Conformité aux lignes directrices de l'ABE en matière d'externalisation

L'ABE et la gestion des risques liés aux tiers

L'Autorité bancaire européenne (ABE) est une autorité indépendante de l'UE qui veille à l'efficacité et à la cohérence de la réglementation et de la surveillance dans le secteur bancaire européen. Début 2019, l'ABE a publiédes lignes directrices réviséessur les accords d'externalisation, comprenant des dispositions spécifiques relatives à la gouvernance des accords d'externalisation par les établissements financiers et aux processus de surveillance connexes. Ces lignes directrices sont conformes aux exigences en matière d'externalisation prévues par ladirective sur les services de paiement (PSD2), ladirective sur les marchés d'instruments financiers (MiFID II) et lerèglement délégué (UE) 2017/565 de la Commission.

Les lignes directrices de l'ABE définissent les dispositions de gouvernance interne que les établissements de crédit, les établissements de paiement et les établissements de monnaie électronique doivent mettre en œuvre lorsqu'ils externalisent des services, des activités ou des fonctions internes. Consciente de l'importance de l'écosystème des fournisseurs dans le secteur des services financiers, l'ABE a consacré 70 pages à la gestion de l'externalisation dans ce secteur.

Les lignes directrices de l'ABE exigent une gestion et un suivi rigoureux des risques liés aux prestataires de services. Elles précisent qu'une politique de gestion des risques doit être mise en place, comprenant des évaluations basées sur des contrôles internes et une surveillance continue des accords d'externalisation avec des tiers. Cette politique doit être codifiée dans un contrat entre l'institution financière et le prestataire externe, avec une documentation et des rapports appropriés concernant les mesures correctives et les capacités d'audit.

Ces exigences représentent un ensemble complet de contrôles mis en œuvre dans l'ensemble de l'organisation du sous-traitant et vont bien au-delà d'une simple analyse automatisée de l'infrastructure externe.

Exigences pertinentes

Distinguer les externalisations « critiques ou importantes » de celles qui ne le sont pas.

Faire preuve de diligence raisonnable dans le processus de sélection des prestataires externes
Permettreune évaluation adéquatedes risques, dans le cadre de laquelle tous les risques opérationnels potentiels sont identifiés, gérés, surveillés et signalés.
Exiger des contrats qui définissent les droits d'accès et d'audit des banques et de leurs régulateurs afin de garantir une surveillance efficace.
Effectuer une évaluation continue etun suivi régulier, avec des rapports clairs à la direction.
Mettre à la disposition des autorités tous les documents nécessaires à la transparence.
Définir une stratégie de sortie claire en cas de défaillance du prestataire de services.

Respect des directives TPRM de l'ABE

Voici comment Prevalent peut vous aider à respecter les directives de gestion des risques liés aux tiers de l'EBA :

