20-750 - Rsecure

Étape 1 sur 9 - Information

Nom de l'entreprise*

Nom*

Prénom Nom

Email*

Etes-vous client Rcube ? (Ces questions sont utilisées pour que vous ne remplissiez pas les question relatives à Rcube)*

Avez vous un contrat Back-up ?

Avez vous un contrat B.C.P. ?

Etes-vous prestataires de services de paiement (PSP)?

FR-1 Est-ce que l'entreprise se conforme aux dispositions énoncées dans cette circulaire de manière proportionnée?

Tous les établissements financiers devraient respecter les dispositions stipulées dans les présentes orientations d’une façon qui, d’une part, soit proportionnée à la taille et à l’organisation interne des établissements financiers, à la nature, la portée et la complexité des produits et services que ces établissements fournissent ou comptent fournir et au risque qu’ils présentent, et qui, d’autre part, tienne compte de ces facteurs.

Maturité*

Commentaire

FR-2 Avez-vous défini des rôles et responsabilités clairs pour les fonctions TIC (Technologie de l'Information et de la Communication) ?

2. L’organe de direction devrait veiller à ce que les établissements financiers disposent d’un cadre de gouvernance interne et de contrôle interne adéquat compte tenu de leurs risques liés aux TIC et à la sécurité. L’organe de direction devrait définir des rôles et responsabilités clairs pour les fonctions de TIC, la gestion des risques liés à la sécurité de l’information et la continuité des activités, y compris ceux de l’organe de direction et de ses comités.

Maturité*

Commentaire

Nom du document

Date de la dernière validation du document

FR-3 La direction s'assure-t-elle que vous disposiez d'un personnel suffisant et qualifié pour répondre à vos besoins opérationnels ?

3. L’organe de direction devrait veiller à ce que les établissements financiers disposent d’un nombre d’employés suffisant, aux compétences adéquates, pour répondre à leurs besoins opérationnels en termes de TIC et soutenir leurs processus de gestion des risques liés aux TIC et à la sécurité, en continu, ainsi que pour assurer la mise en œuvre de leur stratégie en matière de TIC. L’organe de direction devrait veiller à ce que le budget alloué soit suffisant pour répondre aux besoins susmentionnés. En outre, les établissements financiers devraient veiller à ce que tous les membres du personnel, y compris les titulaires de postes clés, reçoivent une formation appropriée consacrée aux risques liés aux TIC et à la sécurité, portant notamment sur la sécurité de l’information, une fois par an ou plus fréquemment si nécessaire (voir également la section 1.4.7)

Maturité*

Commentaire

Nom du document

Date de la dernière validation du document

FR-4 Est-ce que la direction est en charge de définir et d'approuver la mise en œuvre de vos stratégies TIC?

4. L’organe de direction a la responsabilité globale de la définition, de l’approbation et de la supervision de la mise en œuvre de la stratégie des établissements financiers en matière de TIC, dans le cadre de leur stratégie générale, ainsi que de la mise en œuvre d’un cadre de gestion des risques efficace pour les risques liés aux TIC et à la sécurité.

Maturité*

Commentaire

Nom du document

Date de la dernière validation du document

FR-5.a La stratégie TIC est-elle alignée sur la stratégie générale des FI ? Comment les TIC évoluent-ils pour soutenir efficacement cette stratégie?

5.La stratégie en matière de TIC devrait être alignée sur la stratégie générale des établissements financiers, et devrait définir: a) la façon dont les TIC des établissements financiers devraient évoluer pour soutenir la stratégie et y participer, s’agissant notamment de l’évolution de la structure organisationnelle, des changements apportés au système de TIC et es principales dépendances à l’égard de tiers;

FR-5.b La stratégie TIC est-elle alignée sur la stratégie générale des FI ? Comment l'architecture ICT devrait évoluer?

5.La stratégie en matière de TIC devrait être alignée sur la stratégie générale des établissements financiers, et devrait définir: b) la stratégie et l’évolution de l’architecture des TIC qu’il est prévu de mettre en œuvre, y compris pour les dépendances à l’égard de tiers;

FR-5.c La stratégie TIC est-elle alignée sur la stratégie générale des FI ? Avez-vous des objectifs clairs en matière de sécurité de l'information?

5.La stratégie en matière de TIC devrait être alignée sur la stratégie générale des établissements financiers, et devrait définir: c) des objectifs clairs en matière de sécurité de l’information, donnant la priorité aux systèmes de TIC ainsi qu’aux services, au personnel et processus des TIC

FR-6 Votre institution a t-elle défini un plan d'action prévoyant les mesures à prendre pour réaliser les objectifs en matière de TIC?

6. Les établissements financiers devraient définir des plans d’action prévoyant les mesures à prendre pour réaliser les objectifs de la stratégie en matière de TIC. Ces plans devraient être communiqués à tous les membres du personnel concernés (y compris aux contractants et aux fournisseurs tiers, le cas échéant et si cela est pertinent). Les plans d’action devraient être réexaminés périodiquement afin de veiller à ce qu’ils restent pertinents et ppropriés. Les établissements financiers devraient également mettre en œuvre des processus permettant de surveiller et de mesurer l’efficacité de la mise en œuvre de leur stratégie en matière de TIC.

FR-7 Sans préjudice à l'EBA sur l'externalisation de l'article 19 de la DSP2, la FI doit garantir l'efficacité des mesures de risque telles que définies.

7.Sans préjudice des orientations de l’ABE sur les accords d’externalisation (EBA/GL/2019/02) et de l’article 19 de la DSP2, les établissements financiers devraient assurer l’efficacité des mesures de maîtrise des risques définies dans leur cadre de gestion des risques, y compris des mesures définies dans les présentes orientations, lorsque les fonctions opérationnelles des services de paiement et/ou les services et systèmes de TIC de toute activité sont externalisés, y compris vers des entités du même groupe, ou lors du recours à des tiers.

FR-8.a Objectifs & mesures appropriés & proportionnés liés à la sécurité de l'information, y compris des exigences minimales en matière de cybersécurité.

8. Afin d’assurer la continuité des services et systèmes de TIC, les établissements financiers devraient veiller à ce que les contrats et les accords de niveau de service (dans des conditions normales ou en cas de perturbation des services – voir également la section 1.7.2) conclus avec des fournisseurs (prestataires de services d’externalisation, entités du groupe ou fournisseurs tiers) incluent les éléments suivants: a) objectifs et mesures appropriés et proportionnés en matière de sécurité de l’information, y compris des exigences telles qu’un niveau de cybersécurité minimal; spécifications relatives au cycle de vie des données de l’établissement financier concerné; exigences relatives aux processus de chiffrement des données, à la sécurité des réseaux et aux processus de surveillance de la sécurité, ainsi qu’à l’emplacement des centres de données;

FR-8.b Avez-vous une procédure de gestion des incidents opérationnels et de sécurité, y compris l'escalade et le signalement?

FR-9 Surveillez-vous le niveau de conformité de vos fournisseurs aux objectifs, mesures et niveaux de performance de sécurité ?

9.Les établissements financiers devraient surveiller le niveau de conformité de ces fournisseurs avec les objectifs, les mesures et les niveaux de performance définis par ’établissement financier concerné en matière de sécurité, et s’assurer de ce niveau de conformité.

FR-10 L'EF doit identifier et gérer ses risques liés aux TIC et à la sécurité. Est-ce que vous disposez du processus et des contrôles pour cette gestion?

10. Les établissements financiers devraient identifier et gérer leurs risques liés aux TIC et à la sécurité. La ou les fonction(s) de TIC chargée(s) des systèmes de TIC, des processus et des opérations liées à la sécurité devraient disposer des processus et des contrôles appropriés pour veiller, d’une part, à ce que tous les risques soient identifiés, analysés, mesurés, surveillés, gérés, communiqués et maintenus dans les limites de l’appétit pour le risque de l’établissement financier concerné et, d’autre part, à ce que les projets et systèmes qu’elle(s) fournit/fournissent et les activités qu’elle(s) exécute(nt) respectent les exigences externes et internes.

FR-11 Confiez-vous la responsabilité de la gestion des risques liés aux TIC et à la sécurité à une fonction de surveillance? (Section 19 EBA GL/2017/11)?

