Chapitre 3 - Orientations sur la gestion des risques liés aux

Chapitre 3. Orientations sur la gestion des risques liés aux TIC et à la sécurité

1. Tous les établissements financiers devraient respecter les dispositions stipulées dans les présentes orientations d’une façon qui, d’une part, soit proportionnée à la taille et à l’organisation interne des établissements financiers, à la nature, la portée et la complexité des produits et services que ces établissements fournissent ou comptent fournir et au risque qu’ils présentent, et qui, d’autre part, tienne compte de ces facteurs.

3.2. Gouvernance et stratégie

2. L’organe de direction devrait veiller à ce que les établissements financiers disposent d’un cadre de gouvernance interne et de contrôle interne adéquat compte tenu de leurs risques liés aux TIC et à la sécurité. L’organe de direction devrait définir des rôles et responsabilités clairs pour les fonctions de TIC, la gestion des risques liés à la sécurité de l’information et la continuité des activités, y compris ceux de l’organe de direction et de ses comités.

3. L’organe de direction devrait veiller à ce que les établissements financiers disposent d’un nombre d’employés suffisant, aux compétences adéquates, pour répondre à leurs besoins opérationnels en termes de TIC et soutenir leurs processus de gestion des risques liés aux TIC et à la sécurité, en continu, ainsi que pour assurer la mise en œuvre de leur stratégie en matière de TIC. L’organe de direction devrait veiller à ce que le budget alloué soit suffisant pour répondre aux besoins susmentionnés. En outre, les établissements financiers devraient veiller à ce que tous les membres du personnel, y compris les titulaires de fonctions clés, reçoivent une formation appropriée consacrée aux risques liés aux TIC et à la sécurité, portant notamment sur la sécurité de l’information, une fois par an ou plus fréquemment si nécessaire (voir également la section 3.4.7).

3 Définition provenant de l’article 3, point 21), du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 (« règlement DORA »)

telle que modifiée par les circulaires CSSF 22/828 et CSSF 25/881 4. L’organe de direction a la responsabilité globale de la définition, de l’approbation et de la supervision de la mise en œuvre de la stratégie des établissements financiers en matière de TIC, dans le cadre de leur stratégie générale, ainsi que de la mise en œuvre d’un cadre de gestion des risques efficace pour les risques liés aux TIC et à la sécurité.

5. La stratégie en matière de TIC devrait être alignée sur la stratégie générale des établissements financiers, et devrait définir :

a. la façon dont les TIC des établissements financiers devraient évoluer pour soutenir la stratégie et y participer, s’agissant notamment de l’évolution de la structure organisationnelle, des changements apportés au système de TIC et des principales dépendances à l’égard de tiers ; b. la stratégie et l’évolution de l’architecture des TIC qu’il est prévu de mettre en œuvre, y compris pour les dépendances à l’égard de tiers ; c. des objectifs clairs en matière de sécurité de l’information, donnant la priorité aux systèmes de TIC ainsi qu’aux services, au personnel et processus des TIC.

6. Les établissements financiers devraient définir des plans d’action prévoyant les mesures à prendre pour réaliser les objectifs de la stratégie en matière de TIC. Ces plans devraient être communiqués à tous les membres du personnel concernés (y compris aux contractants et aux fournisseurs tiers, le cas échéant et si cela est pertinent). Les plans d’action devraient être réexaminés périodiquement afin de veiller à ce qu’ils restent pertinents et appropriés. Les établissements financiers devraient également mettre en œuvre des processus permettant de surveiller et de mesurer l’efficacité de la mise en œuvre de leur stratégie en matière de TIC.

3.2.3. Recours à des fournisseurs tiers

7. Sans préjudice de la circulaire CSSF 22/806 relative à l’externalisation, les établissements financiers devraient assurer l’efficacité des mesures de maîtrise des risques définies dans leur cadre de gestion des risques, y compris des mesures définies dans les présentes orientations, lorsque les fonctions opérationnelles des services de paiement et/ou les services et systèmes de TIC de toute activité sont externalisés, y compris vers des entités du même groupe, ou lors du recours à des tiers.