Lignes directrices de l'ABE	Comment nous aidons
Titre II – Évaluation des accords d'externalisation 4 – Fonctions critiques ou importantes Paragraphe 30 « Une attention particulière doit être accordée à l'évaluation de la criticité ou de l'importance des fonctions si l'externalisation concerne des fonctions liées aux activités principales. »	La solution Prevalent Assessment permet aux institutions financières de classer les tiers en fonction de leur importance pour l'organisation. Une sélection de questionnaires personnalisables vous permet d'adapter les exigences d'évaluation au niveau de risque présenté par la relation.
Titre III – Cadre de gouvernance 5 – Dispositifs de gouvernance sains et risques liés aux tiers Paragraphe 32 « Les établissements et les établissements de paiement devraient disposer d'un cadre global de gestion des risques à l'échelle de l'établissement afin d'identifier et de gérer tous leurs risques, y compris ceux liés aux accords conclus avec des tiers. »	Prevalent fournit la seule plateforme unifiée spécialement conçue pour la gestion des risques liés aux tiers. Notre solution automatise le processus interne d'évaluation des risques liés aux fournisseurs tout en incluant une surveillance proactive continue utilisant une approche externe afin de réduire les risques et de répondre aux exigences de conformité réglementaire.
Titre III – Cadre de gouvernance 5 – Dispositifs de gouvernance sains et risques liés aux tiers Paragraphe 33 « Les établissements et les établissements de paiement devraient identifier, évaluer, surveiller et gérer tous les risques résultant d'accords conclus avec des tiers auxquels ils sont ou pourraient être exposés. »	Le service Prevalent Assessment offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme automatisée pour gérer le processus d'évaluation des risques liés aux fournisseurs et déterminer leur conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données. Il utilise des questionnaires standard et personnalisés pour aider à recueillir des preuves et fournit des workflows de remédiation bidirectionnels, des rapports en temps réel et un tableau de bord facile à utiliser pour plus d'efficacité. Grâce à des rapports clairs et des conseils de remédiation, la plateforme garantit que les risques sont identifiés et transmis aux canaux appropriés.
Titre III – Cadre de gouvernance 6 – Dispositifs de bonne gouvernance et externalisation Paragraphe 40(c) « Lorsqu'elles recourent à l'externalisation, les institutions et les établissements de paiement devraient au moins veiller à ce que : les risques liés aux accords d'externalisation actuels et prévus sont correctement identifiés, évalués, gérés et atténués, y compris les risques liés aux technologies de l'information et de la communication (TIC) et aux technologies financières (fintech). »	La plateforme Prevalent Third-Party Risk Management offre une solution complète pour réaliser des évaluations, notamment des questionnaires, un environnement permettant d'inclure et de gérer les preuves documentées en réponse, des flux de travail pour gérer l'examen et traiter les conclusions, ainsi que des rapports fiables fournissant à chaque niveau de direction les informations nécessaires pour évaluer correctement les performances des tiers.
Titre III – Cadre de gouvernance 10 – Fonction d'audit interne Paragraphe 50 « Les activités de la fonction d'audit interne doivent couvrir, selon une approche fondée sur les risques, l'examen indépendant des activités externalisées. Le plan et le programme d'audit doivent notamment inclure les accords d'externalisation des fonctions critiques ou importantes. »	La plateforme Prevalent Third-Party Risk Management comprend des fonctions de reporting efficaces permettant de satisfaire aux exigences en matière d'audit et de conformité, ainsi que de présenter les conclusions au conseil d'administration et à la direction. L'ensemble du profil de risque peut être consulté dans la console de reporting centralisée en temps réel, et les rapports peuvent être téléchargés et exportés afin de déterminer le statut de conformité. Les fonctionnalités avancées de reporting comprennent des filtres et des graphiques interactifs accessibles d'un simple clic. La solution comprend un référentiel complet de tous les documents collectés et examinés au cours du processus de diligence raisonnable.
Titre III – Cadre de gouvernance 12.3 – Diligence raisonnable Paragraphes 70 et 71 « En ce qui concerne les fonctions critiques et importantes, les établissements et les établissements de paiement devraient s'assurer que le prestataire de services jouit d'une réputation professionnelle suffisante pour remplir ses obligations. Les autres facteurs à prendre en considération comprennent son modèle économique, sa nature, son ampleur, sa complexité, sa situation financière, son actionnariat et la structure du groupe. »	Le service Prevalent Cyber & Business Monitoring offre une surveillance instantanée et continue des fournisseurs pour une notification immédiate des problèmes à haut risque, une priorisation et des recommandations de remédiation. La surveillance de la sécurité des données et des risques commerciaux vous permet d'aller au-delà de la santé tactique des fournisseurs et d'avoir une vision plus stratégique de leur risque global en matière de sécurité de l'information. Prevalent est unique en ce sens qu'il offre une surveillance des risques commerciaux qui s'appuie sur des analystes humains pour interpréter les risques opérationnels, de marque, réglementaires, juridiques et financiers potentiels. Exemples : Menaces internes Problèmes financiers Activité de fusion et d'acquisition Licenciements Cas de violation de données Indicateurs de réputation