11. Les établissements financiers devraient attribuer la responsabilité de la gestion et de la supervision des risques liés aux TIC et à la sécurité à une fonction de contrôle respectant les exigences de la section 19 des orientations de l’ABE sur la gouvernance interne (EBA/GL/2017/11). Les établissements financiers devraient assurer l’indépendance et l’objectivité de cette fonction de contrôle en la séparant de manière appropriée des processus liés aux opérations de TIC. Cette fonction de contrôle devrait rendre compte directement à l’organe de direction, et devrait être chargée de surveiller et de contrôler le respect du cadre de gestion des risques liés aux TIC et à la sécurité. Elle devrait veiller à ce que les risques liés aux TIC et à la sécurité soient identifiés, mesurés, évalués, gérés, surveillés et communiqués. Les établissements financiers devraient veiller à ce que cette fonction de contrôle ne soit responsable d’aucun audit interne. La fonction d’audit interne devrait, selon une approche fondée sur les risques, pouvoir examiner de façon indépendante toutes les activités et unités d’un établissement financier liées aux TIC et à la sécurité, et garantir en toute objectivité qu’elles espectent les politiques et procédures de cet établissement, ainsi que les exigences externes, en respectant les exigences de la section 22 des orientations de l’ABE sur la gouvernance interne (EBA/GL/2017/11).

FR-12 Définissez-vous et attribuez-vous des rôles et des responsabilités clés pour garantir l'efficacité du cadre des risques liés aux TIC et à la sécurité?

12. Les établissements financiers devraient définir et attribuer les principaux rôles et responsabilités, ainsi que les lignes hiérarchiques pertinentes, pour assurer l’efficacité du cadre de gestion des risques liés aux TIC et à la sécurité. Ce cadre devrait être entièrement intégré aux processus de gestion des risques généraux des établissements financiers, et aligné sur ces processus.

FR-13.a Déterminez-vous l’appétit pour les risques liés aux TIC et à la sécurité, conformément à l’appétit pour le risque de l’établissement financier?

13. Le cadre de gestion des risques liés aux TIC et à la sécurité devrait inclure des processus visant à: a) déterminer l’appétit pour les risques liés aux TIC et à la sécurité, conformément à l’appétit pour le risque de l’établissement financier;

FR-13.b Identifiez-vous et évaluez-vous les risques liés aux TIC et à la sécurité auxquels un établissement financier est exposé?

13. Le cadre de gestion des risques liés aux TIC et à la sécurité devrait inclure des processus visant à: b) identifier et évaluer les risques liés aux TIC et à la sécurité auxquels un établissement financier est exposé;

FR-13.c Définissez-vous des mesures de maîtrise, y compris des contrôles, permettant de maîtriser les risques liés aux TIC et à la sécurité?

13. Le cadre de gestion des risques liés aux TIC et à la sécurité devrait inclure des processus visant à: c) définir des mesures de maîtrise, y compris des contrôles, permettant de maîtriser les risques liés aux TIC et à la sécurité;

FR-13.d Surveillez-vous l’efficacité de ces mesures et le nombre d’incidents communiqués, y compris, s’agissant des PSP, des incidents notifiés?

13. Le cadre de gestion des risques liés aux TIC et à la sécurité devrait inclure des processus visant à: d) surveiller l’efficacité de ces mesures et le nombre d’incidents communiqués, y compris, s’agissant des PSP, des incidents notifiés conformément à l’article 96 de la DSP2 concernant les activités liées aux TIC, et prendre les dispositions nécessaires pour corriger ces mesures si besoin;

FR-13.e Communiquez-vous les risques liés au TIC et à la sécurité et les contrôles afférents à l'organe de direction?

1.1 Proportionnalité 1.3 Cadre de gestion des risques liés aux TIC et à la sécurité 1.3.1 Organisation et objetifs 13. Le cadre de gestion des risques liés aux TIC et à la sécurité devrait inclure des processus visant à: e) communiquer les risques liés aux TIC et à la sécurité et les contrôles afférents à l’organe de direction;

FR-13.f Identifiez-vous et évaluez-vous les éventuels risques liés aux TIC et à la sécurité découlant de toute modification majeure du système de TIC?

13. Le cadre de gestion des risques liés aux TIC et à la sécurité devrait inclure des processus visant à: f) identifier et évaluer les éventuels risques liés aux TIC et à la sécurité découlant de toute modification majeure du système de TIC ou des services, processus et procédures relatifs aux TIC et/ou survenus après tout incident important lié aux opérations ou à la sécurité.

FR-14 Veillez-vous à ce que le cadre de gestion des risques liés aux TIC et à la sécurité soit documenté et approuvé au moins une fois par an?

14. Les établissements financiers devraient veiller à ce que le cadre de gestion des risques liés aux TIC et à la sécurité soit documenté et amélioré en continu en fonction des enseignements tirés de sa mise en œuvre et de sa surveillance. Le cadre de gestion des risques liés aux TIC et à la sécurité devrait être approuvé et réexaminé, au moins une fois par an, par l’organe de direction.

FR-15 Est-ce que vous avez identifié, maintenu, établi une cartographie de son processus de support de fonction commerciale?

15. Les établissements financiers devraient identifier, établir, tenir à jour une cartographie de leurs fonctions et métiers, et de leurs processus «supports», afin de déterminer l’importance de chacun d’entre eux et leur interdépendance avec les risques liés aux TIC et à la sécurité.

FR-16 Est-ce que vous avez identifié, maintenu, établi une cartographie de vos actifs d'information (TIC, Personnels, Sous-traitants)?

16. Les établissements financiers devraient également identifier, établir, tenir à jour une cartographie des actifs informationnels soutenant leurs fonctions «métiers» et les processus «supports» afférents, comme les systèmes de TIC, le personnel, les prestataires, les tiers et les dépendances à l’égard d’autres systèmes et processus internes ou externes, afin de pouvoir, au minimum, gérer les actifs informationnels soutenant leurs fonctions et processus «métiers» revêtant une importance critique.

FR-17 Avez-vous classifié vos fonctions "métiers", processus "supports" et actifs informationnels mentionnés en 15 et 16 en fonction de leur criticité?

17.Les établissements financiers devraient classifier les fonctions «métiers», processus «supports» et actifs informationnels identifiés, mentionnés aux paragraphes 15 et 16, en fonction de leur niveau de criticité.

FR-18 Tenez-vous compte au minimum des exigences de Confidentialité, Disponibilité, Intégrité (CIA)?

18. Pour définir le niveau de criticité de ces fonctions «métiers», processus «supports» et actifs informationnels identifiés, les tablissements financiers devraient tenir compte, au minimum, des exigences de confidentialité, d’intégrité et de disponibilité. Les actifs informationnels devraient faire l’objet d’obligations de rendre compte et de responsabilités clairement attribuées.

FR-19 Avez-vous revu l'adéquation de la classification des actifs informationnels et de la documentation pertinente, lors de l'évaluation des risques?

19. Les établissements financiers devraient examiner l’adéquation du classification des actifs informationnels et des documents pertinents lors de toute évaluation des risques.

FR-20 Avez-vous identifié les risques liés aux TIC et à la sécurité ayant une incidence sur les fonctions "métiers", processus de "support"?

20. Les établissements financiers devraient identifier les risques liés aux TIC et à la sécurité ayant une incidence sur les fonctions «métiers», les processus «supports» et les actifs informationnels identifiés et classifiés, en fonction de leur niveau de criticité. L’évaluation des risques devrait être effectuée et documentée une fois par an, ou plus souvent si cela est nécessaire. Les risques devraient galement être évalués lors de toute modification majeure de l’infrastructure, des processus ou des procédures ayant une incidence sur les fonctions «métiers», les processus «supports» ou les actifs informationnels, après quoi l’évaluation des risques applicable aux établissements financiers devrait être mise à jour.

FR-21 Surveillez-vous en permanence les menaces et les vulnérabilités pertinentes pour vos processus métier?

21. Les établissements financiers devraient veiller à surveiller en continu les menaces et vulnérabilités relatives à leurs processus métiers», fonctions «supports» et actifs informationnels, et devraient régulièrement réexaminer les scénarios de risque ayant une incidence en la matière.

FR-22 Déterminez-vous les mesures nécessaires pour atténuer les risques identifiés en matière de TIC et de sécurité à des niveaux acceptables?

22.Suite à l’évaluation des risques, les établissements financiers devraient déterminer les mesures à prendre pour ramener les risques liés aux TIC et à la sécurité à des niveaux acceptables et déterminer s’il est nécessaire de modifier les processus «métiers», mesures de contrôle, systèmes de TIC et services de TIC existants. Un établissement financier devrait évaluer le temps requis pour mettre ces modifications en œuvre et pour prendre les mesures compensatoires appropriées pour maîtriser les risques liés aux TIC et à la sécurité, afin de rester dans les limites de l’appétit pour les risques liés aux TIC et à la sécurité de l’établissement financier concerné.

