Conformité à la ligne directrice B-13 du BSIF du Canada

Contacter un expert

Retour à tous les cas d'utilisation

Ligne directrice B-13 et résilience commerciale des tiers

La norme OSFI B-13 est une directive publiée par le Bureau du surintendant des institutions financières (BSIF) au Canada qui décrit les exigences en matière de gestion des risques afin de renforcer la résilience face aux risques technologiques et cybernétiques, y compris ceux posés par des tiers.

Publiée initialement en juillet 2022,la ligne directrice B-13est organisée en trois domaines, chacun ayant un résultat souhaité qui contribue à la résilience face aux risques technologiques et cybernétiques. Les résultats sont soutenus par 17 principes qui, à leur tour, sont soutenus par des lignes directrices individuelles.

En matière degestion des risques liés aux tiers, la ligne directrice B-13 souligne la nécessité pour les institutions financières de mettre en œuvre des stratégies globales pour gérer les risques associés à l'externalisation et aux relations avec des tiers.

Exigences pertinentes

  • Les risques technologiques et cybernétiques sont gérés grâce à des responsabilités et des structures claires, ainsi qu'à des stratégies et des cadres complets.

  • Une posture technologique sécurisée qui préserve la confidentialité, l'intégrité et la disponibilité des actifs technologiques de l'IRFF.

  • Un environnement technologique stable, évolutif et résilient. L'environnement est maintenu à jour et soutenu par des processus opérationnels et de reprise robustes et durables.

Conformité à la ligne directrice B-13 du BSIF

La ligne directrice B-13 présente 17 principes destinés aux institutions financières fédérales (IFF) pour structurer leurs programmes de gestion des risques. Ces principes visent à contribuer à la résilience opérationnelle des IFF. Le tableau récapitulatif ci-dessous établit une correspondance entre les fonctionnalités courantes des plateformes de gestion des risques liés aux tiers et les principes les plus pertinents.

REMARQUE : Ce tableau ne doit pas être considéré comme un guide exhaustif et définitif. Consultez votre auditeur pour obtenir la liste complète des exigences et consultez ladirective complète du BSIF.

Principes Meilleures pratiques en matière de TPRM

Domaine :Gouvernance et gestion des risques

Ce domaine définit les attentes du BSIF en matière de responsabilité officielle, de leadership, de structure organisationnelle et de cadre utilisés pour soutenir la gestion des risques et la surveillance de la technologie et de la cybersécurité.

Résultat :Les risques technologiques et cybernétiques sont gérés grâce à des responsabilités et des structures claires, ainsi qu'à des stratégies et des cadres complets.

Principe 1 :La haute direction devrait confier la responsabilité de la gestion des risques technologiques et cybernétiques à des cadres supérieurs. Elle devrait également veiller à ce qu'une structure organisationnelle appropriée et des ressources suffisantes soient en place pour gérer les risques technologiques et cybernétiques dans l'ensemble de l'IRFFF.

Principe 2 :Les institutions financières réglementées devraient définir, documenter, approuver et mettre en œuvre un ou plusieurs plans stratégiques en matière de technologie et de cybersécurité. Ces plans devraient être alignés sur la stratégie commerciale et fixer des buts et des objectifs mesurables et évolutifs en fonction des changements dans l'environnement technologique et cybernétique de l'institution financière réglementée.

Des expertsreconnus collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM dans le cadre de votre approche globale de gestion des risques, sélectionner des questionnaires et des cadres d'évaluation des risques, et optimiser votre programme afin de couvrir l'ensemble du cycle de vie des risques liés aux tiers, depuis la recherche de fournisseurs et la diligence raisonnable jusqu'à la résiliation et au départ.

Dans le cadre de ce processus, Prevalent vous aide à définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI).
  • Inventaires de tiers.
  • Une évaluation des risques et des seuils basés sur la tolérance au risque de votre organisation.
  • Méthodologies d'évaluation et de surveillance basées sur la criticité des tiers.
  • Cartographie de la quatrième partie pour comprendre les risques dans l'écosystème étendu des fournisseurs.
  • Sources de données de surveillance continue (cybersécurité, activité commerciale, réputation, finances).
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI).
  • Politiques, normes, systèmes et processus régissant la protection des données.
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service.
  • Exigences en matière de réponse aux incidents.
  • Rapports sur les risques et les parties prenantes internes.
  • Stratégies d'atténuation des risques et de remédiation.
Principe 3 :Les institutions financières fédérales devraient établir un cadre de gestion des risques technologiques et cybernétiques (RMF). Ce cadre devrait définir le niveau de risque acceptable pour les risques technologiques et cybernétiques et préciser les processus et les exigences des institutions financières fédérales en matière d'identification, d'évaluation, de gestion, de surveillance et de signalement des risques technologiques et cybernétiques. La plateforme Prevalent TPRM dispose d'unevaste bibliothèque d'évaluations des risques spécifiques à chaque cadre, tels que ISO, NIST ou autres. Tirez parti d'évaluations des risques prédéfinies et spécifiques à chaque cadre pour simplifier la cartographie des contrôles et la création de rapports. Le cadre choisi doit être conforme aux exigences de gestion des risques au niveau de l'entreprise.

Domaine :Opérations technologiques et résilience

Ce domaine définit les attentes du BSIF en matière de « gestion et de surveillance des risques liés à la conception, à la mise en œuvre, à la gestion et à la récupération des actifs et des services technologiques ».

