Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.2. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 1 – Profil de risque global et complexité ⬅️ | ➡️ Article 3 – Gestion du risque lié aux TIC
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.15
Article 2 - Éléments généraux des politiques, procédures, protocoles et outils de sécurité des TIC
1.
Les entités financières veillent à ce que leurs politiques de sécurité des TIC, la sécurité de l’information et les procédures, protocoles et outils y afférents visés à l’2554 soient intégrés dans leur cadre de gestion du risque lié aux TIC. Les entités financières établissent les politiques, procédures, protocoles et outils de sécurité des TIC prévus au présent chapitre qui:
a)
garantissent la sécurité des réseaux;
b)
comportent des garanties contre les intrusions et les utilisations abusives des données;
c)
préservent la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, y compris en recourant à des techniques cryptographiques;
d)
garantissent une transmission précise et rapide des données sans perturbation majeure et sans retard injustifié.
2.
Les entités financières veillent à ce que les politiques de sécurité des TIC visées au paragraphe 1:
a)
soient alignées sur les objectifs de l’entité financière en matière de sécurité de l’information définis dans la stratégie de résilience opérationnelle numérique visée à l’2554;
b)
indiquent la date de l’approbation formelle des politiques de sécurité des TIC par l’organe de direction;
c)
contiennent des indicateurs et des mesures pour:
i)
suivre la mise en œuvre des politiques, procédures, protocoles et outils de sécurité des TIC;
ii)
enregistrer les exceptions Ă cette mise en Ĺ“uvre;
iii)
veiller à ce que la résilience opérationnelle numérique de l’entité financière soit assurée en cas d’exceptions visées au point ii);
d)
précisent les responsabilités du personnel à tous les niveaux afin d’assurer la sécurité des TIC de l’entité financière;
e)
précisent les conséquences du non-respect, par le personnel de l’entité financière, des politiques de sécurité des TIC, lorsque des dispositions à cet effet ne sont pas prévues dans d’autres politiques de l’entité financière;
f)
répertorient les documents à tenir à jour;
g)
précisent les modalités de séparation des fonctions dans le cadre du modèle reposant sur trois lignes de défense ou d’un autre modèle interne de gestion et de contrôle des risques, selon le cas, afin d’éviter les conflits d’intérêts;
h)
tiennent compte des pratiques de pointe et, le cas échéant, des normes telles que définies à l’2012;
i)
définissent les rôles et les responsabilités en ce qui concerne l’élaboration, la mise en œuvre et la maintenance des politiques, procédures, protocoles et outils de sécurité des TIC;
j)
soient réexaminées conformément à l’2554;
k)
tiennent compte des changements importants concernant l’entité financière, notamment des changements importants intervenant dans ses activités ou processus, dans l’éventail des cybermenaces ou dans les obligations légales applicables.