Titre III – Cadre de gouvernance 13.2 Sécurité des données et des systèmes Paragraphe 82 « Le cas échéant (par exemple dans le contexte du cloud ou d'autres formes d'externalisation des TIC), les établissements et les établissements de paiement devraient définir les exigences en matière de sécurité des données et des systèmes dans le contrat d'externalisation et contrôler en permanence le respect de ces exigences. »	La plateforme Prevalent Third-Party Risk Management offre une solution complète pour réaliser des évaluations, notamment des questionnaires, un environnement permettant d'inclure et de gérer les preuves documentées en réponse, des flux de travail pour gérer l'examen et traiter les conclusions, ainsi que des rapports fiables fournissant à chaque niveau de direction les informations nécessaires pour évaluer correctement les performances des tiers.
Titre III – Cadre de gouvernance 13.3 Droits d'accès, d'information et d'audit Paragraphe 87 (b) « Les établissements et les établissements de paiement devraient s'assurer que le prestataire de services leur accorde : des droits d'inspection et d'audit illimités liés à l'accord d'externalisation (« droits d'audit »), afin de leur permettre de contrôler l'accord d'externalisation et de garantir le respect de toutes les exigences réglementaires et contractuelles applicables ».	La solution Prevalent Assessment garantit que les prestataires de services mettent en œuvre les exigences exactes convenues, avec un suivi et une vérification réguliers. Des fonctionnalités robustes de reporting et d'audit complet rationalisent l'évaluation des performances. L'accès aux évaluations et aux audits terminés peut être délégué aux auditeurs via les fonctionnalités RBAC standard de la plateforme.
Titre III – Cadre de gouvernance 13.3 Droits d'accès, d'information et de vérification Paragraphe 91 « Les établissements et les établissements de paiement peuvent utiliser : audits groupés organisés conjointement avec d'autres clients du même prestataire de services et réalisés par eux et ces clients ou par un tiers désigné par eux, afin d'utiliser plus efficacement les ressources d'audit et de réduire la charge organisationnelle tant pour les clients que pour le prestataire de services.	Les réseaux de partage de preuves des fournisseurs de Prevalent sont des référentiels contenant des questionnaires remplis et validés par les fournisseurs, ainsi que des preuves à l'appui, qui éliminent le processus fastidieux et coûteux en temps et en ressources consistant à collecter des données à partir de zéro. Prevalent propose des réseaux horizontaux et verticaux afin d'accélérer l'évaluation et la collaboration au sein de la communauté.
Titre III – Cadre de gouvernance 14 Surveillance des fonctions externalisées Paragraphe 100 « Les établissements et les établissements de paiement devraient surveiller en permanence les performances des prestataires de services. Lorsque le risque, la nature ou l'ampleur d'une fonction externalisée a changé de manière significative, les établissements et les établissements de paiement devraient réévaluer le caractère critique ou l'importance de cette fonction. »	En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme assure également la cybersécurité et la surveillance des activités, en évaluant en permanence les réseaux tiers afin d'identifier les faiblesses potentielles susceptibles d'être exploitées par des cybercriminels. Prevalent propose également des tests de pénétration en tant que service afin d'aider ses clients à examiner les opérations réseau des fournisseurs à un niveau beaucoup plus granulaire. Grâce à l'intégration d'évaluations internes, d'une surveillance informatique externe et de tests de pénétration, les entités concernées bénéficient d'une vue d'ensemble complète des risques liés aux fournisseurs, ainsi que de recommandations claires et concrètes pour y remédier.
Titre III – Cadre de gouvernance 14 Surveillance des fonctions externalisées Paragraphe 104 « Les établissements et les établissements de paiement devraient veiller à ce que les accords d'externalisation répondent à des normes de performance et de qualité appropriées, conformément à leurs politiques, en : a. veiller à ce qu'ils reçoivent les rapports appropriés des prestataires de services ; b. évaluer la performance des prestataires de services à l'aide d'outils tels que les indicateurs clés de performance, les indicateurs clés de contrôle, les rapports sur la prestation de services, l'autocertification et les examens indépendants ; et c. examiner toutes les autres informations pertinentes reçues du prestataire de services, y compris les rapports sur les mesures de continuité des activités et les tests. »	Le service Prevalent Assessment capture et vérifie les conversations et compare la documentation ou les preuves aux risques. Des tableaux de bord visuellement attrayants et cohérents offrent une vue d'ensemble claire des tâches, des calendriers, des activités à risque, de l'état d'avancement des enquêtes, des accords et des documents associés.
Titre III – Cadre de gouvernance 14 Surveillance des fonctions externalisées Paragraphe 105 « Si des lacunes sont identifiées, les établissements et les établissements de paiement doivent prendre les mesures correctives ou réparatrices appropriées. »	La solution Prevalent comprend un flux de travail bidirectionnel et des mécanismes de communication partagés permettant de suivre les résultats et de remédier aux problèmes.

