Conformité au manuel d'examen des technologies de l'information de la FFIEC

Contacter un expert

Retour à tous les cas d'utilisation

La FFIEC et la gestion des risques liés aux tiers

Le Federal Financial Institutions Examination Council (FFIEC) est un organisme interagences habilité à établir des lignes directrices et des principes et normes uniformes pour l'examen fédéral des institutions financières. Le FFIEC a rédigé une série de brochures sur des sujets spécifiques intéressant les examinateurs sur le terrain, qui prescrivent des principes et des normes uniformes pour les institutions financières.

La FFIEC propose une série de manuels ou de brochures à l'usage des examinateurs des pratiques informatiques des institutions financières. Ces manuels couvrent de nombreux sujets, notamment l'audit, la planification de la continuité des activités (BCP), la sécurité de l'information, l'externalisation des services technologiques et d'autres sujets.

Les brochures informatiques de la FFIEC exigent une gestion et un suivi rigoureux du plan de continuité des activités (PCA) des fournisseurs tiers et des risques liés à la sécurité des technologies de l'information. La brochure de la FFIEC sur la continuité des activités comprend une annexe J qui traite de la nécessité de renforcer la résilience des services technologiques externalisés, et la brochure sur la sécurité de l'information comprend une section spécifique sur la surveillance des fournisseurs de services tiers.

L'objectif du FFIEC IT Examination Handbook est de sensibiliser le secteur financier à la cybersécurité et de souligner l'importance d'évaluations précises de la cybersécurité, y compris pour les fournisseurs de services technologiques. Le respect de ces lignes directrices exige la mise en place d'un ensemble complet de contrôles dans l'ensemble de l'organisation du fournisseur.

Exigences pertinentes

  • Une politique de gestion des risques doit être mise en place

  • Il convient de faire preuve d'une diligence raisonnable dans le choix des tiers.

  • La politique devrait être codifiée dans les accords avec les fournisseurs

  • Les fournisseurs doivent être gérés et audités conformément aux exigences convenues.

Respect des lignes directrices de la FFIEC en matière de TPRM

Voici comment Prevalent peut vous aider à respecter les directives de la FFIEC en matière de gestion des risques liés aux tiers :

Orientations La prévalence de l'aide
Brochure sur la planification de la continuité des activités Annexe J : Renforcer la résilience des services technologiques externalisés

Gestion des tiers

"L'établissement d'une relation bien définie avec les fournisseurs de services technologiques (FST) est essentiel à la résilience de l'entreprise. Le programme de gestion des tiers d'une institution financière doit être axé sur le risque et fournir une surveillance et des contrôles proportionnels au niveau de risque présenté par l'accord d'externalisation. Pour garantir la résilience de l'entreprise, le programme doit inclure les activités externalisées qui sont essentielles aux opérations courantes de l'institution financière".

La plateforme Prevalent TPRM permet de réaliser des évaluations basées sur le contrôle interne (à partir de questionnaires standards et/ou de questionnaires personnalisés). Ce choix permet à une organisation de faire correspondre les exigences de l'évaluation au niveau de risque présenté par la relation.

En outre, la plateforme comprend des fonctionnalités intégrées de flux de travail qui permettent aux évaluateurs d'interagir efficacement avec des tiers au cours des périodes de collecte et d'examen de la diligence raisonnable.

Gestion des tiers - Due Diligence

"Dans le cadre de son devoir de diligence, une institution financière doit évaluer l'efficacité du programme de continuité des activités d'un FST, en mettant particulièrement l'accent sur les possibilités et la capacité de récupération. En outre, une institution doit comprendre le processus de diligence raisonnable que le FST utilise pour ses sous-traitants et fournisseurs de services. En outre, l'institution financière doit examiner le programme de PCA du FST et son alignement sur son propre programme, y compris une évaluation de la stratégie de test du PCA du FST et de ses résultats pour s'assurer qu'ils répondent aux exigences de l'institution financière et favorisent la résilience".

 Les questionnaires normalisés et personnalisés de Prevalent sont axés sur la planification de la continuité des activités, y compris l'analyse d'impact, l'évaluation des risques opérationnels et la gestion de la reprise des activités. Le service Prevalent Assessment examine les risques posés par les fournisseurs de services technologiques et leurs sous-traitants.

Gestion des tiers - Contrats

"Droit d'audit : Les accords doivent prévoir le droit pour l'institution financière ou ses représentants d'auditer le FST et/ou d'avoir accès aux rapports d'audit. Une institution financière doit examiner les rapports d'audit disponibles concernant les capacités de résilience des FST et leurs interdépendances (par exemple, les sous-traitants), les tests de PCA et les efforts de remédiation, et évaluer l'impact, le cas échéant, sur le PCA de l'institution financière."

