Conformité à la ligne directrice B-10 du BSIF du Canada

Contacter un expert

Retour à tous les cas d'utilisation

Ligne directrice B-10 et gestion des risques liés aux tiers

La ligne directrice B-10 sur la gestion des risques liés aux tiers du Bureau du surintendant des institutions financières (BSIF) du gouvernement canadien traite des risques opérationnels et financiers associés aux relations avec les vendeurs et les fournisseurs.

La ligne directrice B-10 définit les attentes des institutions financières fédérales (IFF) en matière de gestion des risques liés aux accords avec des tiers.

La ligne directrice élargit également la définition d'un tiers pour inclure davantage d'entités telles que les professionnels indépendants, les courtiers et les services publics, et recommande d'inclure tous les types de tiers dans les évaluations des risques.

Ces nouvelles exigences sont motivées par le passage de l'importance relative à la criticité - lorsqu'un tiers exerce une fonction qui fait partie intégrante de la fourniture par l'IFF d'une opération, d'une fonction ou d'un service important, il convient d'adopter une double approche dans laquelle le risque et la criticité déterminent la nature et l'étendue des activités de diligence raisonnable.

Exigences pertinentes

  • Les structures de gouvernance et de responsabilité sont claires et des stratégies et des cadres de risque complets sont en place.

  • Les risques posés par les tiers sont identifiés et évalués

  • Les risques posés par les tiers sont gérés et atténués dans le cadre de l'appétit pour le risque de l'IFF.

  • Les performances des tiers sont contrôlées et évaluées, et les risques et incidents sont traités de manière proactive.

  • Le programme de gestion des risques liés aux tiers de l'IFF permet à l'IFF d'identifier et de gérer en permanence une série de relations avec des tiers.

  • Les technologies et les cyberopérations menées par des tiers sont transparentes, fiables et sûres

Respect de la ligne directrice B-10 du BSIF

La ligne directrice B-10 présente six résultats escomptés que les IFF doivent atteindre en gérant le risque lié aux tiers. Ces résultats sont censés contribuer à la résilience opérationnelle et financière de l'IFF et aider à préserver sa réputation.

Les six résultats attendus sont étayés par 11 principes que le BSIF décrit comme les meilleures pratiques en matière de gestion des risques liés aux tiers. Le tableau récapitulatif ci-dessous établit une correspondance entre les capacités de la plateforme de gestion des risques des tiers prévalents et ces 11 principes.

NOTE : Ce tableau ne doit pas être considéré comme un guide complet et définitif. Consultez votre auditeur pour obtenir une liste complète des exigences.

Principes de la ligne directrice B-10 du BSIF Comment nous aidons
Résultat 1 : les structures de gouvernance et de responsabilité sont claires et des stratégies et des cadres de risque complets sont en place.

Principe 1 : "L'IFF est responsable en dernier ressort de la gestion des risques découlant de tous les types d'accords avec des tiers".

Principe 2 : "L'IFF doit mettre en place un cadre de gestion des risques liés aux tiers (CGRTP) qui définit clairement les responsabilités, les politiques et les processus permettant d'identifier, de gérer, d'atténuer, de surveiller et de signaler les risques liés au recours à des tiers".

Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques des tiers (TPRM) basé sur les meilleures pratiques éprouvées et une vaste expérience du monde réel.

Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions de gestion des risques liés aux tiers, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'abandon des activités.

Dans le cadre de ce processus, Prevalent peut vous aider à définir :

  • Rôles et responsabilités clairement définis (par exemple, RACI)
  • Inventaires de tiers
  • Evaluation des risques et seuils en fonction de la tolérance au risque de votre organisation
  • Méthodes d'évaluation et de suivi basées sur la criticité des tiers
  • Cartographie quadripartite
  • Sources de données de surveillance continue (cybernétique, commerciale, réputationnelle, financière)
  • Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI)
  • Politiques, normes, systèmes et processus régissant la protection des données
  • les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service
  • Exigences en matière de réponse aux incidents
  • Rapports sur les risques et les parties prenantes internes
  • Stratégies d'atténuation des risques et de remédiation
Résultat 2 : Les risques posés par les tiers sont identifiés et évalués.
Principe 3 : " L'IFF doit identifier et évaluer les risques d'un accord avec un tiers avant de conclure l'accord et périodiquement par la suite. Les évaluations des risques doivent être proportionnelles à la criticité d'un accord. Plus précisément, l'IFF doit procéder à des évaluations des risques pour décider de la sélection d'un tiers, (ré)évaluer les risques et la criticité de l'accord, et planifier une atténuation des risques et une surveillance adéquates".

