Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1773_EN.6. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 5 – Évaluation ex ante des risques ⬅️ | ➡️ Article 7 – Conflits d’intérêts
Article 6 - Diligence raisonnable
1.
La politique définit un processus approprié et proportionné de sélection et d’évaluation des prestataires tiers potentiels de services TIC, en tenant compte de leur appartenance ou non au groupe, et exige qu’avant de conclure un accord contractuel, l’entité financière vérifie si le prestataire tiers de services TIC:
a)
dispose d’une réputation, de capacités, d’une expertise, de ressources financières, humaines et techniques et de normes de sécurité de l’information suffisantes, ainsi que d’une structure organisationnelle, d’une gestion des risques et de contrôles internes appropriés et, s’il y a lieu, du ou des agréments ou immatriculations requis pour fournir de manière fiable et professionnelle les services TIC destinés à soutenir la fonction critique ou importante concernée;
b)
est capable de suivre les évolutions technologiques pertinentes et d’identifier et de mettre en œuvre, le cas échéant, les pratiques de pointe en matière de sécurité des TIC, afin d’obtenir un cadre solide et performant de résilience opérationnelle numérique;
c)
recourt ou a l’intention de recourir à des sous-traitants de services TIC pour fournir les services TIC destinés à soutenir des fonctions critiques ou importantes ou des parties importantes de celles-ci;
d)
est situé dans un pays tiers, ou traite ou stocke les données dans un pays tiers et, dans ce cas, si cette pratique augmente le niveau des risques opérationnels ou réputationnels ou le risque d’être affecté par des mesures restrictives, y compris par des embargos et des sanctions, pouvant avoir un impact sur la capacité du prestataire tiers de services TIC à fournir les services TIC visés, ou la capacité de l’entité financière à bénéficier de ces derniers;
e)
consent à la conclusion d’accords contractuels garantissant qu’il est effectivement possible que des audits soient effectués en son sein, y compris sur place, par l’entité financière elle-même, par des tiers désignés à cet effet et par les autorités compétentes;
f)
agit de manière éthique et socialement responsable, respecte les droits de l’homme et les droits de l’enfant, y compris l’interdiction du travail des enfants, et les principes applicables en matière de protection de l’environnement, et garantit des conditions de travail appropriées.
2.
La politique précise le niveau d’assurance requis en ce qui concerne l’efficacité du cadre de gestion des risques liés aux prestataires tiers de services TIC pour les services TIC que fournit un prestataire tiers de tels services à l’appui de fonctions critiques ou importantes. La politique exige que le processus de diligence raisonnable comprenne une vérification de l’existence, chez le prestataire tiers de services TIC, de mesures d’atténuation des risques et de continuité des activités, et de la manière dont leur fonctionnement en son sein est garanti.
3.
La politique définit le processus de diligence raisonnable à appliquer pour sélectionner et évaluer les prestataires tiers potentiels de services TIC et indique quels éléments, parmi les suivants, doivent être utilisés pour le niveau d’assurance requis en ce qui concerne les performances d’un prestataire tiers de services TIC:
a)
audits ou évaluations indépendantes effectués par l’entité financière elle-même ou pour son compte;
b)
utilisation de rapports d’audit indépendants établis à la demande du prestataire tiers de services TIC;
c)
utilisation de rapports d’audit établis par la fonction d’audit interne du prestataire tiers de services TIC;
d)
utilisation de certifications de tiers appropriées;
e)
utilisation d’autres informations pertinentes dont dispose l’entité financière ou d’autres informations fournies par le prestataire tiers de services TIC.
4.
Les entités financières veillent à ce que les performances du prestataire tiers de services TIC soient soumises à un niveau d’assurance approprié, tenant compte des éléments énumérés au paragraphe 3, points a) à e). S’il y a lieu, plusieurs des éléments énumérés sous ces points sont utilisés.