FR-23 Avez-vous défini et mis en œuvre des mesures pour atténuer les risques identifiés en matière de TIC et de sécurité afin de protéger les actifs?

23. Les établissements financiers devraient définir et mettre en œuvre des mesures permettant de maîtriser les risques liés aux TIC et à la sécurité qui ont été identifiés et de protéger les actifs informationnels en fonction de leur classification.

FR-24 Communiquez-vous les résultats de l'évaluation des risques à l'organe de direction de manière claire et opportune dans une évaluation des risques?

24. Les établissements financiers devraient communiquer les résultats de l’évaluation des risques à l’organe de direction, clairement et en temps utile. Ce rapport est sans préjudice de l’obligation des PSP de fournir aux autorités compétentes une évaluation des risques à jour et exhaustive, comme stipulé à l’article 95, paragraphe 2, de la directive (UE) 2015/2366.

FR-25 Organisez-vous un audit TIC et sa sécurité pour des systèmes et processus, et ce par des auditeurs ayant des connaissances suffisantes?

25.La gouvernance, les systèmes et les processus d’un établissement financier dans le cadre de ses risques liés aux TIC et à la sécurité devraient être audités, de façon périodique, par des auditeurs ayant des connaissances, des compétences et une expertise suffisantes concernant ces risques et les paiements (pour les PSP), afin de fournir à l’organe de direction, en toute indépendance, l’assurance qu’ils sont efficaces. Les auditeurs devraient exercer leurs activités de façon indépendante au sein de l’établissement financier ou être indépendants de l’établissement financier. La fréquence et les priorités de ces audits devraient être proportionnées aux risques liés aux TIC et à la sécurité.

FR-26 Avez-vous fait approuver le plan d'audit, y compris tous les audits TIC et toutes modifications importantes qui y sont apportées?

26. L’organe de direction d’un établissement financier devrait approuver le plan d’audit, y compris tout audit des TIC et toute modification majeure y afférente. Le plan d’audit et sa mise en œuvre, y compris la fréquence des audits, devraient refléter les risques liés aux TIC et à la sécurité inhérents à l’établissement financier, être proportionnés à ces risques et être mis à jour régulièrement.

FR-27 Avez-vous mis en place un processus formel comprenant des dispositions pour la vérification et la correction des constatations de l'audit?

27. Un processus de suivi formel, comprenant des dispositions pour la vérification et la résolution, en temps utile, des conclusions déterminantes de l’audit des TIC, devrait être établi

FR-28 Avez-vous développé/approuvé/documenté une politique de sécurité pour protéger la Confidentialité/Intégrité/Disponibilité?

28.Les établissements financiers devraient élaborer et documenter une politique relative à la sécurité de l’information qui devrait définir des règles et principes de haut niveau visant à protéger la confidentialité, l’intégrité et la disponibilité des données et informations des établissements financiers et de leurs clients. Pour les PSP, cette politique est identifiée dans le document relatif à la politique de sécurité devant être adopté conformément à l’article 5, paragraphe 1, point j), de la directive (UE) 2015/2366. La politique relative à la sécurité de l’information devrait correspondre aux objectifs de l’établissement financier en matière de sécurité de l’information et devrait être fondée sur les résultats pertinents du processus d’évaluation des risques. Cette politique devrait être approuvée par l’organe de direction.

FR-29 Est-ce que cette politique inclut une description des rôles et responsabilités en matière de gestion de la sécurité de l'information?

29.Cette politique devrait inclure une description des principaux rôles et responsabilités en matière de gestion de la sécurité de l’information, définir les exigences applicables au personnel et aux prestataires, ainsi qu’aux processus et aux technologies, en matière de sécurité de l’information, en reconnaissant que le personnel et les prestataires, à tous les niveaux, sont responsables d’assurer la sécurité de l’information au sein des établissements financiers. La politique devrait veiller à la confidentialité, l’intégrité et la disponibilité des actifs logiques et physiques ayant une importance critique, des ressources et des données sensibles d’un établissement financier, qu’ils soient au repos, en transit ou en cours d’utilisation. La politique relative à la sécurité de l’information devrait être communiquée à tous les membres du personnel et à tous les prestataires de l’établissement financier.

FR-30.a Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: a) Organisation et gouvernance cfr paragraphes 10/11?

30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants: a) organisation et gouvernance, conformément aux paragraphes 10 et 11;

FR-30.b Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: b) sécurité logique (section 1.4.2)?

FR-30.c Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: c) sécurité physique (section1.4.3)?

FR-30.d Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: d) sécurité des opérations de TIC (section 1.4.4)?

30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants: d) sécurité des opérations de TIC (section 1.4.4);

FR-30.e Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: e) surveillance de la sécurité (section1.4.5)?

FR-30.f Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: f) examens,évaluations,tests de la sécurité de l'IT?(1.4.6)

30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants: f) examens, évaluations et tests de la sécurité de l’information (section 1.4.6);

FR-30.g Avez-vous établi et mis en oeuvre des mesures visant à maitriser les risques incluants: g)formation/sensibilisation sur la sécurité de l'information?

30.En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants: g) formation et sensibilisation en matière de sécurité de l’information (section 1.4.7).

FR-31.a Recertifiez-vous les droits d'accès des utilisateurs de façon périodique pour vous assurer que vos utilisateurs ne possèdent pas de droits excessifs?

31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques): (a) Principes du besoin d’en connaître, du moindre privilège et de séparation des fonctions: les établissements financiers devraient gérer les droits d’accès aux actifsinformationnels et à leurs systèmes les soutenant selon le principe du «besoin d’en connaître», y compris pour l’accès à distance. Les utilisateurs devraient recevoir les droits d’accès minimum strictement requis pour exécuter leurs fonctions (principe du «moindre privilège»), c’est-à-dire pour prévenir tout accès non justifié à un large ensemble de données ou toute allocation de droits d’accès combinés pouvant servir à contourner les contrôles (principe de «séparation des fonctions»).

FR-31.b Avez-vous et utilisez-vous des comptes utilisateurs génériques et partagés? Si oui, sont-ils limités?

FR-31.c Avez-vous des contrôles solides sur l'accès privilégié aux systèmes en limitant strictement et en surveillant les comptes de droits supérieurs?

31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques): (c) Droits d’accès privilégiés: les établissements financiers devraient mettre en œuvre des contrôles solides sur l’accès privilégié aux systèmes, en limitant strictement et en surveillant étroitement les comptes assortis de droits supérieurs d’accès aux systèmes (par exemple les comptes administrateur). Afin de garantir une communication sécurisée et de réduire les risques, l’accès administratif à distance à des systèmes de TIC ayant une importance critique devrait être accordé uniquement selon le principe du «besoin d’en connaître» et lorsque des mesures d’authentification forte sont appliquées

FR-31.d Avez-vous un système en place qui monitor les activités des utilisateurs privilégiés? Les activités devraient être enregistrées et surveillées.

31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques): (d) Enregistrement des activités des utilisateurs: au minimum, toutes les activités des utilisateurs privilégiés devraient être enregistrées et surveillées. Les registres d’accès devraient être sécurisés afin de prévenir toute modification ou suppression non autorisée, et conservés durant une période proportionnée au niveau de criticité des fonctions «métiers», processus de soutien et actifs informationnels identifiés, conformément à la section 1.3.3, sans préjudice des exigences de conservation définies dans le droit de l’UE ou le droit national. Un établissement financier devrait utiliser ces informations pour faciliter l’identification et l’analyse d’activités anormales ayant été détectées dans la prestation de services.

FR-31.e Avez-vous un processus en place pour accorder, supprimer ou modifier en temps utile, les droits d'accès de vos utilisateurs?

31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques): (e) Gestion des accès: les droits d’accès devraient être accordés, retirés ou modifiés en temps utile, conformément à des circuits d’approbation prédéfinis incluant le propriétaire fonctionnel des informations auxquelles l’utilisateur accède (propriétaire des actifs informationnels). En cas de résiliation du contrat de travail, les droits d’accès devraient être rapidement retirés.

FR-31.f Avez-vous un process en place de recertification des droits d'accès de vos utilisateurs? Ceux-ci doivent être revus périodiquement.

FR-31.g Appliquez-vous une authentification forte appropriée et efficace? Elles devraient être proportionnées au niveau de criticité des systèmes.

31.Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme «utilisateur» inclut les utilisateurs techniques): (g) Méthodes d’authentification: les établissements financiers devraient appliquer des méthodes d’authentification forte pour assurer, de façon appropriée et efficace, que les politiques et procédures de contrôle d’accès sont respectées. Les méthodes d’authentification devraient être proportionnées au niveau de criticité des systèmes de TIC, des informations ou des processus auxquels l’utilisateur accède. Au minimum, cela devrait inclure des mots de passe complexes ou des méthodes d’authentification forte (comme l’authentification à deux facteurs), en fonction des risques pertinents.

