Autorité de réglementation prudentielle de la Banque d'Angleterre SS2/21 Conformité

2 Définitions et champ d'application

2.8« Conformément aux attentes énoncées au chapitre 4 de la présente norme, les entreprises peuvent mettre en œuvre une politique globale unique de gestion des risques liés aux tiers couvrant les accords d'externalisation et les accords avec des tiers non externalisés. Elles peuvent également adopter des politiques distinctes pour chacun de ces domaines, à condition qu'elles soient harmonisées, cohérentes, efficaces et adaptées aux risques. »

La plateforme de gestion des risques liés aux tierssimplifie la gestion des tiers, permettant aux organisations d'unifier et d'automatiser les tâches critiques nécessaires pour identifier, évaluer, gérer, surveiller en permanence et remédier aux risques liés à la sécurité, à la confidentialité, à la conformité et aux opérations des tiers à chaque étape du cycle de vie des fournisseurs. La solution offre :

• Profilage, hiérarchisation et notation des risques inhérents et résiduels sur la base de critères exhaustifs afin d'identifier les tiers sous-traitants importants et non importants.
• Plus de 100 modèles standardisés et évaluations des risques personnalisées adaptés aux tiers matériels et immatériels, avec gestion intégrée des flux de travail, des tâches et des preuves.
• Gestion des mesures correctives avec des conseils intégrés pour agir sur les risques identifiés liés à l'externalisation de matériaux auprès de tiers
• Rapports de conformité et de risque par cadre ou réglementation afin de simplifier le processus d'audit

La plateforme Prevalent comprend une bibliothèque de plus de 100 modèles de questionnaires qui traitent d'une multitude de cadres basés sur la sécurité des TIC, notamment Cyber Essentials, ISO 27001, NIST 800-53, GDPR et bien d'autres.

3 Proportionnalité

3.6« En fonction de son niveau de contrôle et d'influence sur les accords d'externalisation intragroupe, une entreprise peut, par exemple :

• ajuster sa diligence raisonnable vis-à-vis des fournisseurs, même si les entreprises doivent toujours évaluer avec soin si un prestataire de services potentiel faisant partie de leur groupe dispose des capacités, des ressources et de la structure organisationnelle appropriées pour prendre en charge la fonction externalisée ou le service tiers ;
• … »

La plateforme Prevalent TPRM permet aux équipes chargées de la sécurité et de la gestion des risques de classer automatiquement les fournisseurs en fonction de leur score de risque inhérent. Les résultats peuvent être utilisés pour définir les niveaux appropriés de diligence raisonnable supplémentaire et déterminer la portée des évaluations continues.

3.7« Le cas échéant, les entreprises peuvent tirer parti de leur conformité aux exigences existantes dans d'autres domaines réglementaires pour les aider à respecter leurs obligations réglementaires en matière d'accords d'externalisation intragroupe. »

• ajuster sa diligence raisonnable vis-à-vis des fournisseurs, même si les entreprises doivent toujours évaluer avec soin si un prestataire de services potentiel faisant partie de leur groupe dispose des capacités, des ressources et de la structure organisationnelle appropriées pour prendre en charge la fonction externalisée ou le service tiers ;
• … »

La plateforme Prevalent mappe automatiquement les informations recueillies à partir d'évaluations basées sur le contrôle vers des cadres réglementaires, notamment ISO 27001, RGPD et des dizaines d'autres. Cela vous permet de visualiser et de traiter rapidement les exigences de conformité importantes et de simplifier les processus d'audit.

Les clients peuvent également choisir d'utiliser le Prevalent Compliance Framework (PCF), une évaluation unique et complète qui permet aux équipes chargées de la sécurité et de la gestion des risques de cartographier les réponses à plusieurs exigences réglementaires.

