Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.26. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 25 – Tests des plans de continuité des activités de TIC ⬅️ | ➡️ Article 27 – Format et contenu du rapport sur le réexamen du cadre de gestion du risque lié aux TIC
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.15
Article 26 - Plans de réponse et de rétablissement des TIC
1.
Lorsqu’elles élaborent les plans de réponse et de rétablissement des TIC visés à l’2554, les entités financières tiennent compte des résultats de l’analyse des incidences sur les activités de l’entité financière. Ces plans de réponse et de rétablissement des TIC:
a)
définissent les conditions qui déclenchent leur activation ou désactivation, ainsi que toute exception à cette activation ou désactivation;
b)
décrivent les mesures à prendre pour garantir la disponibilité, l’intégrité, la continuité et le rétablissement au moins des systèmes et services TIC qui soutiennent des fonctions critiques ou importantes de l’entité financière;
c)
sont conçus pour atteindre les objectifs de rétablissement des opérations des entités financières;
d)
sont documentés et mis à la disposition du personnel participant à l’exécution des plans de réponse et de rétablissement des TIC et sont facilement accessibles en cas d’urgence;
e)
prévoient des options de rétablissement à court et à long terme, y compris de rétablissement partiel des systèmes;
f)
définissent les objectifs des plans de réponse et de rétablissement des TIC et les conditions permettant de déclarer que ces plans ont été exécutés avec succès.
Aux fins du point d), les entités financières précisent clairement les rôles et responsabilités.
2.
Les plans de réponse et de rétablissement des TIC visés au paragraphe 1 recensent les scénarios pertinents, y compris les scénarios de graves perturbations des activités et de probabilité accrue de survenance d’une perturbation. Ces plans établissent des scénarios fondés sur les informations actuelles sur les menaces et sur les enseignements tirés des perturbations des activités survenues antérieurement. Les entités financières tiennent dûment compte de tous les scénarios suivants:
a)
des cyberattaques et des basculements entre l’infrastructure de TIC principale et la capacité redondante, les sauvegardes et les installations redondantes;
b)
les scénarios dans lesquels la qualité de l’exécution d’une fonction critique ou importante se détériore à un niveau inacceptable, en prenant alors dûment en considération les incidences potentielles de l’insolvabilité ou d’autres défaillances de tout prestataire tiers de services TIC concerné;
c)
la défaillance partielle ou totale des locaux, notamment des locaux de bureau et des locaux commerciaux, et des centres de données;
d)
une défaillance substantielle des actifs de TIC ou de l’infrastructure de communication;
e)
l’indisponibilité d’un nombre critique de membres du personnel ou de personnes chargées de garantir la continuité des opérations;
f)
les incidences des événements liés au changement climatique et à la dégradation de l’environnement, des catastrophes naturelles, des pandémies et des attaques physiques, y compris des intrusions et des attentats terroristes;
g)
les attaques internes;
h)
l’instabilité politique et sociale, y compris, le cas échéant, dans la juridiction du prestataire tiers de services TIC et à l’endroit où les données sont stockées et traitées;
i)
les coupures de courant Ă une grande Ă©chelle.
3.
Lorsque les mesures de rétablissement primaires sont susceptibles de ne pas être réalisables à court terme en raison des coûts, des risques, de problèmes logistiques ou de circonstances imprévues, les plans de réponse et de rétablissement des TIC visés au paragraphe 1 envisagent d’autres options.
4.
Dans le cadre des plans de réponse et de rétablissement des TIC visés au paragraphe 1, les entités financières étudient et mettent en œuvre des mesures de continuité pour atténuer les conséquences des défaillances des prestataires tiers de services TIC qui fournissent des services TIC à l’appui de fonctions critiques ou importantes de l’entité financière.