FR-28 Avez-vous développé/approuvé/documenté une politique de sécurité pour protéger la Confidentialité/Intégrité/Disponibilité?
28.Les établissements financiers devraient élaborer et documenter une politique relative à la sécurité de l’information qui devrait définir des règles et principes de haut niveau visant à protéger la confidentialité, l’intégrité et la disponibilité des données et informations des établissements financiers et de leurs clients. Pour les PSP, cette politique est identifiée dans le document relatif à la politique de sécurité devant être adopté conformément à l’article 5, paragraphe 1, point j), de la directive (UE) 2015/2366. La politique relative à la sécurité de l’information devrait correspondre aux objectifs de l’établissement financier en matière de sécurité de l’information et devrait être fondée sur les résultats pertinents du processus d’évaluation des risques. Cette politique devrait être approuvée par l’organe de direction.
FR-29 Est-ce que cette politique inclut une description des rôles et responsabilités en matière de gestion de la sécurité de l'information?
29.Cette politique devrait inclure une description des principaux rôles et responsabilités en matière de gestion de la sécurité de l’information, définir les exigences applicables au personnel et aux prestataires, ainsi qu’aux processus et aux technologies, en matière de sécurité de l’information, en reconnaissant que le personnel et les prestataires, à tous les niveaux, sont responsables d’assurer la sécurité de l’information au sein des établissements financiers. La politique devrait veiller à la confidentialité, l’intégrité et la disponibilité des actifs logiques et physiques ayant une importance critique, des ressources et des données sensibles d’un établissement financier, qu’ils soient au repos, en transit ou en cours d’utilisation. La politique relative à la sécurité de l’information devrait être communiquée à tous les membres du personnel et à tous les prestataires de l’établissement financier.
FR-30.a Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: a) Organisation et gouvernance cfr paragraphes 10/11?
30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants:
a) organisation et gouvernance, conformément aux paragraphes 10 et 11;
FR-30.b Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: b) sécurité logique (section 1.4.2)?
30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants:
b) sécurité logique (section 1.4.2);
FR-30.c Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: c) sécurité physique (section1.4.3)?
30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants:
c) sécurité physique (section 1.4.3);
FR-30.d Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: d) sécurité des opérations de TIC (section 1.4.4)?
30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants:
d) sécurité des opérations de TIC (section 1.4.4);
FR-30.e Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: e) surveillance de la sécurité (section1.4.5)?
30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants:
e) surveillance de la sécurité (section 1.4.5);
FR-30.f Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: f) examens,évaluations,tests de la sécurité de l'IT?(1.4.6)
30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants:
f) examens, évaluations et tests de la sécurité de l’information (section 1.4.6);
FR-30.g Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: g)formation/sensibilisation sur la sécurité de l'information?
30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants:
g) formation et sensibilisation en matière de sécurité de l’information (section 1.4.7).
FR-31.a Recertifiez-vous les droits d'accès des utilisateurs de façon périodique pour vous assurer que vos utilisateurs ne possèdent pas de droits excessifs?
31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques):
(a) Principes du besoin d’en connaître, du moindre privilège et de séparation des fonctions: les établissements financiers devraient gérer les droits d’accès aux actifsinformationnels et à leurs systèmes les soutenant selon le principe du «besoin d’en connaître», y compris pour l’accès à distance. Les utilisateurs devraient recevoir les droits d’accès minimum strictement requis pour exécuter leurs fonctions (principe du «moindre privilège»), c’est-à-dire pour prévenir tout accès non justifié à un large ensemble de données ou toute allocation de droits d’accès combinés pouvant servir à contourner les contrôles (principe de «séparation des fonctions»).
FR-31.b Avez-vous et utilisez-vous des comptes utilisateurs génériques et partagés? Si oui, sont-ils limités?
31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques):
(b) Imputabilité des utilisateurs: les établissements financiers devraient limiter l’utilisation de comptes utilisateurs génériques et partagés, dans la mesure du possible, et veiller à ce que les actions effectuées dans les systèmes de TIC puissent être attribuées aux utilisateurs concernés.
FR-31.c Avez-vous des contrôles solides sur l'accès privilégié aux systèmes en limitant strictement et en surveillant les comptes de droits supérieurs?