FR-32 Limitez-vous, au minimum requis, l'accès électronique sur demande aux données et aux systèmes TIC?

32.L’accès électronique sur demande aux données et aux systèmes de TIC devrait se limiter au minimum requis pour fournir le service concerné.

FR-33 Définissez-vous, documentez-vous les mesures de sécurité physique afin de protéger les locaux, centre de données et zones sensibles?

33.Les mesures de sécurité physique des établissements financiers devraient être définies, documentées et mises en œuvre afin de protéger les locaux, les centres de données et les zones sensibles contre tout accès non autorisé et contre les dangers environnementaux.

FR-34 Accordez-vous l'accès physique uniquement aux personnes autorisées en fonction des tâches et responsabilités de la personne concernée?

34.L’accès physique aux systèmes de TIC devrait être accordé uniquement aux personnes autorisées. L’autorisation devrait être accordée en fonction des tâches et responsabilités de la personne concernée, en se limitant à des personnes correctement formées et surveillées. L’accès physique devrait être régulièrement réexaminé afin de veiller à ce que les droits d’accès qui ne sont plus nécessaires soient rapidement révoqués.

FR-35 Avez-vous des mesures adéquates de protections contre les dangers environnementaux, proportionnellement à l'importance du bâtiment?

35.’accès physique aux systèmes de TIC devrait être accordé uniquement aux personnes autorisées. L’autorisation devrait être accordée en fonction des tâches et responsabilités de la personne concernée, en se limitant à des personnes correctement formées et surveillées. L’accès physique devrait être régulièrement réexaminé afin de veiller à ce que les droits d’accès qui ne sont plus nécessaires soient rapidement révoqués.

FR-36.a Avez-vous des procédures en place visant à prévenir : a) Identifications des vulnérabilités de vos logiciels (qui devraient être à jour)?

36.Les établissements financiers devraient mettre en œuvre des procédures visant à prévenir les problèmes de sécurité dans les systèmes et les services de TIC, et devraient minimiser leur incidence sur la prestation des services de TIC. Ces procédures devraient inclure les mesures suivantes: a) identification des vulnérabilités potentielles, qui devraient être évaluées et résolues en s’assurant que les logiciels et micrologiciels sont à jour, y compris les logiciels fournis par les établissements financiers à leurs utilisateurs internes et externes, en installant les correctifs de sécurité essentiels ou en mettant des contrôles compensatoires en œuvre.

FR-36.b Avez-vous des procédures en place visant à prévenir : b) Implémentation de configurations de références (Hardenning-benchmark)?

FR-36.c Avez-vous des procédures en place visant à prévenir : c) Segmentation de votre réseau, prévention de pertes de données?

FR-36.d Avez-vous des procédures en place visant à prévenir : d) protection des terminaux, serveurs, ports de travail, appareil mobiles?

36.Les établissements financiers devraient mettre en œuvre des procédures visant à prévenir les problèmes de sécurité dans les systèmes et les services de TIC, et devraient minimiser leur incidence sur la prestation des services de TIC. Ces procédures devraient inclure les mesures suivantes: d) protection des terminaux, y compris des serveurs, des postes de travail et des appareils mobiles – les établissements financiers devraient déterminer si les terminaux sont conformes aux normes de sécurité qu’ils ont définies avant de leur permettre d’accéder au réseau d’entreprise;

FR-36.e Avez-vous des procédures en place visant à prévenir : e) Mécanisme permettant de vérifier l'intégrité des logiciels et micrologiciels et des données?

FR-36.f Avez-vous des procédures en place visant à prévenir : f) Chiffrement des données au repos ou en transit?

FR-37 Déterminez-vous en continu, si des changements dans l'environnement opérationnel influencent les mesures de sécurité existantes?

37. En outre, les établissements financiers devraient déterminer, en continu, si les changements intervenant dans l’environnement opérationnel existant influencent les mesures de sécurité existantes ou nécessitent d’adopter des mesures supplémentaires afin de maîtriser les risquesassociés de façon appropriée. Ces changements devraient faire partie du processus de gestion des changements des établissements financiers, qui devraient veiller à ce que ces changements soient dûment planifiés, testés, documentés, autorisés et déployés.

FR-38.a Avez-vous des politiques et procédures, détectant les activités anormales liées à la sécurité de l'information. A) voir description.

38.Les établissements financiers devraient établir et mettre en œuvre des politiques et procédures permettant, d’une part, de détecter les activités anormales susceptibles d’avoir une incidence sur la sécurité de l’information au sein des établissements financiers et, d’autre part, de répondre de façon appropriée à ces événements. Dans le cadre de cette surveillance continue, les établissements financiers devraient mettre en œuvre des capacités adaptées et efficaces pour détecter et communiquer les intrusions physiques ou logiques ainsi que les violations de confidentialité, d’intégrité et de disponibilité des actifs informationnels. La surveillance continue et les processus de détection devraient couvrir: a) les facteurs internes et externes pertinents, y compris les fonctions administratives «métiers» et liées aux TIC;

FR-38.b Avez-vous des politiques et procédures, détectant les activités anormales liées à la sécurité de l'information. B) Abus de droit des tiers?

38.Les établissements financiers devraient établir et mettre en œuvre des politiques et procédures permettant, d’une part, de détecter les activités anormales susceptibles d’avoir une incidence sur la sécurité de l’information au sein des établissements financiers et, d’autre part, de répondre de façon appropriée à ces événements. Dans le cadre de cette surveillance continue, les établissements financiers devraient mettre en œuvre des capacités adaptées et efficaces pour détecter et communiquer les intrusions physiques ou logiques ainsi que les violations de confidentialité, d’intégrité et de disponibilité des actifs informationnels. La surveillance continue et les processus de détection devraient couvrir: b) les opérations visant à détecter toute utilisation abusive des droits d’accès par des tiers ou autres entités, ou par des personnes internes à l’établissement;

FR-38.c Avez-vous des politiques et procédures, détectant les activités anormales liées à la sécurité de l'information. C) Menaces internes externes

FR-39 Avez-vous des processus identifiants,surveillant les menaces pour la sécurité ayant une incidence sur leurs capacités à fournir des services?

39. Les établissements financiers devraient établir et mettre en œuvre des processus et structures organisationnelles permettant d’identifier et de surveiller en continu les menaces pour la sécurité qui pourraient avoir une incidence importante sur leur capacité à fournir des services. Les établissements financiers devraient activement surveiller les évolutions technologiques afin de faire en sorte d’être au courant des risques de sécurité. Les établissements financiers devraient mettre en œuvre des mesures de détection, par exemple pour identifier de possibles fuites d’informations, codes malveillants et autres menaces pour la sécurité, ainsi que les vulnérabilités des logiciels et matériels informatiques qui sont connues du public, et devraient s’informer des nouvelles mises à jour de sécurité correspondantes.

FR-40 Avez-vous un processus de surveillance de la sécurité qui vous permet de comprendre la nature des incidents opérationnels ou de sécurité?

40.Le processus de surveillance de la sécurité devrait également permettre à l’établissement financier de comprendre la nature des incidents opérationnels ou de sécurité, d’identifier les tendances et d’appuyer les enquêtes diligentées.

FR-41 Procédez-vous à des tests en matière de sécurité de l'information, des vulnérabilités des TIC? Test d'intrusion et simulations de cyberattaques?

41. Les établissements financiers devraient procéder à divers examens, évaluations et tests en matière de sécurité de l’information, afin d’assurer une identification efficace des vulnérabilités au sein de leurs systèmes et services de TIC. Par exemple, les établissements financiers peuvent mener des analyses des écarts par rapport aux normes de sécurité de l’information, des examens de conformité, des audits internes et externes sur les systèmes d’information ou des examens de la sécurité physique. En outre, l’établissement concerné devrait envisager de bonnes pratiques telles que l’examen des codes sources, l’évaluation des vulnérabilités, des tests d’intrusion et des simulations de cyber-attaques avec équipe adverse (dite «rouge»).

FR-42 Avez-vous un cadre de test de la sécurité de l'information validant la solidité et l'efficacité des mesures de sécurités de l'information?

42. Les établissements financiers devraient établir et mettre en œuvre un cadre de test de la sécurité de l’information validant la solidité et l’efficacité de leurs mesures de sécurité de l’information et veiller à ce que ce cadre tienne compte des menaces et des vulnérabilités identifiées grâce à la surveillance des menaces et au processus d’évaluation des risques liés aux TIC et à la sécurité.