5 Phase préalable à l'externalisation

5.8 « Les entreprises sont responsables d'évaluer l'importance relative de leurs accords d'externalisation et de sous-traitance. L'importance relative peut varier tout au long de la durée d'un accord et doit donc être (ré)évaluée :

• avant la signature de l'accord écrit ;
• à intervalles appropriés par la suite, par exemple pendant les périodes de révision prévues ;
• lorsqu'une entreprise prévoit d'augmenter son utilisation du service ou sa dépendance vis-à-vis du prestataire de services ; et/ou
• si un changement organisationnel important survient chez le prestataire de services ou chez un sous-traitant important, susceptible de modifier de manière significative la nature, l'ampleur et la complexité des risques inhérents à l'accord d'externalisation, y compris un changement important dans la propriété ou la situation financière du prestataire de services. »

La plateforme Prevalent permet aux organisations d'évaluer, de surveiller et de remédier aux risques à toutes les étapes du cycle de vie des tiers. Ses principales fonctionnalités sont les suivantes :

• Gestion des appels d'offres, permettant aux organisations d'automatiser et d'ajouter des informations sur les risques aux décisions de sélection des fournisseurs.
• Gestion du cycle de vie des contrats, automatisation visant à améliorer l'expérience contractuelle des fournisseurs et surveillance continue des accords de niveau de service (SLA)
• La plus grande bibliothèque d'évaluations des risques standardisées et personnalisées avec workflow intégré, tâches et gestion des preuves pour des évaluations régulières des risques.
• Surveillance native des risques cybernétiques, des violations, des risques commerciaux, réputationnels et financiers afin d'évaluer en permanence les risques liés aux fournisseurs entre les évaluations annuelles et de corréler les conclusions avec les résultats des évaluations afin de déterminer si une enquête plus approfondie est nécessaire.

5.10« Les entreprises devraient élaborer leurs propres processus d'évaluation de l'importance relative dans le cadre de leur politique d'externalisation ou de gestion des risques liés aux tiers (voir chapitre 4). »

La plateforme Prevalent automatise l'identification, l'évaluation, l'analyse, la surveillance continue et la correction des risques liés aux tiers à chaque étape du cycle de vie des fournisseurs, de la sélection à la cessation de collaboration. La plateforme comprend une vaste bibliothèque de modèles d'évaluation, notamment ceux permettant de déterminer l'importance relative d'un accord avec un tiers et les risques associés.

5.11« Conformément à la définition de « sous-traitance importante » figurant dans le règlement PRA et, le cas échéant, aux critères énoncés dans les lignes directrices de l'ABE sur la sous-traitance, une entreprise devrait généralement considérer une sous-traitance ou un accord avec un tiers comme important lorsque tout défaut ou manquement dans son exécution pourrait nuire de manière significative à la stabilité financière du Royaume-Uni ou des entreprises. »

• capacité à remplir les conditions minimales requises ;
• respect des règles fondamentales ;
• exigences prévues par la « législation applicable » et le règlement PRA Rulebook ;36
• sécurité et solidité, notamment :
  résilience financière, c'est-à-dire actifs, capital, financement et liquidités ; ou résilience opérationnelle, c'est-à-dire sa capacité à continuer de fournir des services commerciaux importants ;
• pour les assureurs uniquement, la capacité à fournir un niveau de protection approprié aux personnes qui sont ou pourraient devenir des assurés, conformément aux objectifs statutaires de la PRA ; et l'
  obligation de ne pas compromettre la « continuité et la qualité du service fourni aux assurés », conformément aux conditions régissant les activités 7.2.
• OCIR et, le cas échéant, la résolvabilité. »

La plateforme TPRM Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la remédiation de la résilience et de la continuité des activités externalisées et non externalisées de tiers, tout en mappant automatiquement les résultats aux cadres de contrôle NIST, ISO et autres afin de démontrer la conformité.

Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent :

• Automatise la surveillance continue du cyberespace afin de prévoir les répercussions possibles sur les activités de tiers.
• Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur.
• Exploite les informations financières d'un réseau mondial de 2 millions d'entreprises pour identifier la santé financière des vendeurs ou les problèmes opérationnels.

5.12« La PRA attend également des entreprises qu'elles classent un accord d'externalisation comme important si le service externalisé implique :

• l'ensemble de l'« activité réglementée », par exemple la gestion de portefeuille ; ou
• « contrôle interne » ou « fonction clé », à moins que l'entreprise ne soit convaincue qu'un défaut ou une défaillance dans l'exécution n'aurait pas d'incidence négative sur la fonction concernée. »

Prevalent permet aux organisations de classer les tiers selon plusieurs critères, notamment :

• Type de contenu requis pour valider les contrôles
• Importance cruciale pour la performance commerciale
• Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
• Niveau de dépendance à l'égard des tiers
• Expérience des processus opérationnels ou en contact avec les clients
• Interaction avec les données protégées
• Situation financière et implications
• Réputation

Un processus efficace de hiérarchisation et de catégorisation permet aux organisations d'évaluer les tiers en fonction de leur importance pour les opérations commerciales, tout en orientant les efforts supplémentaires de diligence raisonnable.