31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques):
(c) Droits d’accès privilégiés: les établissements financiers devraient mettre en œuvre des contrôles solides sur l’accès privilégié aux systèmes, en limitant strictement et en surveillant étroitement les comptes assortis de droits supérieurs d’accès aux systèmes (par exemple les comptes administrateur). Afin de garantir une communication sécurisée et de réduire les risques, l’accès administratif à distance à des systèmes de TIC ayant une importance critique devrait être accordé uniquement selon le principe du «besoin d’en connaître» et lorsque des mesures d’authentification forte sont appliquées
FR-31.d Avez-vous un système en place qui monitor les activités des utilisateurs privilégiés? Les activités devraient être enregistrées et surveillées.
31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques):
(d) Enregistrement des activités des utilisateurs: au minimum, toutes les activités des utilisateurs privilégiés devraient être enregistrées et surveillées. Les registres d’accès devraient être sécurisés afin de prévenir toute modification ou suppression non autorisée, et conservés durant une période proportionnée au niveau de criticité des fonctions «métiers», processus de soutien et actifs informationnels identifiés, conformément à la section 1.3.3, sans préjudice des exigences de conservation définies dans le droit de l’UE ou le droit national. Un établissement financier devrait utiliser ces informations pour faciliter l’identification et l’analyse d’activités anormales ayant été détectées dans la prestation de services.
FR-31.e Avez-vous un processus en place pour accorder, supprimer ou modifier en temps utile, les droits d'accès de vos utilisateurs?
31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques):
(e) Gestion des accès: les droits d’accès devraient être accordés, retirés ou modifiés en temps utile, conformément à des circuits d’approbation prédéfinis incluant le propriétaire fonctionnel des informations auxquelles l’utilisateur accède (propriétaire des actifs informationnels). En cas de résiliation du contrat de travail, les droits d’accès devraient être rapidement retirés.
FR-31.f Avez-vous un process en place de recertification des droits d'accès de vos utilisateurs? Ceux-ci doivent être revus périodiquement.
31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques):
(f) Renouvellement des accès: les droits d’accès devraient périodiquement être réexaminés afin de veiller à ce que les utilisateurs ne possèdent pas de privilèges excessifs et à ce que les droits d’accès soient retirés dès lors qu’ils ne sont plus requis.
FR-31.g Appliquez-vous une authentification forte appropriée et efficace? Elles devraient être proportionnées au niveau de criticité des systèmes.
31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques):
(g) Méthodes d’authentification: les établissements financiers devraient appliquer des méthodes d’authentification forte pour assurer, de façon appropriée et efficace, que les politiques et procédures de contrôle d’accès sont respectées. Les méthodes d’authentification devraient être proportionnées au niveau de criticité des systèmes de TIC, des informations ou des processus auxquels l’utilisateur accède. Au minimum, cela devrait inclure des mots de passe complexes ou des méthodes d’authentification forte
(comme l’authentification à deux facteurs), en fonction des risques pertinents.
FR-32 Limitez-vous, au minimum requis, l'accès électronique sur demande aux données et aux systèmes TIC?
32.L’accès électronique sur demande aux données et aux systèmes de TIC devrait se limiter au minimum requis pour fournir le service concerné.
FR-33 Définissez-vous, documentez-vous les mesures de sécurité physique afin de protéger les locaux, centre de données et zones sensibles?
33.Les mesures de sécurité physique des établissements financiers devraient être définies, documentées et mises en œuvre afin de protéger les locaux, les centres de données et les zones sensibles contre tout accès non autorisé et contre les dangers environnementaux.
FR-34 Accordez-vous l'accès physique uniquement aux personnes autorisées en fonction des tâches et responsabilités de la personne concernée?
34.L’accès physique aux systèmes de TIC devrait être accordé uniquement aux personnes autorisées. L’autorisation devrait être accordée en fonction des tâches et responsabilités de la personne concernée, en se limitant à des personnes correctement formées et surveillées.
L’accès physique devrait être régulièrement réexaminé afin de veiller à ce que les droits d’accès qui ne sont plus nécessaires soient rapidement révoqués.
FR-35 Avez-vous des mesures adéquates de protections contre les dangers environnementaux, proportionnellement à l'importance du bâtiment?
35.’accès physique aux systèmes de TIC devrait être accordé uniquement aux personnes autorisées. L’autorisation devrait être accordée en fonction des tâches et responsabilités de la personne concernée, en se limitant à des personnes correctement formées et surveillées.
L’accès physique devrait être régulièrement réexaminé afin de veiller à ce que les droits d’accès qui ne sont plus nécessaires soient rapidement révoqués.