FR-43.a Vos tests sont-ils menés pas des testeurs indépendants qui possèdent des connaissances, compétences et expertises suffisantes?

43. Le cadre de test de la sécurité de l’information devrait garantir que les tests: a) sont menés par des testeurs indépendants qui possèdent des connaissances, des compétences et une expertise suffisantes en matière de test des mesures de sécurité de l’information et qui ne participent pas à l’élaboration des mesures de sécurité de l’information

FR-43.b Vos tests incluent-ils des analyses de vulnérabilité et des tests d'intrusion?

43. Le cadre de test de la sécurité de l’information devrait garantir que les tests: b) incluent des analyses de vulnérabilité et des tests d’intrusion (y compris des tests d’intrusion fondés sur les menaces si cela est nécessaire et approprié) proportionnés au niveau de risque identifié pour les processus et systèmes de l’entreprise.

FR-44 Testez-vous les mesures de sécurité de façon continue et récurrente?

44. Les établissements financiers devraient tester les mesures de sécurité de façon continue et récurrente. S’agissant de tous les systèmes de TIC ayant une importance critique (paragraphe 17), ces tests devraient être effectués au moins une fois par an. Pour les PSP, ils font partie de l’évaluation exhaustive des risques de sécurité liés aux services de paiement qu’ils fournissent, conformément à l’article 95, paragraphe 2, de la DSP2. Les systèmes n’ayant pas une importance critique devraient être régulièrement testés selon une méthode fondée sur les risques, et ce au moins tous les trois ans.

FR-45 Testez-vous les mesures de sécurité en cas de modification de l'infrastructure?

45. Les établissements financiers devraient veiller à ce que les mesures de sécurité soient testées en cas de modification de l’infrastructure, des processus ou des procédures et si des changements sont apportés en raison d’incidents opérationnels ou de sécurité majeurs ou de la mise en production d’applications critiques nouvelles ou fortement modifiées exposées à internet.

FR-46 Surveillez-vous, évaluez-vous les résultats des tests de sécurités, mettez-vous à jour les mesures de sécurité en conséquence, sans retard injustifié?

46. Les établissements financiers devraient surveiller et évaluer les résultats des tests de sécurité et mettre à jour leurs mesures de sécurité en conséquence, sans retard injustifié dans le cas des systèmes de TIC ayant une importance critique.

FR-47 Pour les PSP: Vos tests englobent-ils les systèmes de paiement et dispositifs utilisés aux fins de la prestation des services de paiement?

47. Pour les PSP, ce cadre de test devrait également englober les mesures de sécurité pertinentes pour (1) les terminaux de paiement et dispositifs utilisés aux fins de la prestation des services de paiement, (2) les terminaux de paiement et dispositifs utilisés aux fins de l’authentification des utilisateurs de services de paiement (USP) et (3) les dispositifs et logiciels fournis par le PSP à l’USP pour générer/recevoir un code d’authentification

FR-48 Sur la base des menaces identifiées pour la sécurité et des changements apportés, réalisez-vous des tests qui incluent des scénarios d'attaques?

48. Sur la base des menaces identifiées pour la sécurité et des changements apportés, des tests qui incluent des scénarios d’attaques potentielles pertinentes et connues devraient être réalisés.

FR-49 Avez-vous un programme de formation, incluant des programmes périodiques de sensibilisations à la sécurité?

49. Les établissements financiers devraient établir un programme de formation, incluant des programmes périodiques de sensibilisation à la sécurité, à l’attention de tous leurs employés et prestataires, afin de veiller à ce qu’ils soient formés, d’une part, à l’exécution de leurs tâches et responsabilités conformément aux politiques et procédures de sécurité pertinentes afin de réduire l’erreur humaine, le vol, la fraude, les abus ou les pertes et, d’autre part, aux moyens de résolution des risques liés à la sécurité de l’information. Les établissements financiers devraient veiller à ce que tous les membres du personnel et tous les prestataires reçoivent ce programme de formation au moins une fois par an.

FR-50 Gérez-vous les opérations liées aux TIC en fonction de processus et procédures documentés et mis en œuvre et approuvé par la direction?

50. Les établissements financiers devraient gérer leurs opérations liées aux TIC en fonction de processus et procédures documentés et mis en œuvre [qui, pour les PSP, incluent le document relatif à la politique de sécurité visé à l’article 5, paragraphe 1, point j), de la DSP2] qui ont été approuvés par l’organe de direction. Ensemble, ces documents devraient définir la façon dont les établissements financiers exploitent, surveillent et contrôlent leurs services et systèmes de TIC, y compris la documentation des opérations de TIC revêtant une importance critique, et devraient permettre aux établissements financiers de tenir à jour un inventaire des actifs informatiques.

FR-51 Veillez-vous à ce que la performance de vos opérations de TIC soit alignée sur les exigences "métiers"? Améliorez-vous ces mesures?

51. Les établissements financiers devraient veiller à ce que la performance de leurs opérations de TIC soit alignée sur leurs exigences «métiers». Les établissements financiers devraient maintenir et améliorer, dans la mesure du possible, l’efficacité de leurs opérations de TIC. Ils devraient notamment, mais sans s’y limiter, envisager des façons de minimiser les potentielles erreurs découlant de l’exécution de tâches manuelles.

FR-52 Avez-vous des procédures d'enregistrement et de surveillance des opérations TIC afin de détecter, analyser et corriger les erreurs?

52. Les établissements financiers devraient mettre en œuvre des procédures d’enregistrement et de surveillance des opérations de TIC ayant une importance critique afin de détecter, analyser et corriger les erreurs.

FR-53 Maintenez-vous un inventaire des actifs informatiques? Cet inventaire devrait contenir la configuration et les liens et interdépendances entre eux?

53. Les établissements financiers devraient tenir à jour l’inventaire de leurs actifs informatiques (y compris les systèmes de TIC, les équipements réseau, les bases de données, etc.). L’inventaire des actifs informatiques devrait contenir la configuration des actifs informatiques, ainsi que les liens et interdépendances entre eux, afin d’établir un processus de configuration et de gestion du changement approprié.

FR-54 Votre inventaire est-il assez détaillé pour permettre d'identifier rapidement un actif informatique, son emplacement, son propriétaire?

54. L’inventaire des actifs informatiques devrait être suffisamment détaillé pour permettre d’identifier rapidement un actif informatique, son emplacement, sa classification de sécurité et son propriétaire. Les interdépendances entre les actifs devraient être documentées afin de faciliter la mise en œuvre de la réponse à apporter aux incidents opérationnels et de sécurité, y compris aux cyberattaques.

FR-55 Surveillez-vous et gérez-vous le cycle de vie des actifs informatiques?

55.Les établissements financiers devraient surveiller et gérer le cycle de vie des actifs informatiques, afin de s’assurer qu’ils répondent toujours aux exigences «métiers» et aux besoins en matière de gestion des risques et apportent toujours le soutien nécessaire en la matière. Les établissements financiers devraient surveiller leurs actifs informatiques afin de vérifier s’ils sont pris en charge par leurs fournisseurs et développeurs externes ou internes et si tous les correctifs et mises à jour pertinents sont appliqués conformément aux processus documentés. Les risques découlant de actifs informatiques obsolètes ou non pris en charge devraient être évalués et maîtrisés.

FR-56 Planifiez-vous, surveillez-vous les performances et capacités permettant de prévenir, détecter et résoudre tout problème de performance lié aux TIC?

56. Les établissements financiers devraient mettre en œuvre des processus de planification et de surveillance des performances et des capacités permettant de prévenir, détecter et résoudre tout problème de performance important dans les systèmes de TIC, ainsi que toute pénurie de capacité, dans un délai convenable.

FR-57 Définissez-vous et mettez-vous en œuvre des processus de sauvegarde et de restauration des données et des systèmes TIC.

57. Les établissements financiers devraient définir et mettre en œuvre des procédures de sauvegarde et de restauration des données et des systèmes de TIC visant à assurer qu’ils peuvent être récupérés en cas de besoins. Le périmètre et la fréquence des sauvegardes devraient être définis conformément aux exigences de reprise des activités et au niveau de criticité des données et systèmes de TIC, et analysés en fonction de l’évaluation des risques effectuée. Les procédures de sauvegarde et de restauration devraient être testées à intervalles réguliers.

FR-58 Est-ce que vos sauvegardes de données et de systèmes TIC sont bien stockées de façon sécurisée à un endroit suffisamment éloigné du site?

58. Les établissements financiers devraient veiller à ce que les sauvegardes des données et systèmes de TIC soient stockées de façon sécurisée à un endroit suffisamment éloigné du site principal pour ne pas être exposées aux mêmes risques.