5.12« La PRA attend également des entreprises qu'elles classent un accord d'externalisation comme important si le service externalisé implique :

• l'ensemble de l'« activité réglementée », par exemple la gestion de portefeuille ; ou
• « contrôle interne » ou « fonction clé », à moins que l'entreprise ne soit convaincue qu'un défaut ou une défaillance dans l'exécution n'aurait pas d'incidence négative sur la fonction concernée. »

Prevalent permet aux organisations de classer les tiers selon plusieurs critères, notamment :

• Type de contenu requis pour valider les contrôles
• Importance cruciale pour la performance commerciale
• Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent
• Niveau de dépendance à l'égard des tiers
• Expérience des processus opérationnels ou en contact avec les clients
• Interaction avec les données protégées
• Situation financière et implications
• Réputation

Un processus efficace de hiérarchisation et de catégorisation permet aux organisations d'évaluer les tiers en fonction de leur importance pour les opérations commerciales, tout en orientant les efforts supplémentaires de diligence raisonnable.

5.13 « La PRA attend des entreprises qu'elles tiennent compte de tous les critères applicables figurant dans le tableau 5 ci-dessous, tant individuellement que conjointement, lorsqu'elles évaluent l'importance relative d'un accord d'externalisation ou d'un accord avec un tiers qui n'est pas couvert par les paragraphes 5.8 et 5.9. Bien que, dans la pratique, de nombreux accords d'externalisation et accords avec des tiers importants concernent des produits ou services TIC (par exemple, le cloud), la présence d'un produit ou service TIC donné ne rend pas en soi automatiquement un accord d'externalisation important.

Recréé à partir du tableau 5 :

Lien direct avec l'exercice d'une activité réglementée.

Taille et complexité du ou des domaines d'activité ou fonctions concernés.

L'impact potentiel d'une perturbation, d'une défaillance ou d'une performance insuffisante sur l'entreprise :

• continuité des activités, résilience opérationnelle et risque opérationnel, y compris : risque lié à la conduite ; risque lié aux TIC ; risque juridique ; et risque réputationnel.
• capacité à : se conformer aux exigences légales et réglementaires ; réaliser des audits appropriés de la fonction, du service ou du prestataire de services concernés ; et identifier, surveiller et gérer tous les risques
• obligations en vertu du règlement PRA ;
  la protection des données et l'impact potentiel d'une violation de la confidentialité ou d'un manquement à l'obligation de garantir la disponibilité et l'intégrité des données de l'établissement ou de l'établissement de paiement et de ses clients, y compris, mais sans s'y limiter, le RGPD et la loi de 2018 sur la protection des données
• contreparties, clients ou assurés.
• intervention précoce, planification du redressement et de la résolution, OCIR et résolvabilité.

La capacité de l'entreprise à développer le service externalisé.

Capacité à remplacer le prestataire de services ou à réintégrer le service externalisé en interne, y compris les coûts estimés, l'impact opérationnel, les risques et le calendrier de sortie dans des scénarios stressés et non stressés.

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques standard ISO 22301. Cela permet aux organisations de :

• Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
• Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
• Centralisez l'inventaire du système, les évaluations des risques, les tableaux RACI et les profils des entreprises tierces.
• Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

5.18« La PRA attend des entreprises qu'elles procèdent à une vérification préalable appropriée du prestataire de services potentiel avant de conclure un accord d'externalisation et qu'elles identifient, le cas échéant, des prestataires de remplacement ou de secours appropriés. Si aucun autre prestataire ou prestataire de secours n'est disponible pour un accord d'externalisation important, les entreprises doivent envisager d'autres solutions pour assurer la continuité de leurs activités, élaborer des plans d'urgence et mettre en place des dispositifs de reprise après sinistre afin de pouvoir continuer à fournir les services importants concernés dans les limites de leur tolérance aux perturbations en cas de perturbation importante chez le prestataire de services qu'elles ont choisi (voir chapitre 10). »

