Protection et prévention
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Protection et prévention
1. Aux fins de la protection adéquate des systèmes de TIC et en vue d’organiser les mesures de réponse, les entités financières assurent un suivi et un contrôle permanents de la sécurité et du fonctionnement des systèmes et outils de TIC et réduisent au minimum l’incidence du risque lié aux TIC sur les systèmes de TIC par le déploiement d’outils, de stratégies et de procédures appropriés en matière de sécurité des TIC.
2. Les entités financières conçoivent, acquièrent et mettent en œuvre des stratégies, des politiques, des procédures, des protocoles et des outils de sécurité de TIC qui visent à garantir la résilience, la continuité et la disponibilité des systèmes de TIC, en particulier ceux qui soutiennent des fonctions critiques ou importantes, et à maintenir des normes élevées en matière de disponibilité, d’authenticité, d’intégrité et de confidentialité des données, que ce soit au repos, en cours d’utilisation ou en transit.
3. Pour atteindre les objectifs visés au paragraphe 2, les entités financières utilisent des solutions et des processus de TIC qui sont appropriés conformément à l’article 4. Ces solutions et processus de TIC:
| a) | garantissent la sécurité des moyens de transfert de données; |
| b) | réduisent au minimum le risque de corruption ou de perte de données, d’accès non autorisé et de défauts techniques susceptibles d’entraver les activités; |
| c) | empêchent le manque de disponibilité, les atteintes à l’authenticité et à l’intégrité, les violations de la confidentialité et la perte de données; |
| d) | garantissent que les données sont protégées contre les risques découlant de la gestion des données, y compris une mauvaise administration, les risques relatifs au traitement et l’erreur humaine. |
4. Aux fins du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, les entités financières:
| a) | élaborent et documentent une politique de sécurité de l’information qui définit des règles visant à protéger la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, des actifs informationnels et des actifs de TIC, y compris ceux de leurs clients, le cas échéant; |
| b) | instaurent, selon une approche fondée sur les risques, une gestion solide des réseaux et des infrastructures en recourant aux techniques, aux méthodes et aux protocoles appropriés, qui peuvent inclure la mise en œuvre de mécanismes automatisés pour isoler les actifs informationnels affectés en cas de cyberattaques; |
| c) | mettent en œuvre des politiques qui limitent l’accès physique ou logique aux actifs informationnels et aux actifs de TIC, à ce qui est nécessaire pour les fonctions et les activités légitimes et approuvées uniquement, et définissent à cette fin un ensemble de politiques, de procédures et de contrôles qui portent sur les droits d’accès et veillent à leur bonne administration; |
| d) | mettent en œuvre des politiques et des protocoles pour des mécanismes d’authentification forte, fondés sur des normes pertinentes et des systèmes de contrôle spécifiques, et des mesures de protection des clés de chiffrement par lesquelles les données sont chiffrées sur la base des résultats des processus approuvés de classification des données et d’évaluation du risque lié aux TIC; |
| e) | mettent en œuvre des politiques, des procédures et des contrôles documentés pour la gestion des changements dans les TIC, y compris les changements apportés aux logiciels, au matériel, aux composants de micrologiciels, aux systèmes ou aux paramètres de sécurité, qui sont fondés sur une approche d’évaluation des risques et font partie intégrante du processus global de gestion des changements de l’entité financière, afin de garantir que tous les changements apportés aux systèmes de TIC sont consignés, testés, évalués, approuvés, mis en œuvre et vérifiés de manière contrôlée; |
| f) | disposent de stratégies documentées appropriées et globales en matière de correctifs et de mises à jour. |
Aux fins du premier alinéa, point b), les entités financières conçoivent l’infrastructure de connexion au réseau de manière à permettre une déconnexion instantanée ou segmentée afin de réduire au minimum la contagion et de la prévenir, en particulier pour les processus financiers interconnectés.
Aux fins du premier alinéa, point e), le processus de gestion des changements dans les TIC est approuvé par la structure hiérarchique appropriée et comporte des protocoles spécifiques.