FR-36.a Avez-vous des procédures en place visant à prévenir : a) Identifications des vulnérabilités de vos logiciels (qui devraient être à jour)?
36.Les établissements financiers devraient mettre en œuvre des procédures visant à prévenir les problèmes de sécurité dans les systèmes et les services de TIC, et devraient minimiser leur incidence sur la prestation des services de TIC. Ces procédures devraient inclure les mesures
suivantes:
a) identification des vulnérabilités potentielles, qui devraient être évaluées et résolues en s’assurant que les logiciels et micrologiciels sont à jour, y compris les logiciels fournis par les établissements financiers à leurs utilisateurs internes et externes, en installant les correctifs de sécurité essentiels ou en mettant des contrôles compensatoires en
œuvre.
FR-36.b Avez-vous des procédures en place visant à prévenir : b) Implémentation de configurations de références (Hardenning-benchmark)?
36.Les établissements financiers devraient mettre en œuvre des procédures visant à prévenir les problèmes de sécurité dans les systèmes et les services de TIC, et devraient minimiser leur incidence sur la prestation des services de TIC. Ces procédures devraient inclure les mesures
suivantes:
b) implémentation de configurations de référence sécurisées pour tous les équipementsréseaux;
FR-36.c Avez-vous des procédures en place visant à prévenir : c) Segmentation de votre réseau, prévention de pertes de données?
36.Les établissements financiers devraient mettre en œuvre des procédures visant à prévenir les problèmes de sécurité dans les systèmes et les services de TIC, et devraient minimiser leur incidence sur la prestation des services de TIC. Ces procédures devraient inclure les mesures
suivantes:
c) segmentation réseau, systèmes de prévention des pertes de données et chiffrement du trafic du réseau (conformément à la classification des données);
FR-36.d Avez-vous des procédures en place visant à prévenir : d) protection des terminaux, serveurs, ports de travail, appareil mobiles?
36.Les établissements financiers devraient mettre en œuvre des procédures visant à prévenir les problèmes de sécurité dans les systèmes et les services de TIC, et devraient minimiser leur incidence sur la prestation des services de TIC. Ces procédures devraient inclure les mesures
suivantes:
d) protection des terminaux, y compris des serveurs, des postes de travail et des appareils mobiles – les établissements financiers devraient déterminer si les terminaux sont conformes aux normes de sécurité qu’ils ont définies avant de leur permettre d’accéder au réseau d’entreprise;
FR-36.e Avez-vous des procédures en place visant à prévenir : e) Mécanisme permettant de vérifier l'intégrité des logiciels et micrologiciels et des données?
36.Les établissements financiers devraient mettre en œuvre des procédures visant à prévenir les problèmes de sécurité dans les systèmes et les services de TIC, et devraient minimiser leur incidence sur la prestation des services de TIC. Ces procédures devraient inclure les mesures
suivantes:
e) mise en place de mécanismes permettant de vérifier l’intégrité des logiciels, des micrologiciels et des données;
FR-36.f Avez-vous des procédures en place visant à prévenir : f) Chiffrement des données au repos ou en transit?
36.Les établissements financiers devraient mettre en œuvre des procédures visant à prévenir les problèmes de sécurité dans les systèmes et les services de TIC, et devraient minimiser leur incidence sur la prestation des services de TIC. Ces procédures devraient inclure les mesures
suivantes:
f)chiffrement des données au repos ou en transit (conformément à la classification des données).
FR-37 Déterminez-vous en continu, si des changements dans l'environnement opérationnel influencent les mesures de sécurité existantes?
37. En outre, les établissements financiers devraient déterminer, en continu, si les changements intervenant dans l’environnement opérationnel existant influencent les mesures de sécurité existantes ou nécessitent d’adopter des mesures supplémentaires afin de maîtriser les risquesassociés de façon appropriée. Ces changements devraient faire partie du processus de gestion des changements des établissements financiers, qui devraient veiller à ce que ces changements soient dûment planifiés, testés, documentés, autorisés et déployés.
FR-38.a Avez-vous des politiques et procédures, détectant les activités anormales liées à la sécurité de l'information. A) voir description.