FR-59 Avez-vous un processus de gestion des problèmes et incidents afin de surveiller et consigner les incidents liés aux TIC?

59. Les établissements financiers devraient établir et mettre en œuvre un processus de gestion des problèmes et incidents afin, d’une part, de surveiller et consigner les incidents opérationnels et de sécurité liés aux TIC et, d’autre part, de poursuivre ou rétablir les fonctions et processus «métiers» de ces institutions ayant une importance critique, en temps utile, après une perturbation. Les établissements financiers devraient déterminer les critères et les seuils appropriés pour classifier un événement comme incident opérationnel ou incident de sécurité, selon la définition prévue à la section «Définitions» des présentes orientations, ainsi que les indicateurs d’alerte précoce devant servir d’alerte afin de permettre la détection précoce de ces incidents. Ces critères et seuils, pour les PSP, sont sans préjudice de la classification des incidents majeurs visée à l’article 96 de la DSP2 et des orientations sur la notification des incidents majeurs en vertu de la DSP2 (EBA/GL/2017/10).

FR-60 Avez-vous un processus de gestion des incidents et des problèmes visant à identifier,suivre,consigner catégoriser,classer les incidents par priorité?

FR-60.a Dans ce processus (60) établissez-vous les rôles et responsabilités inhérents à différents scénarios d'incidents?

FR-60.b Dans ce processus (60) établissez-vous les procédures de gestion des problèmes permettant d'identifier, analyser et résoudre la cause originelle?

60. Afin de minimiser l’impact des événements indésirables et de permettre une reprise rapide, les établissements financiers devraient établir des processus et des structures organisationnelles appropriés pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents opérationnels et de sécurité et pour veiller à ce que les causes originelles soient identifiées et éliminées afin d’empêcher que ces incidents ne se répètent. Le processus de gestion des incidents et des problèmes devrait établir: c) les procédures de gestion des problèmes permettant d’identifier, d’analyser et de résoudre la cause originelle d’un ou de plusieurs incidents – l’établissement financier devrait analyser les incidents opérationnels ou de sécurité susceptibles de l’affecter qui ont été identifiés ou qui sont survenus en son sein et/ou à l’extérieur, et devrait tenir compte des principaux enseignements tirés de ces analyses et mettre ses mesures de sécurité à jour en conséquence;

FR-60.c Dans ce processus (60) établissez-vous des plans de communication internes, y compris pour la notification des incidents et procédures d'escalade?

60. Afin de minimiser l’impact des événements indésirables et de permettre une reprise rapide, les établissements financiers devraient établir des processus et des structures organisationnelles appropriés pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents opérationnels et de sécurité et pour veiller à ce que les causes originelles soient identifiées et éliminées afin d’empêcher que ces incidents ne se répètent. Le processus de gestion des incidents et des problèmes devrait établir: d) des plans de communication interne efficaces, y compris pour la notification des incidents et les procédures d’escalade de l’information – couvrant également les plaintes des clients relevant de la sécurité – afin de s’assurer que:

FR-60.d.i Dans ce processus (60) assurez-vous que les incidents pouvant avoir une incidence sur les TIC sont communiqués à la direction?

60. Afin de minimiser l’impact des événements indésirables et de permettre une reprise rapide, les établissements financiers devraient établir des processus et des structures organisationnelles appropriés pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents opérationnels et de sécurité et pour veiller à ce que les causes originelles soient identifiées et éliminées afin d’empêcher que ces incidents ne se répètent. Le processus de gestion des incidents et des problèmes devrait établir: d) des plans de communication interne efficaces, y compris pour la notification des incidents et les procédures d’escalade de l’information – couvrant également les plaintes des clients relevant de la sécurité – afin de s’assurer que: i)les incidents pouvant avoir une incidence négative importante sur les systèmes et services de TIC ayant une importance critique sont communiqués à la direction générale de la fonction TIC et des lignes d’activités;

FR-60.d.ii Dans ce processus (60) assurez-vous que l'organe de direction est informé des éventuels incidents de façon ponctuelle?

60. Afin de minimiser l’impact des événements indésirables et de permettre une reprise rapide, les établissements financiers devraient établir des processus et des structures organisationnelles appropriés pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents opérationnels et de sécurité et pour veiller à ce que les causes originelles soient identifiées et éliminées afin d’empêcher que ces incidents ne se répètent. Le processus de gestion des incidents et des problèmes devrait établir: d) des plans de communication interne efficaces, y compris pour la notification des incidents et les procédures d’escalade de l’information – couvrant également les plaintes des clients relevant de la sécurité – afin de s’assurer que: ii)l’organe de direction est informé des éventuels incidents importants de façon ponctuelle et, au minimum, est informé de l’incidence des incidents, de la réponse qui leur est apportée et des contrôles supplémentaires à définir en conséquence.

FR-60.e Dans ce processus (60) établissez-vous des procédures de réponse aux incidents visant à atténuer l'incidence des incidents?

FR-60.f Dans ce processus (60) établissez-vous des plans de communication externe spécifiques pour les fonctions "métiers" ?

60. Afin de minimiser l’impact des événements indésirables et de permettre une reprise rapide, les établissements financiers devraient établir des processus et des structures organisationnelles appropriés pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents opérationnels et de sécurité et pour veiller à ce que les causes originelles soient identifiées et éliminées afin d’empêcher que ces incidents ne se répètent. Le processus de gestion des incidents et des problèmes devrait établir: f) des plans de communication externe spécifiques pour les fonctions «métiers» et les processus revêtant une importance critique, afin de: i) collaborer avec les parties prenantes concernées pour répondre en toute efficacité et rétablir les activités suite à l’incident; ii) en temps utile, fournir des informations aux parties extérieures (parexemple des clients, d’autres participants au marché et l’autorité de supervision), le cas échéant et conformément à la réglementation applicable.

FR-61 Avez-vous mis en œuvre un programme ou processus de gouvernance de projet définissant, les rôles, responsabilités, obligations de rendre des comptes?

61.Un établissement financier devrait mettre en œuvre un programme et/ou un processus de gouvernance de projet définissant les rôles, responsabilités et obligations de rendre compte visant à soutenir la mise en œuvre de la stratégie en matière de TIC.

FR-62 Surveillez-vous les risques liés au portefeuille de projets de TIC?

62. Un établissement financier devrait surveiller les risques liés à son portefeuille de projets de TIC (gestion des programmes) de façon appropriée et les maîtriser, en tenant également compte du fait que ces risques peuvent découler des interdépendances entre différents projets et des dépendances de plusieurs projets à l’égard des mêmes ressources et/ou expertises.

FR-63 Avez-vous une politique de gestion des projets TIC incluant: Objectifs, rôles, évaluations des risques, calendrier, jalons et gestion du changement?

63. Un établissement financier devrait établir et mettre en œuvre une politique de gestion des projets de TIC incluant au minimum: a) les objectifs du projet; b) les rôles et responsabilités; c) une évaluation des risques liés au projet; d) le plan, le calendrier et les étapes du projet; e) les principaux jalons; f) les exigences en matière de gestion du changement

FR-64 Veillez-vous à ce que les exigences en matière de sécurité de l'information soient analysées et approuvées par une fonction indépendante?

64. La politique de gestion des projets de TIC devrait veiller à ce que les exigences en matière de sécurité de l’information soient analysées et approuvées par une fonction indépendante de la fonction de développement.

FR-65 Veillez-vous à ce que les domaines affectés par un projet de TIC soient représentés au sein de l'équipe et ayant les connaissances requises.

65. Un établissement financier devrait veiller à ce que les domaines affectés par un projet de TIC soient représentées au sein de l’équipe chargée du projet et à ce que cette équipe possède les connaissances requises pour assurer une implémentation sécurisée et réussie des projets.

FR-66 Communiquez-vous l'avancée des projets TIC à l'organe de direction?

66. La création et l’avancée des projets de TIC et des risques associés devraient être communiqués à l’organe de direction, à titre individuel ou global, en fonction de l’importance et de la taille des projets de TIC, à intervalles réguliers ou de façon ponctuelle, si nécessaire. Les établissements financiers devraient inclure les risques liés aux projets dans leur cadre de gestion des risques.

FR-67 Développez-vous, avez-vous mis en œuvre un processus régissant l'acquisition, de développement et l'entretien de systèmes TIC?

67. Les établissements financiers devraient développer et mettre en œuvre un processus régissant l’acquisition, le développement et l’entretien de systèmes de TIC. Ce processus devrait être conçu selon une approche fondée sur les risques.