Lignes directrices de l'ABE

Comment nous aidons

Titre II – Évaluation des accords d'externalisation
4 – Fonctions critiques ou importantes
Paragraphe 30

« Une attention particulière doit être accordée à l'évaluation de la criticité ou de l'importance des fonctions si l'externalisation concerne des fonctions liées aux activités principales. »

La solution Prevalent Assessment permet aux institutions financières de classer les tiers en fonction de leur importance pour l'organisation. Une sélection de questionnaires personnalisables vous permet d'adapter les exigences d'évaluation au niveau de risque présenté par la relation.

Titre III – Cadre de gouvernance
5 – Dispositifs de gouvernance sains et risques liés aux tiers
Paragraphe 32

« Les établissements et les établissements de paiement devraient disposer d'un cadre global de gestion des risques à l'échelle de l'établissement afin d'identifier et de gérer tous leurs risques, y compris ceux liés aux accords conclus avec des tiers. »

Prevalent fournit la seule plateforme unifiée spécialement conçue pour la gestion des risques liés aux tiers. Notre solution automatise le processus interne d'évaluation des risques liés aux fournisseurs tout en incluant une surveillance proactive continue utilisant une approche externe afin de réduire les risques et de répondre aux exigences de conformité réglementaire.

Titre III – Cadre de gouvernance
5 – Dispositifs de gouvernance sains et risques liés aux tiers
Paragraphe 33

« Les établissements et les établissements de paiement devraient identifier, évaluer, surveiller et gérer tous les risques résultant d'accords conclus avec des tiers auxquels ils sont ou pourraient être exposés. »

Le service Prevalent Assessment offre aux professionnels de la sécurité, de la confidentialité et de la gestion des risques une plateforme automatisée pour gérer le processus d'évaluation des risques liés aux fournisseurs et déterminer leur conformité aux exigences en matière de sécurité informatique, de réglementation et de confidentialité des données. Il utilise des questionnaires standard et personnalisés pour aider à recueillir des preuves et fournit des workflows de remédiation bidirectionnels, des rapports en temps réel et un tableau de bord facile à utiliser pour plus d'efficacité. Grâce à des rapports clairs et des conseils de remédiation, la plateforme garantit que les risques sont identifiés et transmis aux canaux appropriés.