38.Les établissements financiers devraient établir et mettre en œuvre des politiques et procédures permettant, d’une part, de détecter les activités anormales susceptibles d’avoir une incidence sur la sécurité de l’information au sein des établissements financiers et, d’autre part, de
répondre de façon appropriée à ces événements. Dans le cadre de cette surveillance continue, les établissements financiers devraient mettre en œuvre des capacités adaptées et efficaces pour détecter et communiquer les intrusions physiques ou logiques ainsi que les violations de confidentialité, d’intégrité et de disponibilité des actifs informationnels. La surveillance continue et les processus de détection devraient couvrir:
a) les facteurs internes et externes pertinents, y compris les fonctions administratives «métiers» et liées aux TIC;
FR-38.b Avez-vous des politiques et procédures, détectant les activités anormales liées à la sécurité de l'information. B) Abus de droit des tiers?
38.Les établissements financiers devraient établir et mettre en œuvre des politiques et procédures permettant, d’une part, de détecter les activités anormales susceptibles d’avoir une incidence sur la sécurité de l’information au sein des établissements financiers et, d’autre part, de
répondre de façon appropriée à ces événements. Dans le cadre de cette surveillance continue, les établissements financiers devraient mettre en œuvre des capacités adaptées et efficaces pour détecter et communiquer les intrusions physiques ou logiques ainsi que les violations de confidentialité, d’intégrité et de disponibilité des actifs informationnels. La surveillance continue et les processus de détection devraient couvrir:
b) les opérations visant à détecter toute utilisation abusive des droits d’accès par des tiers ou autres entités, ou par des personnes internes à l’établissement;
FR-38.c Avez-vous des politiques et procédures, détectant les activités anormales liées à la sécurité de l'information. C) Menaces internes externes
38.Les établissements financiers devraient établir et mettre en œuvre des politiques et procédures permettant, d’une part, de détecter les activités anormales susceptibles d’avoir une incidence sur la sécurité de l’information au sein des établissements financiers et, d’autre part, de
répondre de façon appropriée à ces événements. Dans le cadre de cette surveillance continue, les établissements financiers devraient mettre en œuvre des capacités adaptées et efficaces pour détecter et communiquer les intrusions physiques ou logiques ainsi que les violations de confidentialité, d’intégrité et de disponibilité des actifs informationnels. La surveillance continue et les processus de détection devraient couvrir:
c) les menaces internes et externes potentielles.
FR-39 Avez-vous des processus identifiants,surveillant les menaces pour la sécurité ayant une incidence sur leurs capacités à fournir des services?
39. Les établissements financiers devraient établir et mettre en œuvre des processus et structures organisationnelles permettant d’identifier et de surveiller en continu les menaces pour la sécurité qui pourraient avoir une incidence importante sur leur capacité à fournir des services.
Les établissements financiers devraient activement surveiller les évolutions technologiques afin de faire en sorte d’être au courant des risques de sécurité. Les établissements financiers devraient mettre en œuvre des mesures de détection, par exemple pour identifier de possibles fuites d’informations, codes malveillants et autres menaces pour la sécurité, ainsi que les vulnérabilités des logiciels et matériels informatiques qui sont connues du public, et devraient s’informer des nouvelles mises à jour de sécurité correspondantes.
FR-40 Avez-vous un processus de surveillance de la sécurité qui vous permet de comprendre la nature des incidents opérationnels ou de sécurité?
40.Le processus de surveillance de la sécurité devrait également permettre à l’établissement financier de comprendre la nature des incidents opérationnels ou de sécurité, d’identifier les tendances et d’appuyer les enquêtes diligentées.
FR-41 Procédez-vous à des tests en matière de sécurité de l'information, des vulnérabilités des TIC? Test d'intrusion et simulations de cyberattaques?
41. Les établissements financiers devraient procéder à divers examens, évaluations et tests en matière de sécurité de l’information, afin d’assurer une identification efficace des vulnérabilités au sein de leurs systèmes et services de TIC. Par exemple, les établissements financiers peuvent mener des analyses des écarts par rapport aux normes de sécurité de l’information, des examens de conformité, des audits internes et externes sur les systèmes d’information ou des examens de la sécurité physique. En outre, l’établissement concerné devrait envisager de bonnes pratiques telles que l’examen des codes sources, l’évaluation des vulnérabilités, des tests d’intrusion et des simulations de cyber-attaques avec équipe adverse (dite «rouge»).
FR-42 Avez-vous un cadre de test de la sécurité de l'information validant la solidité et l'efficacité des mesures de sécurités de l'information?
42. Les établissements financiers devraient établir et mettre en œuvre un cadre de test de la sécurité de l’information validant la solidité et l’efficacité de leurs mesures de sécurité de l’information et veiller à ce que ce cadre tienne compte des menaces et des vulnérabilités identifiées grâce à la surveillance des menaces et au processus d’évaluation des risques liés aux TIC et à la sécurité.