 La plateforme Prevalent TPRM comprend des rapports efficaces pour répondre aux exigences d'audit et de conformité, ainsi que pour présenter les résultats au conseil d'administration et à la direction générale. L'ensemble du profil de risque peut être visualisé dans la console centralisée de reporting en direct, et les rapports peuvent être téléchargés et exportés pour déterminer le statut de conformité. Les capacités de reporting approfondi comprennent des filtres et des graphiques interactifs à cliquer. La solution comprend un référentiel complet de tous les documents collectés et examinés au cours du processus de diligence.

Gestion des tiers - Contrôle continu

"Une surveillance continue efficace aide l'institution financière à garantir la résilience des services technologiques externalisés. L 'institution financière devrait procéder à des évaluations périodiques approfondies de l'environnement de contrôle du FST, y compris du PCA, en examinant les activités de test du plan de continuité des activités du prestataire de services, les évaluations indépendantes et/ou de tiers afin d'évaluer l'impact potentiel sur la résilience de l'activité de l'institution financière. L'institution financière doit s'assurer que les résultats de ces évaluations sont documentés et communiqués par le FST au comité de surveillance de la direction ou au conseil d'administration approprié et qu'ils sont utilisés pour déterminer les modifications à apporter au PCA de l'institution financière et, si cela se justifie, au contrat du prestataire de services".

 La plateforme Prevalent Third-Party Risk Management fournit une solution complète pour réaliser des évaluations, y compris des questionnaires, un environnement pour inclure et gérer des preuves documentées en réponse, des flux de travail pour gérer l'examen et traiter les conclusions, et des rapports robustes pour donner à chaque niveau de gestion les informations dont il a besoin pour examiner correctement la performance du tiers.

La cyber-résilience

"Les cybermenaces continueront à poser un défi à la préparation à la continuité des activités. Les institutions financières et les FST doivent rester attentifs aux menaces et scénarios cybernétiques émergents et prendre en compte leur impact potentiel sur la résilience opérationnelle. L'impact de chaque type de cyber-événement étant variable, la préparation est la clé pour prévenir ou atténuer les effets d'un tel événement".

Le service Prevalent Cyber & Business Monitoring offre une surveillance instantanée et continue des fournisseurs pour une notification immédiate des problèmes à haut risque, une priorisation et des recommandations de remédiation. La surveillance de la sécurité des données et des risques commerciaux vous permet d'aller au-delà de la santé tactique des fournisseurs et d'avoir une vision plus stratégique de leur risque global en matière de sécurité de l'information.

Prevalent est unique en ce sens qu'il offre une surveillance des risques commerciaux qui s'appuie sur des analystes humains pour interpréter les risques opérationnels, de marque, réglementaires, juridiques et financiers potentiels.

Voici quelques exemples d'informations commerciales collectées au cours de l'analyse :

  • Activité de fusion et d'acquisition
  • Licenciements
  • Poursuites judiciaires
  • Violations de données
  • Rappels de produits
  • Faillite
  • Transactions en capital : dette, capitaux propres
Brochure sur la sécurité de l'information

II.C.20 Contrôle des prestataires de services tiers

"La direction doit vérifier que les prestataires de services tiers mettent en œuvre et maintiennent des contrôles suffisants pour atténuer les risques de manière appropriée. Les contrats de l'établissement doivent comporter les éléments suivants :

Inclure des normes minimales de contrôle et d'information
prévoir le droit d'exiger des modifications des normes en fonction de l'évolution de l'environnement externe et interne
préciser que l'institution ou un auditeur indépendant a accès au prestataire de services pour évaluer ses performances par rapport aux normes de sécurité de l'information.

 Le service Prevalent Assessment simplifie la conformité et réduit les risques grâce à la collecte et à l'analyse automatisées d'enquêtes sur les fournisseurs à l'aide de questionnaires standard et personnalisés. Des flux de travail bidirectionnels assurent la communication avec les fournisseurs de services technologiques pour traiter les résultats et les efforts de remédiation. Des rapports robustes et des capacités d'audit complètes permettent de rationaliser l'examen des performances. L'accès aux évaluations et aux audits réalisés peut être délégué aux auditeurs via les fonctionnalités RBAC standard de la plateforme.

