Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2025R0305_EN.9. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 8 – Informations sur les actionnaires ou associés détenteurs d’une participation qualifiée ⬅️ | ➡️ Article 10 – Ségrégation et garde des crypto-actifs et des fonds des clients
Références LVL1 <=> LVL2
Level 1 reference(s): 2023R1114_FR.62 > 5
Article 9 - Systèmes de TIC et dispositifs de sécurité correspondants
Aux fins de l’1114, les demandeurs fournissent à l’autorité compétente les informations suivantes:
a)
la documentation technique des systèmes de TIC, l’infrastructure DLT utilisée, le cas échéant, et les dispositifs de sécurité, y compris une description des dispositifs mis en place et des ressources humaines et ressources TIC déployées pour se conformer au règlement (UE) 2022/2554 du Parlement européen et du Conseil
, comme suit:
i)
une description de la manière dont le demandeur garantit un cadre de gestion des risques lié aux TIC solide, complet et bien documenté, faisant partie de son système global de gestion des risques, y compris une description détaillée des systèmes, protocoles et outils de TIC et de la manière dont les procédures, politiques et systèmes du demandeur visant à préserver la sécurité, l’intégrité, la disponibilité, l’authenticité et la confidentialité des données se conforment aux règlements (UE) 2022/2554 et (UE) 2016/679;
ii)
l’identification des services TIC soutenant des fonctions critiques ou importantes développés ou maintenus par le demandeur et des services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires de services tiers, et la description des accords contractuels concernés (identité et localisation géographique des prestataires, description des activités ou services TIC externalisés et de leurs principales caractéristiques, copie des accords contractuels) et de la manière dont ces accords se conforment à l’1114 et au chapitre V du règlement (UE) 2022/2554;
iii)
une description des procédures, politiques, dispositifs et systèmes du demandeur en matière de sécurité et de gestion des incidents;
b)
le cas échéant, la description d’un audit de cybersécurité, réalisé par un auditeur en cybersécurité tiers doté d’une expérience suffisante, conformément au règlement délégué de la Commission définissant des normes techniques adopté en application de l’article 26, paragraphe 11, quatrième alinéa, du règlement (UE) 2022/2554, et incluant idéalement les audits ou tests suivants:
i)
dispositions relatives à la cybersécurité organisationnelle, à la sécurité physique et au cycle de vie du développement de logiciels sécurisés;
ii)
évaluations et analyses de la vulnérabilité et évaluations de la sécurité des réseaux;
iii)
examens de la configuration des actifs de TIC soutenant des fonctions critiques et importantes, telles qu’elles sont définies à l’2554;
iv)
tests d’intrusion, au sens de l’2554, effectués sur les actifs de TIC soutenant des fonctions critiques et importantes suivant toutes les méthodes de test d’audit suivantes:
1)
audit en boîte noire: l’auditeur ne dispose d’aucune information autre que les adresses IP et URL associées à la cible de l’audit. Cette phase est généralement précédée de la découverte d’informations et de l’identification de la cible, effectuées en interrogeant les services du système de noms de domaine (DNS), en scannant les ports ouverts, en détectant la présence d’équipements de filtrage, etc.;
2)
audit en boîte grise: les auditeurs disposent des connaissances d’un utilisateur standard du système d’information (authentification légitime, poste de travail «standard», etc.). Les identifiants peuvent appartenir à différents profils d’utilisateur, afin de tester différents niveaux de privilège;
3)
audit en boîte blanche: les auditeurs reçoivent le plus d’informations techniques possible (architecture, code source, contacts téléphoniques, identifiants, etc.) avant de lancer l’analyse et ont également accès aux contacts techniques liés à la cible;
v)
lorsque le demandeur utilise et/ou développe des contrats intelligents, un examen du code source de ces contrats du point de vue de la cybersécurité;
c)
une description des audits réalisés sur les systèmes de TIC, le cas échéant, y compris sur l’infrastructure DLT et les dispositifs de sécurité utilisés;
d)
une description, dans un langage non technique, des informations pertinentes visées aux points a) et b).