FR-43.a Vos tests sont-ils menés pas des testeurs indépendants qui possèdent des connaissances, compétences et expertises suffisantes?
43. Le cadre de test de la sécurité de l’information devrait garantir que les tests:
a) sont menés par des testeurs indépendants qui possèdent des connaissances, des compétences et une expertise suffisantes en matière de test des mesures de sécurité de l’information et qui ne participent pas à l’élaboration des mesures de sécurité de l’information
FR-43.b Vos tests incluent-ils des analyses de vulnérabilité et des tests d'intrusion?
43. Le cadre de test de la sécurité de l’information devrait garantir que les tests:
b) incluent des analyses de vulnérabilité et des tests d’intrusion (y compris des tests d’intrusion fondés sur les menaces si cela est nécessaire et approprié) proportionnés au niveau de risque identifié pour les processus et systèmes de l’entreprise.
FR-44 Testez-vous les mesures de sécurité de façon continue et récurrente?
44. Les établissements financiers devraient tester les mesures de sécurité de façon continue et récurrente. S’agissant de tous les systèmes de TIC ayant une importance critique (paragraphe 17), ces tests devraient être effectués au moins une fois par an. Pour les PSP, ils font partie de l’évaluation exhaustive des risques de sécurité liés aux services de paiement qu’ils fournissent, conformément à l’article 95, paragraphe 2, de la DSP2. Les systèmes n’ayant pas une importance critique devraient être régulièrement testés selon une méthode fondée sur les risques, et ce au moins tous les trois ans.
FR-45 Testez-vous les mesures de sécurité en cas de modification de l'infrastructure?
45. Les établissements financiers devraient veiller à ce que les mesures de sécurité soient testées en cas de modification de l’infrastructure, des processus ou des procédures et si des changements sont apportés en raison d’incidents opérationnels ou de sécurité majeurs ou de la mise en production d’applications critiques nouvelles ou fortement modifiées exposées à internet.
FR-46 Surveillez-vous, évaluez-vous les résultats des tests de sécurités, mettez-vous à jour les mesures de sécurité en conséquence, sans retard injustifié?
46. Les établissements financiers devraient surveiller et évaluer les résultats des tests de sécurité et mettre à jour leurs mesures de sécurité en conséquence, sans retard injustifié dans le cas des systèmes de TIC ayant une importance critique.
FR-47 Pour les PSP: Vos tests englobent-ils les systèmes de paiement et dispositifs utilisés aux fins de la prestation des services de paiement?
47. Pour les PSP, ce cadre de test devrait également englober les mesures de sécurité pertinentes pour (1) les terminaux de paiement et dispositifs utilisés aux fins de la prestation des services de paiement, (2) les terminaux de paiement et dispositifs utilisés aux fins de l’authentification des utilisateurs de services de paiement (USP) et (3) les dispositifs et logiciels fournis par le PSP à l’USP pour générer/recevoir un code d’authentification
FR-48 Sur la base des menaces identifiées pour la sécurité et des changements apportés, réalisez-vous des tests qui incluent des scénarios d'attaques?
48. Sur la base des menaces identifiées pour la sécurité et des changements apportés, des tests qui incluent des scénarios d’attaques potentielles pertinentes et connues devraient être réalisés.
FR-49 Avez-vous un programme de formation, incluant des programmes périodiques de sensibilisations à la sécurité?
49. Les établissements financiers devraient établir un programme de formation, incluant des programmes périodiques de sensibilisation à la sécurité, à l’attention de tous leurs employés et prestataires, afin de veiller à ce qu’ils soient formés, d’une part, à l’exécution de leurs tâches et responsabilités conformément aux politiques et procédures de sécurité pertinentes afin de réduire l’erreur humaine, le vol, la fraude, les abus ou les pertes et, d’autre part, aux moyens de résolution des risques liés à la sécurité de l’information. Les établissements financiers devraient veiller à ce que tous les membres du personnel et tous les prestataires reçoivent ce programme de formation au moins une fois par an.
FR-50 Gérez-vous les opérations liées aux TIC en fonction de processus et procédures documentés et mis en œuvre et approuvé par la direction?