Ressources complémentaires
Gouvernance, risque et conformité
La LPDP et la gestion du risque pour les tiers
En savoir plus
Gouvernance, risque et conformité
Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers
En savoir plus
Gouvernance, risque et conformité
Liste de contrôle de la conformité à la CCPA et à l'ACPR pour la gestion des risques liés aux tiers
En savoir plus
Voir plus de ressources

SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR)

Le tableau ci-dessous comprend un extrait du contrôle SP 800-53 r5 Supply Chain Risk Management et la manière dont la plate-forme Prevalent répond aux exigences. Pour une cartographie complète, veuillez télécharger le guide complet du NIST.

SP 800-53 r5 Contrôle de la gestion des risques de la chaîne d'approvisionnement (SR) Comment nous aidons
SR-1 Politique et procédures Les services de conception de programme de Prevalent définissent et documentent votre programme de gestion des risques des tiers. Vous obtenez un plan clair qui tient compte de vos besoins spécifiques tout en incorporant les meilleures pratiques de gestion des risques des tiers de bout en bout.
SR-2 Plan de gestion des risques de la chaîne d'approvisionnement Les services d'optimisation des programmes Prevalent vous aident à améliorer continuellement le déploiement de votre plateforme Prevalent, en veillant à ce que votre programme TPRM conserve la flexibilité et l'agilité dont il a besoin pour répondre à l'évolution des exigences commerciales et réglementaires.
SR-3 Contrôles et processus de la chaîne d'approvisionnement Les services de conception de programme de Prevalent définissent et documentent votre programme de gestion des risques des tiers. Vous obtenez un plan clair qui tient compte de vos besoins spécifiques tout en incorporant les meilleures pratiques de gestion des risques des tiers de bout en bout.
SR-5 Stratégies, outils et méthodes d'acquisition

Prevalent aide les équipes chargées des achats à réduire les coûts, la complexité et l'exposition aux risques lors de la sélection des fournisseurs. Notre solution RFx Essentials permet de centraliser la distribution, la comparaison et la gestion des appels d'offres et des demandes de renseignements. Elle vous aide également à anticiper les risques potentiels liés aux fournisseurs grâce à des scores démographiques, de 4ème partie et ESG, ainsi qu'à des informations optionnelles sur les risques commerciaux, financiers et de réputation. Ainsi, vous êtes en mesure de faire un premier pas important vers la gestion des risques dans le cycle de vie des tiers.

Une fois la sélection des fournisseurs terminée, Prevalent Contract Essentials centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il inclut également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Avec Contract Essentials, les équipes chargées des achats et du service juridique disposent d'une solution unique pour gérer les contrats fournisseurs, simplifier la gestion et la révision, et réduire les coûts et les risques.
SR-6 Évaluations et examens des fournisseurs

La plateforme Prevalent comprend plus de 600 modèles d'enquête d'évaluation des risques standardisés - y compris pour NIST, ISO et bien d'autres - un assistant de création d'enquête personnalisée, et un questionnaire qui permet de faire correspondre les réponses à n'importe quelle réglementation ou cadre de conformité. Toutes les évaluations sont basées sur des normes industrielles et traitent de tous les sujets relatifs à la sécurité de l'information en ce qui concerne les contrôles de sécurité des partenaires de la chaîne d'approvisionnement et de la résilience de l'entreprise.

Prevalent Vendor Threat Monitor suit et analyse en permanence les menaces observables de l'extérieur pour les fournisseurs et autres tiers. Ce service complète et valide les données de contrôle de sécurité déclarées par les fournisseurs sur la plateforme Prevalent en surveillant Internet et le dark web à la recherche de cybermenaces et de vulnérabilités - et en corrélant les résultats de l'évaluation avec la recherche sur les risques opérationnels, financiers, juridiques et de marque dans un registre de risques unifié qui permet un triage et une réponse centralisés des risques.
Accords de notification SR-8 Avec la plateforme Prevalent, vous pouvez collaborer sur des documents, des accords et des certifications, tels que des NDA, des SLA, des SOW et des contrats, avec un contrôle de version intégré, une affectation des tâches et des cadences de révision automatique. Vous pouvez également gérer tous les documents tout au long du cycle de vie du fournisseur dans des profils de fournisseurs centralisés.
SR-13 Inventaire des fournisseurs

Prevalent propose un questionnaire d'évaluation des risques inhérents avec une notation claire basée sur huit critères pour saisir, suivre et quantifier les risques pour tous les tiers. Les critères d'évaluation sont les suivants

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

L'évaluation du risque inhérent permet de classer automatiquement les fournisseurs, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer l'étendue des évaluations ultérieures et périodiques.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.