2024R1774_FR.18

Info

🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.18. Retour au Sommaire du niveau 1. Ouvrir le PDF.

Article 17 – Gestion des changements dans les TIC ⬅️ | ➡️ Article 19 – Politique des ressources humaines

Références LVL1 <=> LVL2

Level 1 reference(s): 2022R2554_FR.15

Article 18 - Sécurité physique et environnementale

1.

Dans le cadre des garanties visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, les entités financières précisent, documentent et mettent en œuvre une politique de sécurité physique et environnementale. Les entités financières conçoivent cette politique à la lumière de l’éventail des cybermenaces, conformément à la classification établie en application de l’2554, et à la lumière du profil de risque global des actifs de TIC et des actifs informationnels accessibles.

2.

La politique de sécurité physique et environnementale visée au paragraphe 1 comporte l’ensemble des éléments suivants:

a)

une référence à la section de la politique relative au contrôle des droits de gestion des accès visé à l’article 21, premier alinéa, point g);

b)

des mesures de protection des locaux, des centres de données de l’entité financière et des zones sensibles désignées par l’entité financière, où se trouvent les actifs de TIC et les actifs informationnels, contre les attaques, les accidents et les menaces et dangers environnementaux;

c)

des mesures visant à sécuriser les actifs de TIC, tant à l’intérieur qu’à l’extérieur des locaux de l’entité financière, en tenant compte des résultats de l’évaluation du risque lié aux TIC portant sur les actifs de TIC concernés;

d)

des mesures visant à garantir la disponibilité, l’authenticité, l’intégrité et la confidentialité des actifs de TIC, des actifs informationnels et des dispositifs de contrôle de l’accès physique de l’entité financière grâce à une maintenance appropriée;

e)

des mesures visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, notamment:

i)

une politique du bureau propre pour les documents;

ii)

une politique de l’écran vide pour les installations de traitement de l’information.

Aux fins du point b), les mesures de protection contre les menaces et dangers environnementaux sont proportionnées à l’importance des locaux, des centres de données, des zones sensibles désignées et à la criticité des opérations ou des systèmes de TIC qui y sont situés.

Aux fins du point c), la politique de sécurité physique et environnementale visée au paragraphe 1 comporte des mesures visant à assurer une protection appropriée des actifs de TIC laissés sans surveillance.