Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.31. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 30 – Classification des actifs informationnels et des actifs de TIC ⬅️ | ➡️ Article 32 – Sécurité physique et environnementale
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.16
Article 31 - Gestion du risque lié aux TIC
1.
Les entités financières visées à l’2554 incluent dans leur cadre simplifié de gestion du risque lié aux TIC l’ensemble des éléments suivants:
a)
une détermination des niveaux de tolérance au risque lié aux TIC, en fonction de l’appétit pour le risque de l’entité financière;
b)
l’identification et l’évaluation des risques liés aux TIC auxquels l’entité financière est exposée;
c)
la définition de stratégies d’atténuation, au moins pour les risques liés aux TIC qui dépassent les niveaux de tolérance au risque de l’entité financière;
d)
le suivi de l’efficacité des stratégies d’atténuation visées au point c);
e)
l’identification et l’évaluation de tout risque lié aux TIC ou en matière de sécurité de l’information résultant de tout changement majeur dans les systèmes de TIC ou les services TIC, les processus ou les procédures, ou révélé par les résultats des tests de sécurité des TIC ou après tout incident majeur lié aux TIC.
2.
Les entités financières visées au paragraphe 1 effectuent et documentent périodiquement l’évaluation du risque lié aux TIC, de façon proportionnée à leur profil de risque lié aux TIC.
3.
Les entités financières visées au paragraphe 1 surveillent en permanence les menaces et les vulnérabilités qui concernent leurs fonctions critiques ou importantes, ainsi que les actifs informationnels et les actifs de TIC, et réexaminent régulièrement les scénarios de risque ayant une incidence sur ces fonctions critiques ou importantes.
4.
Les entités financières visées au paragraphe 1 définissent des seuils d’alerte et des critères de déclenchement et de lancement des processus de réponse en cas d’incident lié aux TIC.