Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.34. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 33 – Contrôle d’accès ⬅️ | ➡️ Article 35 – Sécurité des données, des systèmes et des réseaux
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.16
Article 34 - Sécurité des opérations de TIC
Dans le cadre de leurs systèmes, protocoles et outils, et pour tous les actifs de TIC, les entités financières visées à l’2554:
a)
suivent et gèrent le cycle de vie de tous les actifs de TIC;
b)
surveillent si les actifs de TIC sont pris en charge par des prestataires tiers de services TIC des entités financières, le cas échéant;
c)
définissent les besoins en capacités de leurs actifs de TIC et les mesures visant à maintenir et à améliorer la disponibilité et l’efficacité des systèmes de TIC et à prévenir les déficits de capacités en matière de TIC avant qu’ils ne se concrétisent;
d)
effectuent des scans et évaluations automatisés des vulnérabilités des actifs de TIC de façon proportionnée à leur classification visée à l’article 30, paragraphe 1, et au profil de risque global de l’actif de TIC, et déploient des correctifs pour remédier aux vulnérabilités identifiées;
e)
gèrent les risques liés aux actifs de TIC obsolètes, non pris en charge ou hérités;
f)
journalisent les événements liés au contrôle des accès logiques et physiques, aux opérations de TIC, y compris aux activités liées aux systèmes et au trafic réseau, et à la gestion des changements dans les TIC;
g)
définissent et mettent en œuvre des mesures de suivi et d’analyse des informations sur les activités et comportements anormaux pour les opérations de TIC critiques ou importantes;
h)
mettent en œuvre des mesures de suivi des informations pertinentes et actualisées sur les cybermenaces;
i)
mettent en œuvre des mesures visant à détecter les éventuelles fuites d’informations, les codes malveillants et les autres menaces pour la sécurité, ainsi que les vulnérabilités de notoriété publique dans les logiciels et le matériel, et vérifient la disponibilité de nouvelles mises à jour de sécurité correspondantes.
Aux fins du point f), les entités financières adaptent le niveau de détail des journaux en fonction de leur finalité et de leur utilisation des actifs de TIC produisant ces journaux.