8. Afin d’assurer la continuité des services et systèmes de TIC, les établissements financiers devraient veiller à ce que les contrats et les accords de niveau de service (dans des conditions normales ou en cas de perturbation des services – voir également la section 3.7.2) conclus avec des fournisseurs (prestataires de services d’externalisation, entités du groupe ou fournisseurs tiers) incluent les éléments suivants :

a. Objectifs et mesures appropriés et proportionnés en matière de sécurité de l’information, y compris des exigences telles qu’un niveau de cybersécurité minimal ; spécifications relatives au cycle de vie des données de l’établissement financier concerné ; exigences relatives aux processus de chiffrement des données, à la sécurité des réseaux et aux processus de surveillance de la sécurité, ainsi qu’à l’emplacement des centres de données ; b. Procédures de traitement des incidents opérationnels et liés à la sécurité, notamment pour la communication et la remontée des informations.

telle que modifiée par les circulaires CSSF 22/828 et CSSF 25/881 9. Les établissements financiers devraient surveiller le niveau de conformité de ces fournisseurs avec les objectifs, les mesures et les niveaux de performance définis par l’établissement financier concerné en matière de sécurité, et s’assurer de ce niveau de conformité.

3.3. Cadre de gestion des risques liés aux TIC et à la sécurité

3.3.1. Organisation et objectifs

10. Les établissements financiers devraient identifier et gérer leurs risques liés aux TIC et à la sécurité. La ou les fonction(s) de TIC chargée(s) des systèmes de TIC, des processus et des opérations liées à la sécurité devraient disposer des processus et des contrôles appropriés pour veiller, d’une part, à ce que tous les risques soient identifiés, analysés, mesurés, surveillés, gérés, communiqués et maintenus dans les limites de l’appétit pour le risque de l’établissement financier concerné et, d’autre part, à ce que les projets et systèmes qu’elle(s) fournit/fournissent et les activités qu’elle(s) exécute(nt) respectent les exigences externes et internes.

11. Les établissements financiers devraient attribuer la responsabilité de la gestion et de la supervision des risques liés aux TIC et à la sécurité à une fonction de contrôle. Les établissements financiers devraient assurer l’indépendance et l’objectivité de cette fonction de contrôle en la séparant de manière appropriée des processus liés aux opérations de TIC. Cette fonction de contrôle devrait rendre compte directement à l’organe de direction, et devrait être chargée de surveiller et de contrôler le respect du cadre de gestion des risques liés aux TIC et à la sécurité. Elle devrait veiller à ce que les risques liés aux TIC et à la sécurité soient identifiés, mesurés, évalués, gérés, surveillés et communiqués. Les établissements financiers devraient veiller à ce que cette fonction de contrôle ne soit responsable d’aucun audit interne.

La fonction d’audit interne devrait, selon une approche fondée sur les risques, pouvoir examiner de façon indépendante toutes les activités et unités d’un établissement financier liées aux TIC et à la sécurité, et garantir en toute objectivité qu’elles respectent les politiques et procédures de cet établissement, ainsi que les exigences externes.

12. Les établissements financiers devraient définir et attribuer les principaux rôles et responsabilités, ainsi que les lignes hiérarchiques pertinentes, pour assurer l’efficacité du cadre de gestion des risques liés aux TIC et à la sécurité. Ce cadre devrait être entièrement intégré aux processus de gestion des risques généraux des établissements financiers, et aligné sur ces processus.