Prevalent centralise et automatise la distribution, la comparaison et la gestion des demandes de propositions (RFP) et des demandes d'informations (RFI). Nos solutions fournissent également des informations sur les risques commerciaux, financiers et de réputation, ainsi que sur les risques de violation de données, afin d'éclairer et de contextualiser les décisions de sélection des fournisseurs.

Prevalent fait passer chaque fournisseur sélectionné aux phases de due diligence de contractualisation et/ou d'onboarding, faisant ainsi progresser automatiquement le fournisseur tout au long du cycle de vie de la tierce partie.

Prevalent dispose d'une bibliothèque de plus de 750 modèles prédéfinis pour l'évaluation continue des risques des tiers. Ces modèles sont intégrés à des capacités natives de surveillance des risques cybernétiques, opérationnels, financiers et de réputation, qui valident en permanence les résultats des évaluations et comblent les lacunes entre les évaluations.

Les recommandations de remédiation intégrées garantissent que les tiers traitent les risques en temps voulu et de manière satisfaisante.

Grâce à cette capacité, Prevalent évalue les tiers avant de conclure des accords avec eux, régulièrement tout au long de la relation et à chaque fois qu'un changement important intervient dans la relation, déclenché par un contrôle continu.
Principe 4 : "L'IFF doit faire preuve de diligence raisonnable avant de conclure des contrats ou d'autres formes d'accords avec un tiers, et de manière continue, proportionnellement au niveau de risque et à la criticité de l'accord".

Prevalent propose une évaluation de la diligence raisonnable avant contrat avec une notation claire basée sur huit critères pour saisir, suivre et quantifier les risques inhérents à toutes les tierces parties. Ces critères sont les suivants

  • Type de contenu requis pour valider les contrôles
  • Criticité pour les performances et les opérations de l'entreprise
  • Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
  • Niveau de dépendance à l'égard des tiers (pour éviter le risque de concentration)
  • Expérience des processus opérationnels ou en contact avec les clients
  • Interaction avec les données protégées
  • Situation financière et santé
  • Réputation

À partir de cette évaluation du risque inhérent, votre équipe peut automatiquement classer les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer l'étendue des évaluations continues.

La logique de hiérarchisation basée sur des règles permet de classer les fournisseurs en fonction d'une série d'interactions de données, de considérations financières, réglementaires et de réputation.

Prevalent dispose d'une bibliothèque de plus de 750 modèles prédéfinis pour les évaluations des risques des tiers. Les évaluations peuvent être menées au moment du renouvellement du contrat ou à n'importe quelle fréquence (par exemple, trimestriellement ou annuellement). Les questionnaires d'évaluation peuvent être axés sur le monde entier ou sur la région afin de répondre à des exigences juridiques ou opérationnelles particulières.

Prevalent fournit des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques. Ces recommandations sont soutenues par des capacités de gestion des flux de travail et des tâches afin de s'assurer que les tiers traitent les risques en temps voulu et de manière satisfaisante.

Les capacités intégrées et natives de surveillance des risques cybernétiques, opérationnels, financiers et de réputation signalent les changements importants entre les évaluations périodiques et peuvent déclencher des notifications, des évaluations de suivi ou d'autres actions.

Grâce à cette capacité, Prevalent permet à votre organisation d'évaluer les risques avant de conclure l'accord, dans le cadre du processus de renouvellement du contrat, et périodiquement sur une base continue proportionnelle au niveau de risque et de criticité ou chaque fois qu'il y a des changements importants dans l'accord avec le tiers.
Principe 5 : "L'IFF est responsable de l'identification, du suivi et de la gestion des risques découlant des accords de sous-traitance conclus par ses tiers".

Prevalent peut identifier les relations de sous-traitance de quatrième et de Nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques.