PrevalentRFx Essentialscentralise et automatise la distribution, la comparaison et la gestion des appels d'offres (RFP) et des demandes d'informations (RFI). RFx Essentials permet aux équipes d'approvisionnement non seulement de sélectionner facilement les solutions et les fournisseurs qui répondent aux exigences de l'organisation en matière de fonctionnalités et de risques, mais aussi de franchir une première étape cruciale dans la gestion des risques tout au long du cycle de vie des tiers.
Avant de sélectionner le fournisseur, Prevalent permet aux équipes de comparer et de surveiller les données démographiques des fournisseurs, les technologies tierces, les scores ESG, les informations récentes sur leurs activités et leur réputation, l'historique des violations de données et leurs performances financières.

Les organisations peuvent également tirer parti desréseaux PrevalentVendor Intelligence Networks, qui sont des bibliothèques à la demande contenant des milliers de rapports sur les risques liés aux fournisseurs, basés sur la sécurité, la confidentialité, la résilience commerciale et les risques opérationnels. Les réseaux Prevalent Vendor Networks sont continuellement mis à jour et alimentés par des preuves à l'appui.

5.19« Dans le cas d'une externalisation importante, la PRA attend des entreprises qu'elles fassent preuve de diligence raisonnable en examinant les éléments suivants chez les fournisseurs potentiels :

• modèle économique, complexité, situation financière, nature, structure de propriété et taille ;
• capacité, expertise et réputation ;
• ressources financières, humaines et technologiques ;
• Contrôles et sécurité des TIC ; et
• les prestataires de services sous-traitants, le cas échéant, qui participeront à la fourniture de services commerciaux importants ou de parties de ceux-ci. »

5.20« La diligence raisonnable doit également examiner si les prestataires de services potentiels :

• disposer des autorisations ou des enregistrements nécessaires pour fournir le service ;
• se conformer au RGPD, à la loi sur la protection des données et à toute autre exigence légale et réglementaire applicable en matière de protection des données ;
• peut démontrer une conformité certifiée aux normes industrielles reconnues et pertinentes ;
• peut fournir, le cas échéant et sur demande, les certificats et documents pertinents (par exemple, des dictionnaires de données) ; et
• avoir la capacité et les moyens de fournir le service dont l'entreprise a besoin, dans le respect des exigences réglementaires britanniques (y compris en cas de pic soudain de la demande pour le service concerné, par exemple à la suite du passage au télétravail pendant une pandémie). Un historique « général » des performances antérieures peut ne pas constituer à lui seul une preuve suffisante. »

La plateforme Prevalent comprend plus de 100 modèles d'évaluation prédéfinis, notamment des questionnaires standardisés d'évaluation des risques liés à la sécurité de l'information des fournisseurs, ainsi que des modèles portant sur la résilience des entreprises, le RGPD, la FCA, la norme ISO 27001, l'esclavage moderne, la lutte contre la corruption, la santé et la sécurité, les performances financières, la gestion et l'éthique, etc.

PrevalentVendor Threat Monitorsurveille et analyse en permanence les menaces externes pesant sur les tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.

Prevalent gère des profils fournisseurs centralisés qui regroupent les données démographiques, les déclarations relatives à l'esclavage moderne, les scores ESG et les quatrièmes parties cartographiées.

Prevalent intègre et met en corrélation la surveillance continue et les informations sur les profils avec les résultats des évaluations afin de fournir un emplacement centralisé pour visualiser les risques et prendre les mesures qui s'imposent.

5.21« Conformément aux dispositions 3.4(2) et 3.1 relatives à la maîtrise des risques, les entreprises doivent évaluer de manière proportionnée les risques potentiels liés à tous les accords conclus avec des tiers, y compris les accords d'externalisation, quelle que soit leur importance. Dans le cadre de l'évaluation des risques, la PRA attend des entreprises qu'elles prennent en considération les éléments suivants :

• les risques opérationnels basés sur une analyse de scénarios graves mais plausibles, par exemple une violation ou une panne affectant la confidentialité et l'intégrité des données sensibles et/ou la disponibilité de la prestation de services (voir chapitre 10) ; et
• risques financiers, y compris la nécessité potentielle pour l'entreprise d'apporter un soutien financier à un prestataire de services externalisés ou sous-traités important en difficulté ou de reprendre ses activités, notamment en raison d'un ralentissement économique (risque d'intervention).