13. Le cadre de gestion des risques liés aux TIC et à la sécurité devrait inclure des processus visant à:

a. déterminer l’appétit pour les risques liés aux TIC et à la sécurité, conformément à l’appétit pour le risque de l’établissement financier ; b. identifier et évaluer les risques liés aux TIC et à la sécurité auxquels un établissement financier est exposé ; c. définir des mesures de maîtrise, y compris des contrôles, permettant de maîtriser les risques liés aux TIC et à la sécurité ; d. surveiller l’efficacité de ces mesures et le nombre d’incidents communiqués, y compris, s’agissant des PSP, des incidents notifiés conformément à l’article 105-2 de la LSP concernant les activités liées aux TIC, et prendre les dispositions nécessaires pour corriger ces mesures si besoin ; e. communiquer les risques liés aux TIC et à la sécurité et les contrôles afférents à l’organe de direction ;

telle que modifiée par les circulaires CSSF 22/828 et CSSF 25/881 f. identifier et évaluer les éventuels risques liés aux TIC et à la sécurité découlant de toute modification majeure du système de TIC ou des services, processus et procédures relatifs aux TIC et/ou survenus après tout incident important lié aux opérations ou à la sécurité.

14. Les établissements financiers devraient veiller à ce que le cadre de gestion des risques liés aux TIC et à la sécurité soit documenté et amélioré en continu en fonction des enseignements tirés de sa mise en œuvre et de sa surveillance. Le cadre de gestion des risques liés aux TIC et à la sécurité devrait être approuvé et réexaminé, au moins une fois par an, par l’organe de direction.

3.3.2. Identification des fonctions, processus et actifs informationnels

15. Les établissements financiers devraient identifier, établir, tenir à jour une cartographie de leurs fonctions et métiers, et de leurs processus « supports », afin de déterminer l’importance de chacun d’entre eux et leur interdépendance avec les risques liés aux TIC et à la sécurité.

16. Les établissements financiers devraient également identifier, établir, tenir à jour une cartographie des actifs informationnels soutenant leurs fonctions « métiers » et les processus « supports » afférents, comme les systèmes de TIC, le personnel, les prestataires, les tiers et les dépendances à l’égard d’autres systèmes et processus internes ou externes, afin de pouvoir, au minimum, gérer les actifs informationnels soutenant leurs fonctions et processus « métiers » revêtant une importance critique.

3.3.3. Classification et évaluation des risques

17. Les établissements financiers devraient classifier les fonctions « métiers », processus « supports » et actifs informationnels identifiés, mentionnés aux paragraphes 15 et 16, en fonction de leur niveau de criticité.

18. Pour définir le niveau de criticité de ces fonctions « métiers », processus « supports » et actifs informationnels identifiés, les établissements financiers devraient tenir compte, au minimum, des exigences de confidentialité, d’intégrité et de disponibilité. Les actifs informationnels devraient faire l’objet d’obligations de rendre compte et de responsabilités clairement attribuées.

19. Les établissements financiers devraient examiner l’adéquation de la classification des actifs informationnels et des documents pertinents lors de toute évaluation des risques.

20. Les établissements financiers devraient identifier les risques liés aux TIC et à la sécurité ayant une incidence sur les fonctions « métiers », les processus « supports » et les actifs informationnels identifiés et classifiés, en fonction de leur niveau de criticité. L’évaluation des risques devrait être effectuée et documentée une fois par an, ou plus souvent si cela est nécessaire. Les risques devraient également être évalués lors de toute modification majeure de l’infrastructure, des processus ou des procédures ayant une incidence sur les fonctions « métiers », les processus « supports » ou les actifs informationnels, après quoi l’évaluation des risques applicable aux établissements financiers devrait être mise à jour.

21. Les établissements financiers devraient veiller à surveiller en continu les menaces et vulnérabilités relatives à leurs processus « métiers », fonctions « supports » et actifs informationnels, et devraient régulièrement réexaminer les scénarios de risque ayant une incidence en la matière.

telle que modifiée par les circulaires CSSF 22/828 et CSSF 25/881 3.3.4. Maîtrise des risques

22. Suite à l’évaluation des risques, les établissements financiers devraient déterminer les mesures à prendre pour ramener les risques liés aux TIC et à la sécurité à des niveaux acceptables et déterminer s’il est nécessaire de modifier les processus « métiers », mesures de contrôle, systèmes de TIC et services TIC existants. Un établissement financier devrait évaluer le temps requis pour mettre ces modifications en œuvre et pour prendre les mesures compensatoires appropriées pour maîtriser les risques liés aux TIC et à la sécurité, afin de rester dans les limites de l’appétit pour les risques liés aux TIC et à la sécurité de l’établissement financier concerné.

