Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.10. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 9 – Gestion des capacités et des performances ⬅️ | ➡️ Article 11 – Sécurité des données et des systèmes
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.15
Article 10 - Gestion des vulnérabilités et des correctifs
1.
Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’2554, les entités financières élaborent, documentent et mettent en œuvre des procédures de gestion des vulnérabilités.
2.
Les procédures de gestion des vulnérabilités visées au paragraphe 1:
a)
identifient et tiennent à jour des ressources d’information pertinentes et fiables pour renforcer et maintenir la sensibilisation aux vulnérabilités;
b)
prévoient des scans et évaluations automatisés des vulnérabilités des actifs de TIC, la fréquence et le champ d’application de ces activités étant proportionnés à la classification établie conformément à l’2554 et au profil de risque global de l’actif de TIC;
c)
vérifient:
i)
si les prestataires tiers de services TIC traitent les vulnérabilités liées aux services TIC fournis à l’entité financière;
ii)
si ces prestataires de services informent l’entité financière, en temps utile, au moins des vulnérabilités critiques, ainsi que des statistiques et tendances;
d)
tracent l’utilisation:
i)
de bibliothèques tierces, y compris de bibliothèques à code source ouvert, utilisées par les services TIC qui soutiennent des fonctions critiques ou importantes;
ii)
de services TIC développés par l’entité financière elle-même, ou spécifiquement adaptés ou développés pour elle par un prestataire tiers de services TIC;
e)
établissent des procédures pour une divulgation responsable des vulnérabilités aux clients, aux contreparties et au public;
f)
donnent la priorité au déploiement de correctifs et d’autres mesures d’atténuation pour remédier aux vulnérabilités décelées;
g)
suivent et vérifient la correction des vulnérabilités;
h)
exigent l’enregistrement de toute vulnérabilité détectée touchant les systèmes de TIC et le suivi de leur résolution.
Aux fins du point b), les entités financières effectuent au moins une fois par semaine les scans et évaluations automatisés des vulnérabilités des actifs de TIC qui soutiennent des fonctions critiques ou importantes.
Aux fins du point c), les entités financières demandent aux prestataires tiers de services TIC d’enquêter sur les vulnérabilités concernées, d’en déterminer les causes profondes et de mettre en œuvre des mesures d’atténuation appropriées.
Aux fins du point d), les entités financières surveillent, le cas échéant en collaboration avec le prestataire tiers de services TIC, les versions et mises à jour éventuelles des bibliothèques tierces. Dans le cas d’actifs de TIC prêts à l’emploi ou de composants d’actifs de TIC acquis et utilisés dans le cadre de l’exploitation de services TIC qui ne soutiennent pas des fonctions critiques ou importantes, les entités financières tracent, dans la mesure du possible, l’utilisation de bibliothèques tierces, y compris des bibliothèques à code source ouvert.
Aux fins du point f), les entités financières tiennent compte de la criticité des vulnérabilités, de la classification établie conformément à l’2554 et du profil de risque des actifs de TIC concernés par les vulnérabilités décelées.
3.
Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’2554, les entités financières élaborent, documentent et mettent en œuvre des procédures de gestion des correctifs.
4.
Les procédures de gestion des correctifs visées au paragraphe 3:
a)
dans la mesure du possible, identifient et évaluent les correctifs et mises à jour logiciels et matériels disponibles à l’aide d’outils automatisés;
b)
définissent des procédures d’urgence pour l’application des correctifs et des mises à jour des actifs de TIC;
c)
testent et déploient les correctifs logiciels et matériels et les mises à jour visées à l’article 8, paragraphe 2, point b) v), vi) et vii);
d)
fixent des délais pour l’installation des correctifs et mises à jour logiciels et matériels, ainsi que des procédures de remontée d’informations lorsque ces délais ne peuvent pas être respectés.