Le service de réponse aux incidents tierspermet aux équipes d'identifier rapidement et d'atténuer l'impact des violations commises par des fournisseurs tiers en gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde. La base de données comprend les types et les quantités de données volées, les problèmes de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Associée à une surveillance cybernétique continue, elle offre aux organisations une vue d'ensemble des risques externes liés à la sécurité de l'information qui peuvent avoir un impact sur leurs opérations.

Prevalent exploite les informations financières provenant d'un réseau mondial de 2 millions d'entreprises. Cela comprend 5 années de changements organisationnels et de performances financières, tels que le chiffre d'affaires, les profits et pertes, les fonds des actionnaires et d'autres données utiles pour évaluer la santé et la viabilité d'une entreprise.

5.22« La PRA attend des entreprises qu'elles procèdent à des évaluations des risques dans les circonstances mentionnées au paragraphe 5.6, ainsi que lorsqu'elles estiment qu'un changement significatif est susceptible d'avoir affecté les risques liés à un accord d'externalisation, par exemple en raison d'une violation grave/de violations répétées de l'accord ou d'un risque concrétisé. »

Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les tiers. La solution surveille l'Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances.

La plateforme donne accès à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde. La base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs.

Ces capacités permettent de combler les lacunes entre les évaluations régulières des risques liés aux tiers, les résultats déclenchant des actions automatisées telles que des évaluations supplémentaires et des mesures correctives.

5.23« L'évaluation des risques d'une entreprise doit mettre en balance les risques que l'accord d'externalisation peut créer ou accroître et les risques qu'il peut réduire ou permettre à l'entreprise de gérer plus efficacement (par exemple, la résilience d'une entreprise face aux perturbations). L'évaluation doit également tenir compte des mesures d'atténuation des risques existantes ou prévues, par exemple les procédures et la formation du personnel. »

La plateforme Prevalent comprend des recommandations de remédiation intégrées afin d'accélérer l'atténuation des risques avec les tiers. Les organisations peuvent utiliser la plateforme pour communiquer avec les fournisseurs et coordonner les efforts de remédiation, ainsi que pour enregistrer et auditer les conversations, noter les dates d'achèvement estimées, accepter ou rejeter les réponses aux évaluations individuelles, attribuer des tâches en fonction des risques, des documents ou des entités, et faire correspondre la documentation et les preuves aux risques.

5.24« La PRA attend des entreprises et des groupes qu'ils (ré)évaluent périodiquement et prennent des mesures raisonnables pour gérer leur dépendance globale à l'égard de tiers ; et qu'ils
concentration des risques ou le verrouillage des fournisseurs au niveau de l'entreprise ou du groupe, en raison de :

• plusieurs accords avec des prestataires de services identiques ou étroitement liés ;
• les dépendances vis-à-vis de tiers/de la chaîne d'approvisionnement, par exemple lorsque plusieurs prestataires de services qui, autrement, n'auraient aucun lien entre eux, dépendent du même sous-traitant pour la fourniture de leurs services ;
• des accords avec des prestataires de services difficiles, voire impossibles à remplacer ; et/ou
• concentration de l'externalisation et d'autres dépendances vis-à-vis de tiers dans une zone géographique restreinte, telle qu'une juridiction. Ce type de concentration peut se produire même si une entreprise fait appel à plusieurs prestataires de services tiers indépendants les uns des autres, par exemple dans le cadre d'une externalisation des processus métier ou d'une délocalisation.

Prevalent atténue les risques liés à la concentration en identifiant les relations avec les quatrièmes parties grâce à une évaluation native de l'identification ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement.

Les fournisseurs identifiés grâce à ce processus font l'objet d'une surveillance afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et liés à la violation de données, ainsi que pour le contrôle des sanctions/PEP.