Titre III – Cadre de gouvernance
6 – Dispositifs de bonne gouvernance et externalisation
Paragraphe 40(c)

« Lorsqu'elles recourent à l'externalisation, les institutions et les établissements de paiement devraient au moins veiller à ce que :

les risques liés aux accords d'externalisation actuels et prévus sont correctement identifiés, évalués, gérés et atténués, y compris les risques liés aux technologies de l'information et de la communication (TIC) et aux technologies financières (fintech). »

La plateforme Prevalent Third-Party Risk Management offre une solution complète pour réaliser des évaluations, notamment des questionnaires, un environnement permettant d'inclure et de gérer les preuves documentées en réponse, des flux de travail pour gérer l'examen et traiter les conclusions, ainsi que des rapports fiables fournissant à chaque niveau de direction les informations nécessaires pour évaluer correctement les performances des tiers.

Titre III – Cadre de gouvernance
10 – Fonction d'audit interne
Paragraphe 50

« Les activités de la fonction d'audit interne doivent couvrir, selon une approche fondée sur les risques, l'examen indépendant des activités externalisées. Le plan et le programme d'audit doivent notamment inclure les accords d'externalisation des fonctions critiques ou importantes. »

La plateforme Prevalent Third-Party Risk Management comprend des fonctions de reporting efficaces permettant de satisfaire aux exigences en matière d'audit et de conformité, ainsi que de présenter les conclusions au conseil d'administration et à la direction. L'ensemble du profil de risque peut être consulté dans la console de reporting centralisée en temps réel, et les rapports peuvent être téléchargés et exportés afin de déterminer le statut de conformité. Les fonctionnalités avancées de reporting comprennent des filtres et des graphiques interactifs accessibles d'un simple clic. La solution comprend un référentiel complet de tous les documents collectés et examinés au cours du processus de diligence raisonnable.

Titre III – Cadre de gouvernance
12.3 – Diligence raisonnable
Paragraphes 70 et 71

« En ce qui concerne les fonctions critiques et importantes, les établissements et les établissements de paiement devraient s'assurer que le prestataire de services jouit d'une réputation professionnelle suffisante pour remplir ses obligations.

Les autres facteurs à prendre en considération comprennent son modèle économique, sa nature, son ampleur, sa complexité, sa situation financière, son actionnariat et la structure du groupe. »

Le service Prevalent Cyber & Business Monitoring offre une surveillance instantanée et continue des fournisseurs pour une notification immédiate des problèmes à haut risque, une priorisation et des recommandations de remédiation. La surveillance de la sécurité des données et des risques commerciaux vous permet d'aller au-delà de la santé tactique des fournisseurs et d'avoir une vision plus stratégique de leur risque global en matière de sécurité de l'information.

Prevalent est unique en ce sens qu'il offre une surveillance des risques commerciaux qui s'appuie sur des analystes humains pour interpréter les risques opérationnels, de marque, réglementaires, juridiques et financiers potentiels.

Exemples :

Menaces internes
Problèmes financiers
Activité de fusion et d'acquisition
Licenciements
Cas de violation de données
Indicateurs de réputation

Titre III – Cadre de gouvernance
13.2 Sécurité des données et des systèmes
Paragraphe 82

« Le cas échéant (par exemple dans le contexte du cloud ou d'autres formes d'externalisation des TIC), les établissements et les établissements de paiement devraient définir les exigences en matière de sécurité des données et des systèmes dans le contrat d'externalisation et contrôler en permanence le respect de ces exigences. »

Titre III – Cadre de gouvernance
13.3 Droits d'accès, d'information et d'audit
Paragraphe 87 (b)

« Les établissements et les établissements de paiement devraient s'assurer que le prestataire de services leur accorde :

des droits d'inspection et d'audit illimités liés à l'accord d'externalisation (« droits d'audit »), afin de leur permettre de contrôler l'accord d'externalisation et de garantir le respect de toutes les exigences réglementaires et contractuelles applicables ».

La solution Prevalent Assessment garantit que les prestataires de services mettent en œuvre les exigences exactes convenues, avec un suivi et une vérification réguliers. Des fonctionnalités robustes de reporting et d'audit complet rationalisent l'évaluation des performances. L'accès aux évaluations et aux audits terminés peut être délégué aux auditeurs via les fonctionnalités RBAC standard de la plateforme.

