Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.13. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 12 – Journalisation ⬅️ | ➡️ Article 14 – Sécurisation des informations en transit
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.15
Article 13 - Gestion de la sécurité des réseaux
Dans le cadre des garanties de sécurité des réseaux contre les intrusions et l’utilisation abusive de données, les entités financières élaborent, documentent et mettent en œuvre des politiques, des procédures, des protocoles et des outils de gestion de la sécurité des réseaux comprenant l’ensemble des éléments suivants:
a)
la séparation et la segmentation des systèmes et réseaux de TIC, compte tenu:
i)
de la criticité ou de l’importance de la fonction que soutiennent ces systèmes et réseaux de TIC;
ii)
de la classification établie conformément à l’2554;
iii)
du profil de risque global des actifs de TIC qui utilisent ces systèmes et réseaux de TIC;
b)
la documentation de l’ensemble des connexions réseau et des flux de données de l’entité financière;
c)
l’utilisation d’un réseau distinct et spécifique pour l’administration des actifs de TIC;
d)
la définition et la mise en œuvre de contrôles d’accès au réseau afin de prévenir et de détecter les connexions au réseau de l’entité financière à partir de tout appareil ou système non autorisé, ou de tout point de terminaison ne répondant pas aux exigences de l’entité financière en matière de sécurité;
e)
le chiffrement des connexions au réseau transitant par des réseaux d’entreprise, des réseaux publics, des réseaux nationaux, des réseaux tiers et des réseaux sans fil, pour les protocoles de communication utilisés, en tenant compte des résultats de la classification de données approuvée, des résultats de l’évaluation du risque lié aux TIC et du chiffrement des connexions au réseau prévu par l’article 6, paragraphe 2;
f)
une conception du réseau conforme aux exigences en matière de sécurité des TIC définies par l’entité financière, tenant compte des pratiques de pointe afin de garantir la confidentialité, l’intégrité et la disponibilité du réseau;
g)
la sécurisation du trafic entre les réseaux internes et l’internet et d’autres connexions externes;
h)
la définition des rôles et responsabilités et des étapes de la spécification, de la mise en œuvre, de l’approbation, de la modification et du réexamen des règles de pare-feu et des filtres de connexion;
i)
la réalisation d’examens de l’architecture du réseau et de la conception de la sécurité du réseau une fois par an, et périodiquement pour les microentreprises, afin de détecter les vulnérabilités potentielles;
j)
des mesures visant à isoler temporairement, si nécessaire, les sous-réseaux et les composants et dispositifs de réseau;
k)
la mise en œuvre d’une configuration sécurisée de référence incluant tous les composants du réseau, et le renforcement du réseau et des dispositifs de réseau conformément aux éventuelles instructions du vendeur, aux normes telles que définies à l’2012, le cas échéant, et aux pratiques de pointe;
l)
les procédures de limitation, de verrouillage et d’arrêt du système et des sessions à distance après une période déterminée d’inactivité;
m)
pour les accords de services de réseau:
i)
l’indication et la spécification des mesures de sécurité des TIC et de l’information, des niveaux de service et des exigences en matière de gestion de tous les services de réseau;
ii)
une indication précisant si ces services sont fournis par un prestataire intra-groupe de services TIC ou par des prestataires tiers de services TIC.
Aux fins du point h), les entités financières procèdent à un réexamen régulier des règles de pare-feu et des filtres de connexion, conformément à la classification établie en application de l’2554 et au profil de risque global des systèmes de TIC concernés. Pour les systèmes de TIC qui soutiennent des fonctions critiques ou importantes, les entités financières vérifient l’adéquation des règles de pare-feu et des filtres de connexion existants au moins tous les six mois.