6 Contrats d'externalisation

6.3 « Les entreprises doivent veiller à ce que les accords écrits relatifs aux contrats d'externalisation non significatifs comprennent des garanties contractuelles appropriées pour gérer et surveiller les risques pertinents. En outre, quelle que soit leur importance, les entreprises doivent veiller à ce que les contrats d'externalisation n'entravent ni ne limitent la capacité de la PRA à superviser efficacement l'entreprise ou l'activité, la fonction ou le service externalisé. »

PrevalentContract Essentialscentralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Il comprend également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la résiliation.

Avec Contract Essentials, les organisations peuvent centraliser le suivi de tous les contrats et attributs contractuels susceptibles d'avoir une incidence sur les niveaux de service, ce qui leur permet d'appliquer efficacement les garanties contractuelles.

6.3 « Les entreprises doivent veiller à ce que les accords écrits relatifs aux contrats d'externalisation non significatifs comprennent des garanties contractuelles appropriées pour gérer et surveiller les risques pertinents. En outre, quelle que soit leur importance, les entreprises doivent veiller à ce que les contrats d'externalisation n'entravent ni ne limitent la capacité de la PRA à superviser efficacement l'entreprise ou l'activité, la fonction ou le service externalisé. »

PrevalentContract Essentialscentralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Il comprend également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la résiliation.

Avec Contract Essentials, les organisations peuvent centraliser le suivi de tous les contrats et attributs contractuels susceptibles d'avoir une incidence sur les niveaux de service, ce qui leur permet d'appliquer efficacement les garanties contractuelles.

7 Sécurité des données

Prevalent fournit une plateforme collaborative unique permettant de réaliser des évaluations de confidentialité et d'atténuer les risques liés à la confidentialité, tant externes qu'internes. Les principales fonctionnalités d'évaluation de la sécurité et de la confidentialité des données comprennent :

• Évaluations programmées et cartographie des relations afin de déterminer où se trouvent les données personnelles, où elles sont partagées et qui y a accès – le tout résumé dans un registre des risques qui met en évidence les expositions critiques.
• Évaluations de l'impact sur la confidentialité pour mettre au jour les données commerciales à risque et les informations personnelles identifiables (PII) – vous permettant d'analyser l'origine, la nature et la gravité du risque et d'obtenir des conseils pour y remédier.
• Évaluations des fournisseurs par rapport au RGPD et à d'autres réglementations en matière de confidentialité via le Prevalent Compliance Framework (PCF) – vous permettant de révéler les points sensibles potentiels en associant les risques identifiés à des contrôles spécifiques.
• Cartographie des risques et des réponses liés au RGPD par rapport aux contrôles – vous fournissant des notes de conformité en pourcentage et des rapports spécifiques aux parties prenantes.
• Une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde. Elle comprend les types et les quantités de données volées, les problèmes de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs.
• Centralisation de l'intégration, de la distribution, de la discussion, de la conservation et de la révision des contrats fournisseurs. Cela garantit l'application des dispositions relatives à la protection des données dès le début de la relation.

8 Droits d'accès, d'audit et d'information

8.7« Les cabinets peuvent utiliser toute une gamme de méthodes d'audit et d'autres méthodes de collecte d'informations, notamment :

• audits externes, tels que les certificats et autres rapports indépendants fournis par les prestataires de services ; et
• audits sur site, soit individuellement, soit en collaboration avec d'autres cabinets (audits groupés).

Le service de validation des contrôles prévalents examine les réponses et la documentation de l'évaluation par une tierce partie par rapport aux protocoles de test établis afin de valider que les contrôles indiqués sont en place.

Les experts prévalents examinent d'abord les réponses aux évaluations, qu'elles proviennent de questionnaires personnalisés ou standardisés. Nous cartographions ensuite les réponses selon les normes SIG, SCA, ISO, SOC II,

AITECH et/ou d'autres cadres de contrôle. Enfin, nous travaillons avec vous pour élaborer des plans de remédiation et les suivre jusqu'à leur achèvement. Avec des options à distance et sur site disponibles, Prevalent vous apporte son expertise pour vous aider à réduire les risques avec vos ressources existantes.

