Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.27. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 26 – Plans de réponse et de rétablissement des TIC ⬅️ | ➡️ Article 28 – Gouvernance et organisation
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.15
Article 27 - Format et contenu du rapport sur le réexamen du cadre de gestion du risque lié aux TIC
1.
Les entités financières présentent le rapport sur le réexamen du cadre de gestion du risque lié aux TIC visé à l’2554 dans un format électronique interrogeable.
2.
Les entités financières incluent l’ensemble des informations suivantes dans le rapport visé au paragraphe 1:
a)
une partie introductive qui:
i)
identifie clairement l’entité financière faisant l’objet du rapport et décrit sa structure de groupe, le cas échéant;
ii)
décrit le contexte du rapport en ce qui concerne la nature, l’échelle et la complexité des services, activités et opérations de l’entité financière, son organisation, ses fonctions critiques recensées, sa stratégie, ses grands projets ou activités en cours, ses relations et sa dépendance à l’égard de services et systèmes de TIC internes ou sous-traités, ou les conséquences qu’une perte totale ou une dégradation grave de ces systèmes engendrerait en ce qui concerne les fonctions critiques ou importantes et l’efficience du marché;
iii)
résume les changements majeurs dont le cadre de gestion du risque lié aux TIC a fait l’objet depuis le rapport précédent;
iv)
présente une synthèse du profil de risque lié aux TIC actuel et à court terme, due l’éventail des menaces, de l’évaluation de l’efficacité de ses contrôles et de la posture de sécurité de l’entité financière;
b)
la date d’approbation du rapport par l’organe de direction de l’entité financière;
c)
une description de la raison du réexamen du cadre de gestion du risque lié aux TIC engagé conformément à l’2554;
d)
les dates de début et de fin de la période examinée;
e)
l’indication de la fonction responsable du réexamen;
f)
une description des principales modifications et améliorations dont le cadre de gestion du risque lié aux TIC a fait l’objet depuis le réexamen précédent;
g)
un résumé des conclusions du réexamen ainsi qu’une analyse et une évaluation détaillées de la gravité des faiblesses, des défaillances et des lacunes du cadre de gestion du risque lié aux TIC au cours de la période examinée;
h)
une description des mesures prises face aux faiblesses, défaillances et lacunes constatées, comprenant l’ensemble des éléments suivants:
i)
un résumé des mesures prises pour remédier aux faiblesses, défaillances et lacunes constatées;
ii)
une date prévue pour la mise en œuvre des mesures et des dates relatives au contrôle interne de la mise en œuvre, y compris des informations sur l’état d’avancement de la mise en œuvre de ces mesures à la date de rédaction du rapport, en expliquant, le cas échéant, s’il existe un risque que les délais ne soient pas respectés;
iii)
les outils à utiliser et l’identification de la fonction responsable de l’exécution des mesures, en précisant si les outils et les fonctions sont internes ou externes;
iv)
une description de l’incidence des modifications envisagées dans les mesures sur les ressources budgétaires, humaines et matérielles de l’entité financière, y compris sur les ressources consacrées à la mise en œuvre de toute mesure corrective;
v)
des informations sur le processus d’information de l’autorité compétente, le cas échéant;
vi)
lorsque les faiblesses, défaillances ou lacunes recensées ne font pas l’objet de mesures correctives, une explication détaillée des critères appliqués pour analyser leur incidence et évaluer le risque résiduel lié aux TIC qui leur est associé, ainsi que des critères appliqués pour accepter ce risque résiduel;
i)
des informations sur les nouvelles évolutions prévues du cadre de gestion du risque lié aux TIC;
j)
les conclusions résultant du réexamen du cadre de gestion du risque lié aux TIC;
k)
des informations sur les réexamens antérieurs, comprenant:
i)
une liste des réexamens antérieurs;
ii)
le cas échéant, un état d’avancement de la mise en œuvre des mesures correctives déterminées dans le dernier rapport;
iii)
lorsque les mesures correctives proposées lors des réexamens précédents se sont révélées inefficaces ou ont créé des difficultés inattendues, une description de la manière dont ces mesures correctives pourraient être améliorées ou de ces difficultés imprévues;
l)
les sources d’information utilisées pour l’élaboration du rapport, y compris l’ensemble des éléments suivants:
i)
pour les entités financières, autres que les microentreprises, visées à l’2554, les résultats des audits internes;
ii)
les résultats des évaluations de la conformité;
iii)
les résultats des tests de résilience opérationnelle numérique et, le cas échéant, les résultats des tests avancés des outils de TIC, des systèmes de TIC et des processus de TIC sur la base de tests de pénétration fondés sur la menace;
iv)
les sources externes.
Aux fins du point c), lorsque le réexamen a été engagé à la suite d’instructions des autorités de surveillance ou à la suite des conclusions tirées des tests de résilience opérationnelle numérique ou des processus d’audit pertinents, le rapport contient des références explicites à ces instructions ou conclusions, permettant d’identifier la raison du réexamen. Lorsque le réexamen a été engagé à la suite d’incidents liés aux TIC, le rapport contient la liste de tous les incidents liés aux TIC accompagnée d’une analyse de la cause originelle des incidents.
Aux fins du point f), la description contient une analyse de l’incidence des modifications sur la stratégie de résilience opérationnelle numérique de l’entité financière, sur le cadre de contrôle interne des TIC de l’entité financière et sur la gouvernance de la gestion du risque lié aux TIC de l’entité financière.