FR-68 Développez-vous et veillez-vous avant d'acquérir ou de développer des systèmes de TIC, que les exigences fonctionnelles soient définies?

68. Un établissement financier devrait veiller, avant d’acquérir ou de développer des systèmes de TIC, à ce que les exigences fonctionnelles et non fonctionnelles (y compris les exigences en matière de sécurité de l’information) soient clairement définies et approuvées par la direction de la ligne d’activité concernée.

FR-69 Avez-vous des mesures pour maîtriser le risque de modification non intentionnelle/manipulation intentionnelle des systèmes TIC?

69. Un établissement financier devrait veiller à ce que des mesures soient prises pour maîtriser le risque de modification non intentionnelle ou de manipulation intentionnelle des systèmes de TIC durant leur développement et leur implémentation dans l’environnement de production.

FR-70 Avez-vous une méthodologie de tests en place pour l'approbation des systèmes TIC avant leur première utilisation?

70. Les établissements financiers devraient mettre une méthodologie en place pour le test et l’approbation des systèmes de TIC avant leur première utilisation. Cette méthodologie devrait tenir compte du caractère critique des actifs et des processus «métiers». Les tests devraient veiller à ce que les nouveaux systèmes de TIC fonctionnent comme prévu. Ils devraient également s’effectuer dans des environnements de tests qui reflètent de manière adéquate l’environnement de production.

FR-71 Testez-vous les systèmes TIC, les services de TIC et les mesures de sécurité de l'information afin d'identifier les faiblesses, incidents de sécurité?

71. Les établissements financiers devraient tester les systèmes de TIC, les services de TIC et les mesures de sécurité de l’information afin d’identifier les faiblesses, violations et incidents potentiels en matière de sécurité.

FR-72 Avez-vous des systèmes TIC distincts afin d'assurer une séparation des fonctions (Test/Dev/Production)?

72. Un établissement financier devrait mettre en œuvre des environnements de TIC distincts afin d’assurer une séparation des fonctions appropriée et d’atténuer l’incidence de toute modification non vérifiée sur les systèmes de production. Plus précisément, un établissement financier devrait faire en sorte que les environnements de production soient séparés du développement, du test et des autres environnements ne relevant pas de la production. Un établissement financier devrait assurer l’intégrité et la confidentialité des données de production dans les environnements autres que l’environnement de production. L’accès aux données de production est limité aux utilisateurs autorisés.

FR-73 Avez-vous des mesures en place visant à protéger l'intégrité des codes sources des systèmes TIC développés en interne?

73. Les établissements financiers devraient mettre en œuvre des mesures visant à protéger l’intégrité des codes source des systèmes de TIC développés en interne. Ils devraient également documenter le développement, l’implémentation, le fonctionnement et/ou la configuration des systèmes de TIC, de façon exhaustive, afin de réduire toute dépendance inutile à l’égard d’experts en la matière. La documentation relative au système de TIC devrait inclure au minimum, le cas échéant, la documentation «utilisateur», la documentation technique relative au système et les procédures opérationnelles

FR-74 Avez-vous une approche fondée sur les risques, pour l'acquisition, le développement de systèmes TIC?

74. Les processus d’acquisition et de développement de systèmes de TIC d’un établissement financier devraient également s’appliquer aux systèmes de TIC développés ou gérés par les utilisateurs finaux de la ligne d’activité en dehors de l’organisation responsable des TIC (par exemple, les applications informatiques de l’utilisateur final), en suivant une approche fondée sur les risques. L’établissement financier devrait tenir un registre des applications soutenant les fonctions ou processus «métiers» ayant une importance critique

FR-75 Avez-vous un processus de gestion des changements liés aux TIC? (Enregistrement, test, évaluation, approbation…)

75.Les établissements financiers devraient établir et mettre en œuvre un processus de gestion des changements liés aux TIC afin de garantir que toutes les modifications apportées aux systèmes de TIC sont enregistrées, testées, évaluées, approuvées, implémentées et vérifiées de façon contrôlée. Les établissements financiers devraient opérer les changements nécessaires en cas de situations d’urgence (c’est-à-dire les changements devant être introduits le plus rapidement possible) conformément à des procédures permettant de mettre en place des mesures de protection appropriées.

FR-76 Déterminez-vous si les changements intervenant dans l'environnement opérationnel existant influencent les mesures de sécurité existantes?

76. Les établissements financiers devraient déterminer si les changements intervenant dans l’environnement opérationnel existant influencent les mesures de sécurité existantes ou nécessitent d’adopter des mesures supplémentaires afin de maîtriser les risques concernés. Ces changements devraient respecter le processus officiel de gestion du changement des établissements financiers.

FR-77 Avez-vous un processus de gestion de la continuité (BCP Business Continuity Plan-PCA Plan de Continuité d'Activités) des activités?

77. Les établissements financiers devraient établir un processus adéquat pour la gestion de la continuité des activités afin de maximiser leur capacité à fournir des services en continu et à limiter les pertes en cas de perturbation grave de l’activité, conformément à l’article 85, paragraphe 2, de la directive 2013/36/UE et au titre VI des orientations de l’ABE sur la gouvernance interne (EBA/GL/2017/11)

FR-78 Dans le cadre du BCP(77) avez-vous établi une analyse d'incidence sur les activités (BIA Business Impact Activity-AIA analyse d'incidence Activités)?

78. Dans le cadre de leur processus adéquat pour la gestion de la continuité des activités, les établissements financiers devraient mener une analyse d’incidence sur les activités («AIA») en analysant leur exposition à toute perturbation grave de l’activité et en évaluant leur incidence potentielle (y compris sur la confidentialité, l’intégrité et la disponibilité), en termes quantitatifs comme qualitatifs, à l’aide de données internes et/ou externes (par exemple les données de fournisseurs tiers concernant une ligne d’activité ou des données qui sont dans le domaine public et peuvent être pertinentes pour l’AIA) et d’une analyse des scénarios. L’AIA devrait également prendre en compte le caractère critique des fonctions «métiers», processus «supports», tiers et actifs informationnels identifiés et classifiés, ainsi que leurs interdépendances, conformément à la section 1.3.3

FR-79 Veillez-vous à ce que les systèmes TIC soient en ligne avec votre BIA-AIA?

79. Les établissements financiers devraient veiller à ce que leurs systèmes et services de TIC soient conçus en fonction de l’AIA et alignés en conséquence, par exemple en assurant la duplicationde certaines composantes ayant une importance critique afin de prévenir les perturbations découlant d’événements qui ont une incidence sur ces composantes.

FR-80 Avez-vous un plan visant à assurer la continuité des activités documentée et approuvée?

80. En fonction de leurs AIA, les établissements financiers devraient établir des plans visant à assurer la continuité des activités (plans de continuité d’activités, «PCA»), qui devraient être documentés et approuvés par leur organe de direction. Ces plans devraient examiner spécifiquement les risques pouvant avoir une incidence négative sur les systèmes et services de TIC. Ces plans devraient soutenir les objectifs visant à protéger, et à restaurer si nécessaire, la confidentialité, l’intégrité et la disponibilité de leurs fonctions «métiers», processus «supports» et actifs informationnels. Les établissements financiers devraient assurer une coordination appropriée avec les parties prenantes internes et externes durant la mise en place de ces plans

FR-81 Votre BCP-PCA est-il approprié à tout scénario de défaillance?

81. Les établissements financiers devraient mettre en place des PCA visant à faire en sorte qu’ils puissent réagir de façon appropriée à tout scénario de défaillance potentiel et qu’ils puissent reprendre leurs activités revêtant une importance critique après toute perturbation, dans la limite de la durée maximale d'interruption admissible (DMIA, c’est-à-dire la durée maximale au bout de laquelle un système ou un processus doit être rétabli après un incident) et en fonction d’une perte de données maximale admissible (PDMA, c’est-à-dire la période maximale pendant laquelle il est acceptable de perdre des données en cas d’incident). En cas de perturbation grave de l’activité déclenchant des plans de continuité des activités spécifiques, les établissements financiers devraient hiérarchiser les priorités des mesures de continuité des activités en utilisant une approche fondée sur les risques, qui peut se fonder sur des évaluations des risques menées en vertu de la section 1.3.3. Pour les PSP, cela peut consister, par exemple, à faciliter la poursuite du traitement des opérations ayant une importance critique durant les efforts de remise en état.

FR-82 Avez-vous envisagé plusieurs scénarii dans votre BCP-PCA, y compris les plus extrêmes, mais plausibles?