23. Les établissements financiers devraient définir et mettre en œuvre des mesures permettant de maîtriser les risques liés aux TIC et à la sécurité qui ont été identifiés et de protéger les actifs informationnels en fonction de leur classification.

24. Les établissements financiers devraient communiquer les résultats de l’évaluation des risques à l’organe de direction, clairement et en temps utile. Ce rapport est sans préjudice de l’obligation des PSP de fournir aux autorités compétentes une évaluation des risques à jour et exhaustive, comme stipulé à l’article 105-1, paragraphe 2, de la LSP.

25. La gouvernance, les systèmes et les processus d’un établissement financier dans le cadre de ses risques liés aux TIC et à la sécurité devraient être audités, de façon périodique, par des auditeurs ayant des connaissances, des compétences et une expertise suffisantes concernant ces risques et les paiements (pour les PSP), afin de fournir à l’organe de direction, en toute indépendance, l’assurance qu’ils sont efficaces. Les auditeurs devraient exercer leurs activités de façon indépendante au sein de l’établissement financier ou être indépendants de l’établissement financier. La fréquence et les priorités de ces audits devraient être proportionnées aux risques liés aux TIC et à la sécurité.

26. L’organe de direction d’un établissement financier devrait approuver le plan d’audit, y compris tout audit des TIC et toute modification majeure y afférente. Le plan d’audit et sa mise en œuvre, y compris la fréquence des audits, devraient refléter les risques liés aux TIC et à la sécurité inhérents à l’établissement financier, être proportionnés à ces risques et être mis à jour régulièrement.

27. Un processus de suivi formel, comprenant des dispositions pour la vérification et la résolution, en temps utile, des conclusions déterminantes de l’audit des TIC, devrait être établi.

3.4. Sécurité de l’information

3.4.1. Politique relative à la sécurité de l’information

28. Les établissements financiers devraient élaborer et documenter une politique relative à la sécurité de l’information qui devrait définir des règles et principes de haut niveau visant à protéger la confidentialité, l’intégrité et la disponibilité des données et informations des établissements financiers et de leurs clients. La politique relative à la sécurité de l’information

telle que modifiée par les circulaires CSSF 22/828 et CSSF 25/881 devrait correspondre aux objectifs de l’établissement financier en matière de sécurité de l’information et devrait être fondée sur les résultats pertinents du processus d’évaluation des risques. Cette politique devrait être approuvée par l’organe de direction.

29. Cette politique devrait inclure une description des principaux rôles et responsabilités en matière de gestion de la sécurité de l’information, définir les exigences applicables au personnel et aux prestataires, ainsi qu’aux processus et aux technologies, en matière de sécurité de l’information, en reconnaissant que le personnel et les prestataires, à tous les niveaux, sont responsables d’assurer la sécurité de l’information au sein des établissements financiers. La politique devrait veiller à la confidentialité, l’intégrité et la disponibilité des actifs logiques et physiques ayant une importance critique, des ressources et des données sensibles d’un établissement financier, qu’ils soient au repos, en transit ou en cours d’utilisation. La politique relative à la sécurité de l’information devrait être communiquée à tous les membres du personnel et à tous les prestataires de l’établissement financier.

30. En fonction de la politique relative à la sécurité de l’information, les établissements financiers devraient établir et mettre en œuvre des mesures de sécurité visant à maîtriser les risques liés aux TIC et à la sécurité auxquels ils sont exposés. Ces mesures devraient inclure les éléments suivants :

a. organisation et gouvernance, conformément aux paragraphes 10 et 11 ; b. sécurité logique (section 3.4.2) ; c. sécurité physique (section 3.4.3) ; d. sécurité des opérations de TIC (section 3.4.4) ; e. surveillance de la sécurité (section 3.4.5) ; f. examens, évaluations et tests de la sécurité de l’information (section 3.4.6) ; g. formation et sensibilisation en matière de sécurité de l’information (section 3.4.7).