8.9« Les certificats et rapports fournis par les prestataires de services peuvent aider les entreprises à obtenir l'assurance de l'efficacité des contrôles mis en place par ces derniers. Toutefois, dans le cadre d'accords d'externalisation importants, la PRA attend des entreprises qu'elles :

• évaluer la pertinence des informations contenues dans ces certificats et rapports, et ne pas présumer que leur simple existence ou leur simple fourniture constitue une preuve suffisante que le service est fourni conformément à leurs obligations légales, réglementaires et de gestion des risques ; et
• veiller à ce que les certificats et les rapports d'audit répondent aux attentes énoncées dans le tableau 8. »

Prevalent centralise les certifications, les accords, les contrats et les pièces justificatives grâce à une gestion intégrée des tâches et des acceptations, ainsi qu'à des fonctionnalités de téléchargement obligatoires.

9 Sous-traitance

Prevalent identifie les relations de quatrième partie et de N-ième partie grâce à une évaluation d'identification native ou en analysant passivement l'infrastructure publique du tiers. La carte des relations qui en résulte représente les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement.

Les fournisseurs identifiés grâce à ce processus font l'objet d'une surveillance afin d'identifier les risques financiers, ESG, cybernétiques, commerciaux et liés à la violation de données, ainsi que pour le contrôle des sanctions/PEP.

10 Plans de continuité des activités et de sortie

10.1« Pour chaque accord d'externalisation important, la PRA attend des entreprises qu'elles élaborent, maintiennent et testent un plan de continuité des activités, ainsi qu'une stratégie de sortie documentée, qui doit couvrir et différencier les situations dans lesquelles une entreprise se retire d'un accord d'externalisation :

• dans des circonstances difficiles (par exemple, à la suite de la défaillance ou de l'insolvabilité du prestataire de services (sortie difficile)) ; et
• par le biais d'une sortie planifiée et gérée pour des raisons commerciales, de performance ou stratégiques (sortie non contrainte).

La plateforme de gestion des risques liés aux tiers de Prevalent automatise l'évaluation, la surveillance continue, l'analyse et la correction de la résilience et de la continuité des activités des tiers, tout en mappant automatiquement les résultats aux cadres de contrôle NIST, ISO et autres.
Pour compléter les évaluations de la résilience des entreprises et valider les résultats, Prevalent :

• Automatise la surveillance continue du cyberespace afin de prévoir les répercussions possibles sur les activités de tiers.
• Accède à des informations qualitatives provenant de plus de 550 000 sources publiques et privées d'informations sur la réputation qui pourraient signaler l'instabilité du fournisseur.
• Exploite les informations financières provenant d'un réseau mondial de 2 millions d'entreprises afin d'identifier la santé financière des fournisseurs ou les problèmes opérationnels.

Cette approche proactive permet aux organisations de minimiser l'impact des perturbations causées par des tiers et de rester en conformité avec les exigences réglementaires.

10.3« Les entreprises doivent mettre en œuvre et exiger des prestataires de services dans le cadre d'accords d'externalisation importants qu'ils mettent en œuvre des plans de continuité des activités appropriés afin d'anticiper, de résister, de réagir et de se remettre de perturbations opérationnelles graves mais plausibles. »

10.9« Conformément à la règle fondamentale 7, en cas de perturbation ou d'urgence (y compris chez un prestataire de services externalisé ou tiers), les entreprises doivent s'assurer qu'elles disposent de mesures de communication de crise efficaces. Cela permet d'informer en temps utile et de manière appropriée toutes les parties prenantes internes et externes concernées, y compris la Banque, la PRA, la FCA, d'autres régulateurs internationaux et, le cas échéant, les prestataires de services eux-mêmes. »

La plateforme Prevalent comprend une évaluation complète de la résilience des entreprises basée sur les pratiques de la norme ISO 22301 qui permet aux organisations de :

• Classer les fournisseurs en fonction de leur profil de risque et de leur importance pour l'entreprise.
• Définir les objectifs de point de reprise (RPO) et les objectifs de délai de reprise (RTO)
• Centraliser l'inventaire des systèmes, les évaluations des risques, les diagrammes RACI et les tiers.
• Assurer une communication cohérente avec les fournisseurs en cas d'interruption des activités

Prevalent fournitdes ressources gratuitesque les organisations peuvent utiliser pour élaborer ou perfectionner leurs programmes de continuité des activités tiers.