Résultat :un environnement technologique stable, évolutif et résilient. L'environnement est maintenu à jour et soutenu par des processus opérationnels et de reprise robustes et durables.
Principe 7 :Les FRFI devraient mettre en œuvre un cadre de cycle de vie du développement des systèmes (SDLC) pour assurer le développement, l'acquisition et la maintenance sécurisés de systèmes technologiques qui fonctionnent comme prévu à l'appui des objectifs opérationnels. Dans le cadre du processus de diligence raisonnable, Prevalent peut aider votre équipe à analyserles nomenclatures logicielles (SBOM)des produits logiciels tiers. Cela vous aidera à identifier les vulnérabilités potentielles ou les problèmes de licence susceptibles d'avoir un impact sur la sécurité et la conformité de votre organisation.
Principe 10 :Les FRFI devraient détecter, consigner, gérer, résoudre, surveiller et signaler efficacement les incidents technologiques et en minimiser les répercussions.

Prevalent suit et analyse en permanenceles menaces externes pesant sur des tiers. Dans ce cadre, Prevalent surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Les sources de surveillance comprennent

  • Forums criminels, pages onion, forums à accès restreint sur le dark web, flux de menaces, sites de partage de données pour les identifiants divulgués, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilités.
  • Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde.

Toutes les données de surveillance doivent être corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser les initiatives d'examen des risques, de reporting, de remédiation et d'intervention.

Une fois toutes les données d'évaluation et de surveillance corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques selon un modèle de probabilité et d'impact. Ce modèle permet de classer les risques dans une matrice, afin que vous puissiez facilement identifier les risques ayant le plus grand impact et hiérarchiser les mesures correctives à prendre à leur égard.

Enfin, avec Prevalent, vous pouvez désigner des responsables et suivre les risques et les mesures correctives jusqu'à un niveau acceptable pour l'entreprise.
Principe 11 :Les FRFI devraient élaborer des normes et des processus en matière de services et de capacités afin de surveiller la gestion opérationnelle de la technologie, en veillant à ce que les besoins opérationnels soient satisfaits. Avec Prevalent, vous pouvez évaluer en permanence l'efficacité de votre programme TPRM en fonction de l'évolution des besoins et des priorités de votre entreprise, en mesurantles indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI)des fournisseurs tiers tout au long du cycle de vie de la relation.

Domaine :Cybersécurité

Ce domaine définit les attentes du BSIF en matière de « gestion et de surveillance des cyberrisques ».

Résultat :une posture technologique sécurisée qui préserve la confidentialité, l'intégrité et la disponibilité des actifs technologiques de l'IRFF.
Principe 14 :Les FRFI doivent maintenir un éventail de pratiques, de capacités, de processus et d'outils permettant d'identifier et d'évaluer les faiblesses en matière de cybersécurité qui pourraient être exploitées par des acteurs malveillants externes et internes. La plateforme TPRM Prevalent propose une vaste bibliothèque de modèles prédéfinis pour évaluations des risques liés aux tiersLes évaluations doivent être réalisées lors de l'intégration du fournisseur, du renouvellement du contrat ou à toute fréquence requise (par exemple, trimestriellement ou annuellement) en fonction des changements importants dans la relation.
Les évaluations doivent être gérées de manière centralisée et s'appuyer sur un flux de travail, une gestion des tâches et des capacités d'examen automatisé des preuves afin de garantir que votre équipe a une visibilité sur les risques liés aux tiers tout au long du cycle de vie de la relation.

Il est important de noter que Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos tiers traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

Dans le cadre de ce processus, Prevalent suit et analyse en permanenceles menaces externes pesant sur les tiers. Toutes les données de surveillance doivent être corrélées avec les résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui permet de rationaliser les initiatives d'examen des risques, de reporting, de remédiation et de réponse.
Principe 17 :Les FRFI devraient réagir aux incidents de cybersécurité qui touchent leurs actifs technologiques, y compris ceux provenant de fournisseurs tiers, les contenir, s'en remettre et en tirer des leçons.

Dans le cadre de votrestratégie globalede gestion des incidents, Prevalent veille à ce que votre programme de réponse aux incidents tiers permette à votre équipe d'identifier, de réagir, de signaler et d'atténuer rapidement l'impactdes incidents de sécurité impliquantdes fournisseurs tiers.

Les capacités clés d'un service de réponse aux incidents d'une tierce partie sont les suivantes :

  • Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables.
  • Suivi en temps réel de l'avancement du remplissage du questionnaire.
  • Responsables des risques définis avec rappels automatiques pour respecter le calendrier des enquêtes.
  • Rapports proactifs des fournisseurs.
  • Vues consolidées des cotes de risque, des nombres, des scores et des réponses signalées pour chaque fournisseur.
  • Règles de workflow permettant de déclencher des playbooks automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'activité.
  • Modèles de rapports intégrés pour les parties prenantes internes et externes.
  • Conseils issus de recommandations de remédiation intégrées pour réduire les risques.
  • Cartographie des données et des relations pour identifier les relations entre votre organisation et les tierces, quatrièmes ou Nièmes parties afin de visualiser les chemins de l'information et de révéler les données à risque.

De plus, Prevalent exploite des bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises à travers le monde, notamment les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs.

Forte de ces informations, votre équipe peut mieux comprendre l'étendue et l'impact de l'incident, les données concernées, l'impact sur les opérations du tiers et la date à laquelle les mesures correctives ont été prises, le tout en s'appuyant sur les experts de Prevalent.

Ressources complémentaires

Blog

La LPDP et la gestion du risque pour les tiers

Blog

Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Blog

Liste de contrôle de la conformité à la CCPA et à l'ACPR pour la gestion des risques liés aux tiers

Guide

Alignez votre programme de gestion des risques technologiques sur la CCPA, le GDPR, l'HIPAA, etc.

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.