Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.6. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 5 – Procédure de gestion des actifs de TIC ⬅️ | ➡️ Article 7 – Gestion des clés cryptographiques
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.15
Article 6 - Chiffrement et contrôles cryptographiques
1.
Dans le cadre de leurs politiques, procédures, protocoles et outils de sécurité de TIC visés à l’2554, les entités financières élaborent, documentent et mettent en œuvre une politique en matière de chiffrement et de contrôles cryptographiques.
2.
Les entités financières conçoivent la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 sur la base des résultats d’une classification des données approuvée et de l’évaluation du risque lié aux TIC. Cette politique contient des règles pour tous les éléments suivants:
a)
le chiffrement des données au repos et en transit;
b)
le chiffrement des données en cours d’utilisation, si nécessaire;
c)
le chiffrement des connexions internes au réseau et du trafic avec des tiers;
d)
la gestion des clés cryptographiques visée à l’article 7, y compris des règles relatives à la bonne utilisation, à la protection et au cycle de vie des clés cryptographiques.
Aux fins du point b), lorsque le chiffrement des données en cours d’utilisation n’est pas possible, les entités financières traitent ces données dans un environnement séparé et protégé, ou prennent des mesures équivalentes pour garantir la confidentialité, l’intégrité, l’authenticité et la disponibilité des données.
3.
Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 des critères de sélection des techniques cryptographiques et des pratiques d’utilisation, tenant compte des pratiques de pointe, ainsi que des normes définies à l’2012, et de la classification des actifs de TIC concernés effectuée conformément à l’2554. Les entités financières qui ne sont pas en mesure d’appliquer les pratiques de pointe ou les normes, ou d’utiliser les techniques les plus fiables, adoptent des mesures d’atténuation et de suivi qui garantissent la résilience face aux cybermenaces.
4.
Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 des dispositions relatives à la mise à jour ou à la modification, si nécessaire, de la technologie cryptographique, en fonction de l’évolution de la cryptanalyse. Ces mises à jour ou modifications garantissent que la technologie cryptographique reste résiliente face aux cybermenaces, comme l’exige l’article 10, paragraphe 2, point a). Les entités financières qui ne sont pas en mesure de mettre à jour ou de modifier la technologie cryptographique adoptent des mesures d’atténuation et de suivi qui garantissent la résilience face aux cybermenaces.
5.
Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 l’obligation d’enregistrer l’adoption des mesures d’atténuation et de suivi adoptées conformément aux paragraphes 3 et 4 et de fournir une explication motivée des raisons pour lesquelles elles procèdent ainsi.