50. Les établissements financiers devraient gérer leurs opérations liées aux TIC en fonction de processus et procédures documentés et mis en œuvre [qui, pour les PSP, incluent le document relatif à la politique de sécurité visé à l’article 5, paragraphe 1, point j), de la DSP2] qui ont été approuvés par l’organe de direction. Ensemble, ces documents devraient définir la façon dont les établissements financiers exploitent, surveillent et contrôlent leurs services et systèmes de TIC, y compris la documentation des opérations de TIC revêtant une importance critique, et devraient permettre aux établissements financiers de tenir à jour un inventaire des actifs informatiques.
FR-51 Veillez-vous à ce que la performance de vos opérations de TIC soit alignée sur les exigences "métiers"? Améliorez-vous ces mesures?
51. Les établissements financiers devraient veiller à ce que la performance de leurs opérations de TIC soit alignée sur leurs exigences «métiers». Les établissements financiers devraient maintenir et améliorer, dans la mesure du possible, l’efficacité de leurs opérations de TIC. Ils devraient notamment, mais sans s’y limiter, envisager des façons de minimiser les potentielles erreurs découlant de l’exécution de tâches manuelles.
FR-52 Avez-vous des procédures d'enregistrement et de surveillance des opérations TIC afin de détecter, analyser et corriger les erreurs?
52. Les établissements financiers devraient mettre en œuvre des procédures d’enregistrement et de surveillance des opérations de TIC ayant une importance critique afin de détecter, analyser et corriger les erreurs.
FR-53 Maintenez-vous un inventaire des actifs informatiques? Cet inventaire devrait contenir la configuration et les liens et interdépendances entre eux?
53. Les établissements financiers devraient tenir à jour l’inventaire de leurs actifs informatiques (y compris les systèmes de TIC, les équipements réseau, les bases de données, etc.). L’inventaire des actifs informatiques devrait contenir la configuration des actifs informatiques, ainsi que les liens et interdépendances entre eux, afin d’établir un processus de configuration et de gestion du changement approprié.
FR-54 Votre inventaire est-il assez détaillé pour permettre d'identifier rapidement un actif informatique, son emplacement, son propriétaire?
54. L’inventaire des actifs informatiques devrait être suffisamment détaillé pour permettre d’identifier rapidement un actif informatique, son emplacement, sa classification de sécurité et son propriétaire. Les interdépendances entre les actifs devraient être documentées afin de faciliter la mise en œuvre de la réponse à apporter aux incidents opérationnels et de sécurité, y compris aux cyberattaques.
FR-55 Surveillez-vous et gérez-vous le cycle de vie des actifs informatiques?
55.Les établissements financiers devraient surveiller et gérer le cycle de vie des actifs informatiques, afin de s’assurer qu’ils répondent toujours aux exigences «métiers» et aux besoins en matière de gestion des risques et apportent toujours le soutien nécessaire en la matière. Les établissements financiers devraient surveiller leurs actifs informatiques afin de vérifier s’ils sont pris en charge par leurs fournisseurs et développeurs externes ou internes et si tous les correctifs et mises à jour pertinents sont appliqués conformément aux processus documentés. Les risques découlant de actifs informatiques obsolètes ou non pris en charge devraient être évalués et maîtrisés.
FR-56 Planifiez-vous, surveillez-vous les performances et capacités permettant de prévenir, détecter et résoudre tout problème de performance lié aux TIC?
56. Les établissements financiers devraient mettre en œuvre des processus de planification et de surveillance des performances et des capacités permettant de prévenir, détecter et résoudre tout problème de performance important dans les systèmes de TIC, ainsi que toute pénurie de capacité, dans un délai convenable.
FR-57 Définissez-vous et mettez-vous en œuvre des processus de sauvegarde et de restauration des données et des systèmes TIC.
57. Les établissements financiers devraient définir et mettre en œuvre des procédures de sauvegarde et de restauration des données et des systèmes de TIC visant à assurer qu’ils peuvent être récupérés en cas de besoins. Le périmètre et la fréquence des sauvegardes devraient être définis conformément aux exigences de reprise des activités et au niveau de criticité des données et systèmes de TIC, et analysés en fonction de l’évaluation des risques effectuée. Les procédures de sauvegarde et de restauration devraient être testées à intervalles réguliers.
FR-58 Est-ce que vos sauvegardes de données et de systèmes TIC sont bien stockées de façon sécurisée à un endroit suffisamment éloigné du site?
58. Les établissements financiers devraient veiller à ce que les sauvegardes des données et systèmes de TIC soient stockées de façon sécurisée à un endroit suffisamment éloigné du site principal pour ne pas être exposées aux mêmes risques.