Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.3. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 2 – Éléments généraux des politiques, procédures, protocoles et outils de sécurité des TIC ⬅️ | ➡️ Article 4 – Politique de gestion des actifs de TIC
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.15
Article 3 - Gestion du risque lié aux TIC
Les entités financières élaborent, documentent et mettent en œuvre des politiques et procédures de gestion du risque lié aux TIC qui contiennent l’ensemble des éléments suivants:
a)
l’indication de l’approbation du niveau de tolérance au risque lié aux TIC déterminé conformément à l’2554;
b)
une procédure et une méthode d’évaluation du risque lié aux TIC, précisant:
i)
les vulnérabilités et les menaces qui affectent ou peuvent affecter les fonctions opérationnelles soutenues et les systèmes de TIC et actifs de TIC qui les soutiennent;
ii)
les indicateurs quantitatifs ou qualitatifs à utiliser pour mesurer l’incidence et la probabilité des vulnérabilités et des menaces visées au point i);
c)
la procédure de détermination, de mise en œuvre et de documentation des mesures de traitement du risque lié aux TIC pour les risques liés aux TIC qui ont été identifiés et évalués, y compris la définition des mesures de traitement du risque lié aux TIC nécessaires pour ramener ce risque dans les limites du niveau de tolérance au risque visé au point a);
d)
pour les risques résiduels liés aux TIC qui sont toujours présents à l’issue de la mise en œuvre des mesures de traitement du risque lié aux TIC visées au point c):
i)
des dispositions relatives à l’identification de ces risques résiduels liés aux TIC;
ii)
l’attribution des rôles et des responsabilités concernant:
1)
l’acceptation des risques résiduels liés aux TIC qui dépassent le niveau de tolérance au risque de l’entité financière visé au point a);
2)
le processus de réexamen visé au point iv) du présent point d);
iii)
l’établissement d’un inventaire des risques résiduels liés aux TIC qui ont été acceptés, accompagné d’une justification de leur acceptation;
iv)
des dispositions relatives au réexamen, au moins une fois par an, des risques résiduels liés aux TIC qui ont été acceptés, comprenant:
1)
l’indication de tout changement dans les risques résiduels liés aux TIC;
2)
l’évaluation des mesures d’atténuation disponibles;
3)
une évaluation indiquant si les raisons justifiant l’acceptation des risques résiduels liés aux TIC sont toujours valables et applicables à la date du réexamen;
e)
des dispositions qui prévoient le suivi:
i)
de tout changement dans l’éventail des risques liés aux TIC et des cybermenaces;
ii)
des vulnérabilités et menaces internes et externes;
iii)
du risque lié aux TIC de l’entité financière, et qui permettent de détecter rapidement les changements susceptibles d’avoir une incidence sur son profil de risque lié aux TIC;
f)
des dispositions relatives à un processus garantissant la prise en compte de toute modification de la stratégie commerciale et de la stratégie de résilience opérationnelle numérique de l’entité financière.
La procédure visée au point c) du premier alinéa garantit, aux fins dudit point:
a)
le suivi de l’efficacité des mesures de traitement du risque lié aux TIC qui sont mises en œuvre;
b)
une évaluation indiquant si les niveaux de tolérance au risque établis pour l’entité financière ont été atteints;
c)
une évaluation indiquant si l’entité financière a pris, si nécessaire, des mesures pour corriger ou améliorer ces mesures.