Consommateurs
Professionnels
search_api_autocomplete
Accueil

2. Quelles sont les exigences imposées par le régime simplifié ?

On this page

Les entités financières qui bénéficient du régime simplifié, mettent en place et maintiennent un cadre de gestion du risque lié aux TIC solide et documenté. Ce cadre comprend au moins les mesures de gestion du risque lié aux TIC et inclut la protection des infrastructures physiques. Ces mesures visent à protéger la Les données doivent être disponibles, accessibles et restaurables. , l’ L’authenticité des données est le principe qui garantit que les données proviennent de sources vérifiées et légitimes, confirmant ainsi leur origine et leur validité. , l’ Les données stockées, traitées et transmises au sein d'un système informatique restent exactes, cohérentes et non altérées. et la La confidentialité des données est le principe qui vise à protéger les données contre tout accès, divulgation ou utilisation non autorisés, assurant ainsi que seules les personnes et systèmes autorisés peuvent y accéder. des données dans le réseau et les actifs de TIC. Les entités financières testent régulièrement l’efficacité de ces mesures.

Le cadre de gestion du risque lié aux TIC est réexaminé périodiquement et en cas d’incidents majeurs liés aux TIC, dans tous les cas conformément aux instructions de la FSMA. Les entités financières réalisent un rapport sur le réexamen du cadre et tiennent ce rapport à la disposition de la FSMA.

Des normes techniques

Des normes techniques de règlementation détaillent le contenu et le format du rapport sur le réexamen du cadre de gestion du risque lié aux TIC.

Pour atténuer et gérer le risque lié aux TIC, les entités financières mettent en place les catégories de mesures suivantes :

iv. Correction i. Prevention
 
iii. Réaction ii. Détection

Des normes techniques de règlementation

Des normes techniques de règlementation détaillent davantage les tâches en matière d’atténuation du risque lié aux TIC.

i. Mesures préventives (art. 16 DORA)

Les mesures préventives ont pour objectif d’éviter que les risques ne se matérialisent. Elles comprennent au moins les éléments suivants :

  • protection de la capacité, de la performance, de la fiabilité et de la résilience des systèmes, protocoles et outils de TIC ;
  • mise à jour des systèmes, protocoles et outils de TIC (permet de limiter les risques de cyberattaques) ;
  • sensibilisation et formation du personnel et de la direction (en fonction des besoins et du profil de risque de l’entité) ;
  • recensement des principales dépendances à l'égard de prestataires tiers de services TIC.

La performance des systèmes de TIC

La performance des systèmes de TIC peut être assurée par des clusters de serveurs disposant de suffisamment de nœuds pour supporter des pics de volume d’ordres. 

Les mécanismes de résilience peuvent inclure la segmentation du réseau et la mise en place de systèmes de backup. 

Les protocoles sécurisés peuvent comprendre les versions suivantes : HTTPS, SMTPS et SFTP.

Les entités financières testent régulièrement leurs systèmes, protocoles et outils de TIC et leurs mises à jour. 

Les programmes de sensibilisation et de formation, du personnel et de la direction, sont élaborés en fonction des besoins et du profil de risque de l’entité.

ii. Mesures de détection (art. 16 DORA)

Les moyens de détection ont pour objectif d’identifier les incidents le plus tôt possible. Ils comprennent au moins les éléments suivants :

  • surveillance de la performance ;
  • détection des incidents.

Les moyens de détection

Les moyens de détection peuvent comprendre les outils suivants : Security Information and Event Management (SIEM), Vulnerability Scanner, Identity and Access Management (IAM).

iii. Mesures réactives (art. 16 DORA)

Les plans de réaction (plans de continuité des activités de TIC et plans de réponse et de rétablissement des TIC) ont pour objectif de limiter les dommages, en particulier en ce qui concerne les Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. de l’entité. Les entités financières les testent régulièrement. Ces plans comprennent au moins les éléments suivants:

  • plans de continuité des activités et mesures de réponse et de rétablissement pour les Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. (incluant des mesures de sauvegarde et de restauration) ;
  • traitement des incidents liés aux TIC.

Les entités financières disposent d’un processus de gestion des incidents liés aux TIC.

La gestion des incidents

La gestion des incidents peut comprendre l’utilisation d’un Incident Management Software.

iv. Mesures correctives (art. 16 DORA)

Les actions correctives visent à améliorer et actualiser le cadre de gestion du risque lié aux TIC. Elles comprennent au moins la mise en œuvre des éléments suivants :

  • conclusions des tests relatifs aux systèmes, protocoles et outils de TIC et à leurs mises à jour ;
  • conclusions des tests relatifs aux plans de continuité des activités et aux mesures de réponse et de rétablissement ;
  • conclusions de l'analyse des incidents (en particulier des incidents majeurs) ;
  • conclusions de l'exercice de réévaluation du cadre de gestion de risques liés aux TIC ;
  • instructions de la FSMA.