82. Un établissement financier devrait envisager plusieurs scénarios différents dans son PCA, y compris des scénarios extrêmes mais plausibles auxquels il pourrait être confronté, dont un scénario de cyberattaque, et devrait évaluer l’incidence potentielle que de tels scénarios pourraient avoir. En fonction de ces scénarios, un établissement financier devrait décrire la façon dont la continuité des systèmes et services de TIC, ainsi que la sécurité de l’information au sein de l’établissement, peuvent être assurées.

FR-83 Avez-vous défini des plans de réponse et de rétablissements en fonction de votre BIA-AIA (Paragrapphe 78)?

83. En fonction des AIA (paragraphe 78) et des scénarios plausibles (paragraphe 82), les établissements financiers devraient définir des plans de réponse et de rétablissement. Ces plans devraient préciser les conditions pouvant déclencher l’activation des plans et les mesures à prendre pour assurer la disponibilité, la continuité et la reprise, au minimum, des systèmes et services de TIC revêtant une importance critique pour les établissements financiers. Les plans de réponse et de rétablissement devraient viser à répondre aux objectifs de reprise des opérations des établissements financiers.

FR-84 Votre BCP-PCA tient-il compte : a) Rétablissement des fonctions métiers b) documenté et à disposition des unités métiers c) à jour?

84. Les plans de réponse et de rétablissement devraient tenir compte des options de rétablissement à court terme et à long terme. Ces plans devraient: a) se concentrer sur le rétablissement des fonctions «métiers», processus de «supports»et actifs informationnels ayant une importance critique, ainsi que leurs interdépendances, afin d’éviter toute incidence négative sur le fonctionnement des établissements financiers et sur le système financier, y compris sur les systèmes de paiement et les utilisateurs de services de paiement, et d’assurer l’exécution des opérations de paiement en attente de traitement; b) être documentés et mis à la disposition des unités «métier» et de soutien, et facilement accessibles en cas d’urgence; c) être mis à jour conformément aux enseignements tirés des incidents, aux tests, aux nouveaux risques et nouvelles menaces identifiés, ainsi qu’aux objectifs et priorités de reprise qui ont été modifiés.

FR-85 Votre BCP-PCA envisage t-il des solutions alternatives si la reprise n'est pas possible à court terme en raison des coûts, risques, logistique?

85. Les plans devraient également envisager des solutions alternatives si la reprise n’est pas possible à court terme en raison des coûts, des risques, de la logistique ou de circonstances imprévues.

FR-86 Envisagez-vous la mise en œuvre de mesures permettant d'atténuer les défaillances de fournisseurs tiers ayant un impact sur vos services?

86.En outre, dans le cadre des plans de réponse et de rétablissement, un établissement financier devrait envisager et mettre en œuvre des mesures de continuité permettant d’atténuer les défaillances de fournisseurs tiers ayant une importance clé pour la continuité de ses services de TIC [conformément aux dispositions prévues dans les orientations de l’ABE sur les accords d’externalisation (EBA/GL/2019/02) s’agissant des plans de continuité des activités]

FR-87 Testez-vous périodiquement votre BCP-PCA?

87. Les établissements financiers devraient périodiquement tester leurs PCA. Notamment, ils devraient veiller à ce que les PCA relatifs aux fonctions «métiers», processus «supports» et actifs informationnels revêtant une importance critique (y compris ceux fournis par des tiers, le cas échéant), ainsi que leurs interdépendances, soient testés au moins une fois par an, conformément au paragraphe 89

FR-88 Mettez-vous à jour votre BCP-PCA au moins une fois par an en fonction des résultats des tests?

88. Les PCA devraient être mis à jour au moins une fois par an, en fonction des résultats des tests, des renseignements les plus récents sur les menaces et des enseignements tirés des événements précédents. Toute modification des objectifs de rétablissement (y compris les DMIA et PDMA) et/ou des fonctions «métiers», processus «supports» et actifsinformationnels devrait également être prise en compte, le cas échéant, pour mettre les PCA à jour.

FR-89.A Vous assurez-vous de la viabilité de vos activités lors des tests BCP-PCA a) incluant des tests fonder sur un ensemble approprié de scénarios graves?

89. Les tests réalisés par les établissements financiers sur leurs PCA devraient prouver qu’ils sont capables d’assurer la viabilité de leurs activités jusqu’à ce que les opérations ayant une importance critique soient rétablies. Ils devraient notamment: a) inclure des tests fondés sur un ensemble approprié de scénarios graves mais plausibles, y compris de ceux envisagés lors du développement des PCA (ainsi que le test des services fournis par des tiers, le cas échéant) – cela devrait, entre autres, intégrer la commutation des fonctions «métiers», processus «supports» et actifs informationnels revêtant une importance critique avec l’environnement de rétablissement après sinistre et à prouver, d’une part, qu’ils peuvent fonctionner de cette façon pendant une période suffisamment représentative et, d’autre part, qu’un fonctionnement normal peut être rétabli par la suite;

FR-89.b Vous assurez-vous de la viabilité de vos activités lors des tests BCP-PCA b) conçu pour vérifier les hypothèses sur lesquelles se fondent le BCP-PCA?

FR-89.c Vous assurez-vous de la viabilité de vos activités lors des tests BCP-PCA c) incluant des procédures permettant de vérifier la disponibilité du personnel?

FR-90 Les résultats de vos tests sont-ils documentés et toute lacune identifiée lors des tests doit s'y trouver et analyser?

90. Les résultats des tests devraient être documentés et toute lacune identifiée lors des tests devrait être analysée, résolue et communiquée à l’organe de direction.

FR-91 Avez-vous des mesures de communication efficaces en situation de crise?

91. En cas de perturbation ou d’urgence, et durant la mise en œuvre des PCA, les établissements financiers devraient veiller à disposer de mesures de communication efficaces en situation de crise, afin que toutes les parties concernées internes et externes, y compris les autorités compétentes si cela est requis par la réglementation nationale, ainsi que les fournisseurs concernés (prestataires de services d’externalisation, entités du groupe ou fournisseurs tiers), soient informés à temps et de façon appropriée.

FR-92 Avez-vous établi, mis en œuvre des processus permettant de renforcer la sensibilisation des USP aux risques de sécurité liés aux services de paiement?

92. Les PSP devraient établir et mettre en œuvre des processus permettant de renforcer la sensibilisation des USP aux risques de sécurité liés aux services de paiement, en leur fournissant de l’assistance et des orientations.

FR-93 Avez-vous une assistance fournie aux USP et est-elle à jour en fonction des nouvelles menaces et vulnérabilités?

93. L’assistance et les orientations fournies aux USP devraient être mises à jour en fonction des nouvelles menaces et vulnérabilités, et les changements devraient être communiqués aux USP.

FR-94 Avez-vous un système qui permet aux USP de désactiver les fonctionnalités de paiement fourni par le PSP à l'USP?

94. Lorsque la fonctionnalité des produits le permet, les PSP devraient permettre aux USP de désactiver les fonctionnalités de paiement spécifiques aux services de paiement fournis par le PSP à l’USP

FR-95 Cfr Art 68, Paragraphe 1. Donnez-vous au payeur la possibilité d'ajuster ces limites à hauteur de la limite maximale convenue?

95. Lorsque, conformément à l’article 68, paragraphe 1, de la directive (UE) 2015/2366, un PSP a convenu avec le payeur de limites de dépenses pour les opérations de paiement exécutées au moyen d’instruments spécifiques de paiement, le PSP devrait donner au payeur la possibilité d’ajuster ces limites à hauteur de la limite maximale convenune

FR-96 Donnez la possibilité aux USP de recevoir des alertes lors des tentatives initiées et/ou ratées d'initier des opérations de paiement?

96. Les PSP devraient offrir aux USP la possibilité de recevoir des alertes lors de tentatives initiées et/ou ratées d’initier des opérations de paiement, de manière à leur permettre de détecter toute utilisation frauduleuse ou malveillante de leurs comptes

FR-97 Tenez-vous vos USP informés des mises à jour des procédures de sécurité ayant une incidence sur les USP s'agissant de la prestation de paiement?

97. Les PSP devraient tenir les USP informés des mises à jour des procédures de sécurité ayant une incidence sur les USP s’agissant de la prestation de services de paiement.

FR-98 Fournissez-vous l'aide nécessaire aux USP pour toute questions (pas au pluriel ?), demande de soutien, notification d'anomalie/problème de sécurité,relatif au paiement?

98. Les PSP devraient fournir aux USP l’aide nécessaire pour toute question, demande de soutien et notification d’anomalies ou tout problème de sécurité relatifs aux services de paiement. Les USP devraient être correctement informés de la manière dont ils peuvent obtenir cette aide.