Titre III – Cadre de gouvernance
13.3 Droits d'accès, d'information et de vérification
Paragraphe 91

« Les établissements et les établissements de paiement peuvent utiliser :

audits groupés organisés conjointement avec d'autres clients du même prestataire de services et réalisés par eux et ces clients ou par un tiers désigné par eux, afin d'utiliser plus efficacement les ressources d'audit et de réduire la charge organisationnelle tant pour les clients que pour le prestataire de services.

Les réseaux de partage de preuves des fournisseurs de Prevalent sont des référentiels contenant des questionnaires remplis et validés par les fournisseurs, ainsi que des preuves à l'appui, qui éliminent le processus fastidieux et coûteux en temps et en ressources consistant à collecter des données à partir de zéro.

Prevalent propose des réseaux horizontaux et verticaux afin d'accélérer l'évaluation et la collaboration au sein de la communauté.

Titre III – Cadre de gouvernance
14 Surveillance des fonctions externalisées
Paragraphe 100

« Les établissements et les établissements de paiement devraient surveiller en permanence les performances des prestataires de services. Lorsque le risque, la nature ou l'ampleur d'une fonction externalisée a changé de manière significative, les établissements et les établissements de paiement devraient réévaluer le caractère critique ou l'importance de cette fonction. »

En plus de faciliter les évaluations automatisées et périodiques basées sur le contrôle interne, la plateforme assure également la cybersécurité et la surveillance des activités, en évaluant en permanence les réseaux tiers afin d'identifier les faiblesses potentielles susceptibles d'être exploitées par des cybercriminels. Prevalent propose également des tests de pénétration en tant que service afin d'aider ses clients à examiner les opérations réseau des fournisseurs à un niveau beaucoup plus granulaire.

Grâce à l'intégration d'évaluations internes, d'une surveillance informatique externe et de tests de pénétration, les entités concernées bénéficient d'une vue d'ensemble complète des risques liés aux fournisseurs, ainsi que de recommandations claires et concrètes pour y remédier.

Titre III – Cadre de gouvernance
14 Surveillance des fonctions externalisées
Paragraphe 104

« Les établissements et les établissements de paiement devraient veiller à ce que les accords d'externalisation répondent à des normes de performance et de qualité appropriées, conformément à leurs politiques, en :

a. veiller à ce qu'ils reçoivent les rapports appropriés des prestataires de services ;

b. évaluer la performance des prestataires de services à l'aide d'outils tels que les indicateurs clés de performance, les indicateurs clés de contrôle, les rapports sur la prestation de services, l'autocertification et les examens indépendants ; et

c. examiner toutes les autres informations pertinentes reçues du prestataire de services, y compris les rapports sur les mesures de continuité des activités et les tests. »

Le service Prevalent Assessment capture et vérifie les conversations et compare la documentation ou les preuves aux risques. Des tableaux de bord visuellement attrayants et cohérents offrent une vue d'ensemble claire des tâches, des calendriers, des activités à risque, de l'état d'avancement des enquêtes, des accords et des documents associés.

Titre III – Cadre de gouvernance
14 Surveillance des fonctions externalisées
Paragraphe 105

« Si des lacunes sont identifiées, les établissements et les établissements de paiement doivent prendre les mesures correctives ou réparatrices appropriées. »

La solution Prevalent comprend un flux de travail bidirectionnel et des mécanismes de communication partagés permettant de suivre les résultats et de remédier aux problèmes.

SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR)

Le tableau ci-dessous comprend un extrait du contrôle SP 800-53 r5 Supply Chain Risk Management et la manière dont la plate-forme Prevalent répond aux exigences. Pour une cartographie complète, veuillez télécharger le guide complet du NIST.

SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR)	Comment nous aidons
SR-1 Politique et procédures	Les services de conception de programme de Prevalent définissent et documentent votre programme de gestion des risques des tiers. Vous obtenez un plan clair qui tient compte de vos besoins spécifiques tout en incorporant les meilleures pratiques de gestion des risques des tiers de bout en bout.
SR-2 Plan de gestion des risques de la chaîne d'approvisionnement	Les services d'optimisation des programmes Prevalent vous aident à améliorer continuellement le déploiement de votre plateforme Prevalent, en veillant à ce que votre programme TPRM conserve la flexibilité et l'agilité dont il a besoin pour répondre à l'évolution des exigences commerciales et réglementaires.
SR-3 Contrôles et processus de la chaîne d'approvisionnement	Les services de conception de programme de Prevalent définissent et documentent votre programme de gestion des risques des tiers. Vous obtenez un plan clair qui tient compte de vos besoins spécifiques tout en incorporant les meilleures pratiques de gestion des risques des tiers de bout en bout.
SR-5 Stratégies, outils et méthodes d'acquisition	Prevalent aide les équipes chargées des achats à réduire les coûts, la complexité et l'exposition aux risques lors de la sélection des fournisseurs. Notre solution RFx Essentials permet de centraliser la distribution, la comparaison et la gestion des appels d'offres et des demandes de renseignements. Elle vous aide également à anticiper les risques potentiels liés aux fournisseurs grâce à des scores démographiques, de 4ème partie et ESG, ainsi qu'à des informations optionnelles sur les risques commerciaux, financiers et de réputation. Ainsi, vous êtes en mesure de faire un premier pas important vers la gestion des risques dans le cycle de vie des tiers. Une fois la sélection des fournisseurs terminée, Prevalent Contract Essentials centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il inclut également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Avec Contract Essentials, les équipes chargées des achats et du service juridique disposent d'une solution unique pour gérer les contrats fournisseurs, simplifier la gestion et la révision, et réduire les coûts et les risques.
SR-6 Évaluations et examens des fournisseurs	La plateforme Prevalent comprend plus de 600 modèles d'enquête d'évaluation des risques standardisés - y compris pour NIST, ISO et bien d'autres - un assistant de création d'enquête personnalisée, et un questionnaire qui permet de faire correspondre les réponses à n'importe quelle réglementation ou cadre de conformité. Toutes les évaluations sont basées sur des normes industrielles et traitent de tous les sujets relatifs à la sécurité de l'information en ce qui concerne les contrôles de sécurité des partenaires de la chaîne d'approvisionnement et de la résilience de l'entreprise. Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité déclarées par les fournisseurs sur la plateforme Prevalent en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités - et en corrélant les résultats de l'évaluation avec la recherche sur les risques opérationnels, financiers, juridiques et de marque dans un registre de risques unifié qui permet un triage et une réponse centralisés des risques.
Accords de notification SR-8	Avec la plateforme Prevalent, vous pouvez collaborer sur des documents, des accords et des certifications, tels que des NDA, des SLA, des SOW et des contrats, avec un contrôle de version intégré, une affectation des tâches et des cadences de révision automatique. Vous pouvez également gérer tous les documents tout au long du cycle de vie du fournisseur dans des profils de fournisseurs centralisés.
SR-13 Inventaire des fournisseurs	Prevalent propose un questionnaire d'évaluation des risques inhérents avec une notation claire basée sur huit critères pour saisir, suivre et quantifier les risques pour tous les tiers. Les critères d'évaluation sont les suivants Type de contenu requis pour valider les contrôles Criticité pour les performances et les opérations de l'entreprise Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration) Expérience des processus opérationnels ou en contact avec les clients Interaction avec les données protégées Situation financière et santé Réputation L'évaluation du risque inhérent permet de classer automatiquement les fournisseurs, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer l'étendue des évaluations ultérieures et périodiques. La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

Solutions pour l'industrie

L'ABE et la gestion des risques liés aux tiers

Exigences pertinentes

Respect des directives TPRM de l'ABE

SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR)