Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2025R0303_EN.4. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 3 – Détection et prévention du blanchiment de capitaux et du financement du terrorisme ⬅️ | ➡️ Article 5 – Ségrégation et garde des crypto-actifs et des fonds des clients
Références LVL1 <=> LVL2
Level 1 reference(s): 2023R1114_FR.60 > 13
Article 4 - Systèmes de TIC et dispositifs de sécurité correspondants
Aux fins de l’1114, l’entité à l’origine de la notification fournit à l’autorité compétente les informations suivantes:
a)
la documentation technique des systèmes de TIC, l’infrastructure DLT utilisée, le cas échéant, et les dispositifs de sécurité, y compris une description des dispositifs mis en place et des ressources humaines et ressources TIC déployées pour se conformer au règlement (UE) 2022/2554 du Parlement européen et du Conseil
, comprenant les éléments suivants:
i)
une description de la manière dont l’entité à l’origine de la notification garantit un cadre de gestion des risques liés aux TIC solide, complet et bien documenté, faisant partie de son système global de gestion des risques, y compris une description détaillée des systèmes, protocoles et outils de TIC et de la manière dont les procédures, politiques et systèmes de ladite entité préserveront la sécurité, l’intégrité, la disponibilité, l’authenticité et la confidentialité des données, conformément aux règlements (UE) 2022/2554 et (UE) 2016/679;
ii)
l’identification des services TIC soutenant des fonctions critiques ou importantes développés ou maintenus par l’entité à l’origine de la notification, ainsi que de ceux fournis par des prestataires de services tiers, la description des accords contractuels concernés et de la manière dont ils se conforment à l’1114 et au chapitre V du règlement (UE) 2022/2554;
iii)
une description des procédures, politiques, dispositifs et systèmes de l’entité à l’origine de la notification en matière de sécurité et de gestion des incidents;
b)
le cas échéant, la description d’un audit de cybersécurité, réalisé par un auditeur en cybersécurité tiers doté d’une expérience suffisante, conformément au règlement délégué de la Commission définissant des normes techniques en application de l’article 26, paragraphe 11, quatrième alinéa, du règlement (UE) 2022/2554, et incluant idéalement les audits ou tests suivants par des tiers indépendants:
i)
dispositions relatives à la cybersécurité organisationnelle, à la sécurité physique et au cycle de vie du développement de logiciels sécurisés;
ii)
évaluations de la vulnérabilité et évaluations de la sécurité des réseaux;
iii)
examens de la configuration des actifs de TIC soutenant des fonctions critiques et importantes, telles qu’elles sont définies à l’2554;
iv)
tests d’intrusion, au sens de l’2554, effectués sur les actifs de TIC soutenant des fonctions critiques et importantes suivant toutes les méthodes de test d’audit suivantes:
1)
audit en boîte noire: l’auditeur ne dispose d’aucune information autre que les adresses IP et URL associées à la cible de l’audit. Cette phase est généralement précédée de la découverte d’informations et de l’identification de la cible, effectuées en interrogeant les services de systèmes de noms de domaine (DNS), en scannant les ports ouverts, en détectant la présence d’équipements de filtrage;
2)
audit en boîte grise: les auditeurs disposent des connaissances d’un utilisateur standard du système d’information (authentification légitime, poste de travail «standard»). Les identifiants peuvent appartenir à différents profils d’utilisateur, afin de tester différents niveaux de privilège;
3)
audit en boîte blanche: les auditeurs reçoivent le plus d’informations techniques possible (architecture, code source, contacts téléphoniques, identifiants, etc.) avant de lancer l’analyse et ont également accès aux contacts techniques liés à la cible;
v)
lorsque l’entité à l’origine de la notification utilise et/ou développe des contrats intelligents, un examen du code source de ces contrats du point de vue de la cybersécurité;
c)
une description des audits réalisés sur les systèmes de TIC, le cas échéant, y compris sur l’infrastructure DLT et les dispositifs de sécurité utilisés;
d)
une description, dans un langage non technique, des informations pertinentes visées aux points a) et b).