search_api_autocomplete
Accueil

Gestion, classification et déclaration des incidents liés aux TIC

DORA met à charge des entités financières une série d’obligations en matière de gestion des incidents liés aux technologies de l’information et de la communication (TIC).

L’ensemble de ces exigences a pour but d’atténuer les effets des incidents liés aux TIC et de rétablir les activités de manière sécurisée et le plus tôt possible.

Pour ce faire, les entités financières doivent répondre à des exigences en matière de gestion, de classification en de notification des incidents liés aux TIC.

  • 1. Quelles sont les exigences en matière de gestion des incidents liés aux TIC et des cybermenaces ? (art. 17 DORA)

    Afin d’atténuer les effets des incidents liés aux TIC et de rétablir les activités le plus rapidement possible, les entités financières mettent en œuvre un processus de gestion permettant de détecter, de gérer et de notifier les incidents liés aux TIC.

    Pour ce faire, elles enregistrent tous les incidents liés aux TIC et les cybermenaces importantes. Elles mettent en place des procédures et des processus pour en assurer une surveillance, un traitement et un suivi intégrés. Elles veillent notamment à ce que les causes originelles en soient identifiées, documentées et corrigées.

    La gestion des incidents liés aux TIC comprend au moins les éléments suivants :

    • indicateurs d'alerte précoce ;
    • procédures d'identification, de suivi, de consignation, de catégorisation et de classification des incidents liés aux TIC ;
    • rôles et responsabilités dans différents scenarios d'incidents liés aux TIC ;
    • plans de communication envers toutes les parties concernées ;
    • notification à l'organe de direction des incidents liés aux TIC (au moins les incidents majeurs) ;
    • procédures de réponse en cas d'incident lié aux TIC.

    Outils

    Les indicateurs d’alerte précoce peuvent faire partie des outils suivants : Security Information and Event Management (SIEM), Network Traffic Analysis.

  • 2. Quelles sont les exigences en matière de classification des incidents liés aux TIC et des cybermenaces ? (art. 18 DORA)

    Aux fins de l’application du processus de gestion et du respect des obligations en matière de déclaration, les entités financières classent les incidents liés aux TIC et les cybermenaces et déterminent leur incidence.

    Des normes techniques de règlementation

    Des normes techniques de règlementation détaillent davantage les critères et les seuils qui déterminent la classification en incident majeur.

    Les entités financières classent les incidents liés aux TIC et déterminent leur incidence en tenant compte des critères suivants :

    • nombre et/ou importance des clients touchés ;
    • atteinte à la réputation de l'entité ;
    • durée de l'incident (y compris la durée d'interruption des services) ;
    • répartition géographique de l'incident (en particulier si plus de deux Etats membres sont touchés) ;
    • pertes de données occasionnées (disponibilité, authenticité, intégrité et/ou confidentialité) ;
    • criticité des services touchés ;
    • conséquences économiques (directes et indirectes).

    Les entités financières classent les cybermenaces comme significatives en tenant compte des critères suivants :

    • criticité des services à risque ;
    • nombre et/ou importance des clients à risque ;
    • répartition géographique des zones à risque.
  • 3. Quelles sont les exigences en matière de déclaration des incidents et des cybermenaces ? (art. 19 DORA)

    Après avoir recueilli et analysé les informations pertinentes, les entités financières déclarent à la FSMA les incidents majeurs liés aux TIC. Ces informations permettent à la FSMA de déterminer l’importance de l’incident et ses éventuelles incidences transfrontalières et de communiquer ces informations aux autres autorités de contrôle et instances concernées.

    Des normes techniques de règlementation

    Des normes techniques de règlementation détaillent davantage les exigences en matière de déclaration des incidents majeurs liés aux TIC et des cybermenaces importantes.

    La déclaration des incidents majeurs liés aux TIC comprend les parties suivantes :

    • notification initiale ;
    • rapport intermédiaire ;
    • rapport final.

    Les entités financières envoient un rapport intermédiaire lorsque que la situation ou le traitement de l’incident a sensiblement changé, ou à la demande de la FSMA.

    Le rapport final contient l’analyse des causes de l’incident ainsi que les données chiffrées relatives aux incidences réelles.

    Lorsqu’un incident majeur lié aux TIC a une incidence sur les intérêts financiers des clients, les entités financières informent leurs clients de cet incident et des mesures prises pour en atténuer les effets préjudiciables.

    Les entités financières peuvent notifier à la FSMA les cybermenaces importantes. La FSMA peut le cas échéant communiquer ces informations aux autres autorités de contrôle et instances concernées.

    En cas de cybermenace importante, les entités financières informent leurs clients susceptibles d’être affectés des mesures de protection que ceux-ci pourraient envisager de prendre.

    Les entités financières peuvent externaliser les obligations en matière de déclaration mais conservent l’entière responsabilité du respect des exigences de DORA.