiers afin d'obtenir une approche complète et validée de la gestion des risques liés aux tiers.

Notification ARPA

35.Une entité réglementée par l'APRA doit informer l'APRA dès que possible et, dans tous les cas, au plus tard 72 heures après avoir pris connaissance d'un incident lié à la sécurité de l'information qui :

(a) a eu ou aurait pu avoir une incidence significative, financière ou non financière, sur l'entité ou sur les intérêts des déposants, des assurés, des bénéficiaires ou d'autres clients ; ou

(b) a été notifié à d'autres autorités de réglementation, soit en Australie, soit dans d'autres juridictions.

36.Une entité réglementée par l'APRA doit informer l'APRA dès que possible et, dans tous les cas, au plus tard dans les 10 jours ouvrables, après avoir pris connaissance d'une faille importante dans le contrôle de la sécurité de l'information qu'elle estime ne pas pouvoir corriger en temps opportun.

Prevalent révèle les tendances en matière de risques, le statut des risques liés aux tiers et les exceptions aux comportements courants grâce à des informations intégrées issues du machine learning (ML) et à des vues de rapports personnalisables en fonction du rôle.

Avec Prevalent, vous pouvez visualiser et traiter les exigences de conformité en mappant automatiquement les résultats d'évaluation aux cadres réglementaires et industriels. Vous pouvez également produire des rapports spécifiques à la réglementation en une fraction du temps normalement consacré aux processus manuels d'évaluation des risques basés sur des feuilles de calcul.

Ressources complémentaires

Blog

APRA CPS 234 : Meilleures pratiques pour répondre aux exigences en matière de gestion des risques liés aux tiers

Blog

Règles de divulgation de la SEC en matière de cybersécurité : 9 questions clés à poser aux tiers

Blog

Répondre aux exigences de la PRA SS2/21 en matière de gestion des risques liés aux tiers

Guide

Aligner votre programme de TPRM sur les 14 normes de l'industrie

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.