Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.33. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 32 – Sécurité physique et environnementale ⬅️ | ➡️ Article 34 – Sécurité des opérations de TIC
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.16
Article 33 - Contrôle d’accès
Les entités financières visées à l’2554 élaborent, documentent et mettent en œuvre des procédures de contrôle des accès logiques et physiques, et appliquent, contrôlent et réexaminent périodiquement ces procédures. Ces procédures comportent les éléments suivants de contrôle des accès logiques et physiques:
a)
les droits d’accès aux actifs informationnels, aux actifs de TIC et aux fonctions que ces actifs soutiennent, ainsi qu’aux sites critiques d’exploitation de l’entité financière, sont gérés selon les principes du besoin d’en connaître, du besoin d’en disposer et du droit d’accès minimal, y compris pour l’accès à distance et l’accès d’urgence;
b)
la responsabilité des utilisateurs, qui garantit que les utilisateurs peuvent être identifiés pour les actions effectuées dans les systèmes de TIC;
c)
les procédures de gestion des comptes permettant d’accorder, de modifier ou de révoquer des droits d’accès pour les comptes d’utilisateurs et les comptes génériques, y compris les comptes génériques d’administrateur;
d)
des méthodes d’authentification proportionnées à la classification visée à l’article 30, paragraphe 1, et au profil de risque global des actifs de TIC, et reposant sur les pratiques de pointe;
e)
les droits d’accès sont réexaminés périodiquement et retirés lorsqu’ils ne sont plus nécessaires.
Aux fins du point c), l’entité financière attribue des accès privilégiés, d’urgence et d’administrateur uniquement sur la base du besoin d’en disposer ou au cas par cas pour tous les systèmes de TIC. Ces accès sont journalisés conformément à l’article 34, premier alinéa, point f).
Aux fins du point d), les entités financières utilisent des méthodes d’authentification forte reposant sur les pratiques de pointe pour l’accès à distance à leurs réseaux, pour tout accès privilégié et pour l’accès aux actifs de TIC soutenant des fonctions critiques ou importantes qui sont accessibles au public.