31. Les établissements financiers devraient définir, documenter et mettre en œuvre des procédures de contrôle d’accès logique (gestion des identités et des accès). Ces procédures devraient être mises en œuvre, appliquées, surveillées et réexaminées à intervalles réguliers. Ces procédures devraient également inclure des contrôles permettant de surveiller les anomalies. Ces procédures devraient, au minimum, mettre les éléments suivants en œuvre (le terme « utilisateur » inclut les utilisateurs techniques) :

a. Principes du besoin d’en connaître, du moindre privilège et de séparation des fonctions : les établissements financiers devraient gérer les droits d’accès aux actifs informationnels et à leurs systèmes les soutenant selon le principe du « besoin d’en connaître », y compris pour l’accès à distance. Les utilisateurs devraient recevoir les droits d’accès minimum strictement requis pour exécuter leurs fonctions (principe du « moindre privilège »), c’est-à-dire pour prévenir tout accès non justifié à un large ensemble de données ou toute allocation de droits d’accès combinés pouvant servir à contourner les contrôles (principe de « séparation des fonctions »).

b. Imputabilité des utilisateurs : les établissements financiers devraient limiter l’utilisation de comptes utilisateurs génériques et partagés, dans la mesure du possible, et veiller à ce que les actions effectuées dans les systèmes de TIC puissent être attribuées aux utilisateurs concernés.

telle que modifiée par les circulaires CSSF 22/828 et CSSF 25/881 c. Droits d’accès privilégiés : les établissements financiers devraient mettre en œuvre des contrôles solides sur l’accès privilégié aux systèmes, en limitant strictement et en surveillant étroitement les comptes assortis de droits supérieurs d’accès aux systèmes (par exemple les comptes administrateur). Afin de garantir une communication sécurisée et de réduire les risques, l’accès administratif à distance à des systèmes de TIC ayant une importance critique devrait être accordé uniquement selon le principe du « besoin d’en connaître » et lorsque des mesures d’authentification forte sont appliquées.

d. Enregistrement des activités des utilisateurs : au minimum, toutes les activités des utilisateurs privilégiés devraient être enregistrées et surveillées. Les registres d’accès devraient être sécurisés afin de prévenir toute modification ou suppression non autorisée, et conservés durant une période proportionnée au niveau de criticité des fonctions « métiers », processus de soutien et actifs informationnels identifiés, conformément à la section 3.3.3, sans préjudice des exigences de conservation définies dans le droit de l’UE ou le droit national. Un établissement financier devrait utiliser ces informations pour faciliter l’identification et l’analyse d’activités anormales ayant été détectées dans la prestation de services.

e. Gestion des accès : les droits d’accès devraient être accordés, retirés ou modifiés en temps utile, conformément à des circuits d’approbation prédéfinis incluant le propriétaire fonctionnel des informations auxquelles l’utilisateur accède (propriétaire des actifs informationnels). En cas de résiliation du contrat de travail, les droits d’accès devraient être rapidement retirés.

f. Renouvellement des accès : les droits d’accès devraient périodiquement être réexaminés afin de veiller à ce que les utilisateurs ne possèdent pas de privilèges excessifs et à ce que les droits d’accès soient retirés dès lors qu’ils ne sont plus requis.

g. Méthodes d’authentification : les établissements financiers devraient appliquer des méthodes d’authentification forte pour assurer, de façon appropriée et efficace, que les politiques et procédures de contrôle d’accès sont respectées. Les méthodes d’authentification devraient être proportionnées au niveau de criticité des systèmes de TIC, des informations ou des processus auxquels l’utilisateur accède. Au minimum, cela devrait inclure des mots de passe complexes ou des méthodes d’authentification forte (comme l’authentification à deux facteurs), en fonction des risques pertinents.

[...]