Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.23. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 22 – Politique de gestion des incidents liés aux TIC ⬅️ | ➡️ Article 24 – Composantes de la politique de continuité des activités de TIC
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.15
Article 23 - Détection des activités anormales et critères pour la détection des incidents liés aux TIC et la réponse à ces incidents
1.
Les entités financières définissent clairement les rôles et les responsabilités pour ce qui est de détecter efficacement les incidents liés aux TIC et les activités anormales et d’y répondre.
2.
Le mécanisme permettant de détecter rapidement les activités anormales, y compris les problèmes de performance des réseaux de TIC et les incidents liés aux TIC, visé à l’2554, permet aux entités financières:
a)
de collecter, suivre et analyser l’ensemble des éléments suivants:
i)
les facteurs internes et externes, y compris au moins les journaux collectés conformément à l’article 12 du présent règlement, les informations provenant des fonctions «métiers» et des fonctions TIC, et tout problème signalé par les utilisateurs de l’entité financière;
ii)
les cybermenaces potentielles internes et externes, en tenant compte des scénarios couramment utilisés par les acteurs de la menace et des scénarios fondés sur les activités de renseignement sur les menaces;
iii)
les notifications, par un prestataire tiers de services TIC de l’entité financière, d’incidents liés aux TIC détectés dans les systèmes et réseaux de TIC du prestataire tiers de services TIC et susceptibles d’affecter l’entité financière;
b)
d’identifier les activités et les comportements anormaux et de mettre en œuvre des outils générant des alertes pour les activités et comportements anormaux, au moins pour les actifs de TIC et les actifs informationnels qui soutiennent des fonctions critiques ou importantes;
c)
de hiérarchiser les alertes visées au point b) afin de permettre que les incidents liés aux TIC détectés soient gérés dans le délai de résolution prévu, tel que spécifié par les entités financières, tant pendant les heures de travail qu’en dehors de celles-ci;
d)
d’enregistrer, analyser et évaluer, automatiquement ou manuellement, toutes les informations pertinentes sur l’ensemble des activités et comportements anormaux.
Aux fins du point b), les outils visés audit point comprennent des outils qui fournissent des alertes automatisées selon des règles prédéfinies afin de détecter les anomalies affectant l’exhaustivité et l’intégrité des sources de données ou de la collecte de journaux.
3.
Les entités financières protègent tout enregistrement d’activités anormales contre toute falsification et tout accès non autorisé au repos, en transit et, le cas échéant, en cours d’utilisation.
4.
Les entités financières journalisent, pour chaque activité anormale détectée, toutes les informations pertinentes permettant:
a)
de déterminer la date et l’heure de survenance de l’activité anormale;
b)
de déterminer la date et l’heure de détection de l’activité anormale;
c)
de déterminer le type d’activité anormale.
5.
Pour déclencher les processus de détection des incidents liés aux TIC et de réponse à ces incidents visés à l’2554, les entités financières tiennent compte de l’ensemble des critères suivants:
a)
des éléments indiquant qu’une activité malveillante est susceptible d’avoir été menée dans un système ou un réseau de TIC, ou que ce système ou réseau de TIC est susceptible d’avoir été compromis;
b)
des pertes de données détectées en lien avec la disponibilité, l’authenticité, l’intégrité et la confidentialité des données;
c)
une incidence négative détectée sur les transactions et opérations de l’entité financière;
d)
l’indisponibilité des systèmes et réseaux de TIC.
6.
Aux fins du paragraphe 5, les entités financières tiennent également compte de la criticité des services affectés.