Les fournisseurs découverts grâce à ce processus font l'objet d'un suivi permanent afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que pour le dépistage des sanctions/PEP.

Cette approche permet de mieux appréhender les risques potentiels de concentration technologique ou géographique.
Résultat 3 : Les risques posés par les tiers sont gérés et atténués dans le cadre de l'appétence au risque de l'IFF.
Principe 6 : "L'IFF doit conclure des accords écrits qui définissent les droits et les responsabilités de chaque partie".

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs. Il offre également des fonctionnalités de flux de travail pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Les principales fonctionnalités sont les suivantes :

  • Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées basées sur les rôles.
  • Fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats
  • Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats
  • Discussion centralisée des contrats et suivi des commentaires
  • Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès
  • Suivi du contrôle des versions permettant de modifier les contrats et les documents hors ligne
  • Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires sont définies dans le contrat du fournisseur, et que les accords de niveau de service sont suivis et gérés en conséquence.
Principe 7 : "Pendant toute la durée de l'accord avec le tiers, l'IFF et le tiers doivent mettre en place et maintenir des mesures appropriées pour protéger la confidentialité, l'intégrité et la disponibilité des dossiers et des données".

Prevalent offre une plateforme centralisée et collaborative pour effectuer des évaluations de la protection de la vie privée et atténuer les risques liés à la protection de la vie privée, qu'il s'agisse d'une tierce partie ou d'une entreprise. Les principales fonctionnalités d'évaluation de la sécurité des données et de la protection de la vie privée sont les suivantes

  • Évaluations régulières et cartographie des relations pour révéler où se trouvent les données personnelles, où elles sont partagées et qui y a accès - le tout résumé dans un registre des risques qui met en évidence les expositions critiques.
  • Évaluations de l'impact sur la vie privée pour découvrir les données commerciales à risque et les informations personnelles identifiables (PII)
  • Évaluation des fournisseurs au regard du GDPR et d'autres réglementations en matière de protection de la vie privée via le Prevalent Compliance Framework (PCF) - révèle les points chauds potentiels en établissant une correspondance entre les risques identifiés et les contrôles spécifiques.
  • Cartographie des risques et des réponses GDPR en fonction des contrôles. Inclut des notes de conformité en pourcentage et des rapports spécifiques aux parties prenantes.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises - y compris les types et les quantités de données volées ; les questions de conformité et de réglementation ; et les notifications de violation de données des fournisseurs en temps réel.
  • La centralisation de l'intégration, de la distribution, de la discussion, de la conservation et de l'examen des contrats avec les fournisseurs garantit que les dispositions relatives à la protection des données sont appliquées dès le début de la relation.
Principe 8 : "Les accords conclus par l'IFF avec des tiers doivent permettre à l'IFF d'accéder en temps utile à des informations précises et complètes pour l'aider à superviser les performances et les risques des tiers. L'IFF doit également avoir le droit de procéder ou de faire procéder à un audit indépendant d'un tiers".

Avec Prevalent, les auditeurs peuvent établir un programme pour atteindre et démontrer efficacement la conformité. La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques, en recommandant des mesures correctives et en générant des rapports pour des douzaines de réglementations gouvernementales et de cadres sectoriels.

Prevalent met automatiquement en correspondance les informations recueillies lors des évaluations basées sur les contrôles avec les normes ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS et d'autres cadres réglementaires, ce qui vous permet de visualiser rapidement les exigences de conformité importantes et d'y répondre.

En outre, Prevalent révèle les tendances en matière de risques, le statut et les exceptions aux comportements courants pour des fournisseurs individuels ou des groupes, grâce à l'apprentissage automatique intégré. Cela vous permettra d'identifier rapidement les valeurs aberrantes dans les évaluations, les tâches, les risques, etc. qui pourraient justifier un examen plus approfondi.
Principe 9 : "L'accord conclu par l'IFF avec le tiers doit englober la capacité de poursuivre les opérations en cas d'interruption, y compris le maintien, la mise à l'essai et l'activation des plans de continuité des activités et de reprise après sinistre. L'IFF doit disposer de plans d'urgence pour ses accords avec des tiers critiques."

Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mettant automatiquement les résultats en correspondance avec les normes NIST, ISO et d'autres cadres de contrôle.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent :

  • Automatisation de la surveillance cybernétique continue permettant de prévoir les éventuels impacts sur les activités de tiers
  • Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur.
  • Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels.

Cette approche proactive permet à votre organisation de minimiser l'impact des perturbations causées par des tiers et de rester à la pointe des exigences de conformité.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301 qui permet aux organisations de :

  • Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
  • Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
  • Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
  • Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

Lorsqu'une résiliation ou une sortie est nécessaire pour des services critiques, Prevalent s'appuie sur des enquêtes et des flux de travail personnalisables pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, la conformité avec les lois pertinentes, les paiements finaux, et plus encore. La solution suggère également des actions basées sur les réponses aux évaluations d'intégration et achemine les tâches vers les réviseurs si nécessaire.
Résultat 4 : Les performances des tiers sont contrôlées et évaluées, et les risques et incidents sont traités de manière proactive.
Principe 10 : "L'IFF doit contrôler les accords conclus avec des tiers afin de vérifier la capacité de ces derniers à continuer à respecter leurs obligations et à gérer efficacement les risques".

Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

Toutes les données de contrôle sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, l'établissement de rapports et les initiatives de réponse.

Les sources de surveillance comprennent

  • plus de 1 500 forums criminels, des milliers de pages en oignon, plus de 80 forums d'accès spécial sur le dark web, plus de 65 flux de menaces et plus de 50 sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilité couvrant 550 000 entreprises.
  • Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde entier.
  • 550 000 sources publiques et privées d'informations sur la réputation, y compris les activités de fusion et d'acquisition, les nouvelles commerciales, les nouvelles négatives, les informations réglementaires et juridiques, les mises à jour opérationnelles, etc.
  • Un réseau mondial de 2 millions d'entreprises avec 5 ans de changements organisationnels et de performances financières, y compris le chiffre d'affaires, les pertes et profits, les fonds d'actionnaires, etc.
  • 30 000 sources d'information mondiales
  • Une base de données contenant plus de 1,8 million de profils de personnes politiquement exposées
  • Listes de sanctions mondiales et plus de 1 000 listes d'application de la loi au niveau mondial et dépôts auprès des tribunaux
Principe 11 : "L'IFF et son tiers doivent disposer de procédures documentées permettant d'identifier, d'enquêter, de faire remonter les incidents, d'en assurer le suivi et d'y remédier de manière efficace afin de garantir une résilience opérationnelle et financière continue et de maintenir les niveaux de risque dans les limites de l'appétit pour le risque de l'IFF". Prevalent permet à votre équipe d'identifier et d'atténuer rapidement l'impact des incidents impliquant des fournisseurs tiers en gérant les fournisseurs de manière centralisée, en procédant à des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.
Résultat 5 : Le programme de gestion des risques liés aux tiers de l'IFF permet à l'IFF d'identifier et de gérer en permanence un éventail de relations avec des tiers.
Résultat 6 : Les opérations technologiques et cybernétiques menées par des tiers sont transparentes, fiables et sûres.

La plateforme Prevalent comprend une large bibliothèque d'évaluations standardisées (y compris pour les cadres de bonnes pratiques NIST et ISO) et des capacités de personnalisation pour évaluer les tiers avec flexibilité. Pour les tiers qui soumettent un rapport SOC 2 au lieu d'une évaluation complète des risques, Prevalent vous permet de cartographier les lacunes de contrôle identifiées dans le rapport SOC 2, de créer des éléments de risque contre le tiers au sein d'une plate-forme d'évaluation centrale, et de suivre et de signaler les lacunes ainsi que d'autres risques.

Quel que soit le cadre de cybersécurité, Prevalent vous permet de réduire les délais d'évaluation et d'atténuer les risques.

Ressources complémentaires

Blog

La LPDP et la gestion du risque pour les tiers

Blog

Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Blog

Liste de contrôle de la conformité à la CCPA et à l'ACPR pour la gestion des risques liés aux tiers

Guide

Alignez votre programme de gestion des risques technologiques sur la CCPA, le GDPR, l'HIPAA, etc.

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.