Le 18 juin 2021, l’ACPR a publié une notice détaillant des orientations relatives à la sécurité de l’information et à la gouvernance des Technologies d’Information et de la Communication (TIC).
Ces orientations concernent les entités relevant du champ d’application de la directive S2 et sont également applicables aux ORPS. Les paragraphes ci-dessous détaillent les principaux sujets pouvant être relevés :
- Gouvernance
L’AMSB est en charge de la définition et de la mise en œuvre de la stratégie des risques liés aux TIC et à la sécurité de l’information : suffisance des ressources et moyens alloués, cohérence des compétences sollicitées, adéquation du système de gouvernance…En outre, une fonction de sécurité de l’information doit être instaurée. Celle-ci à un rôle de coordination, de supervision et de suivi des travaux relatifs à la sécurité de l’information, afin d’assister l’AMSB sur ce sujet.
- Gestion des risques
Les entités doivent identifier et mesurer leurs risques de sécurité de l’information. Une cartographie des processus et activités, des fonctions « métiers », des rôles et de leurs ressources doit être construite. Elle doit ainsi permettre d’identifier les points de vulnérabilité afin de définir une stratégie, des niveaux de tolérance et des processus adaptés en matière de sécurité de l’information. Cette stratégie peut être segmentée en différents domaines : contrôle des accès des utilisateurs, sécurité physique, surveillance des transactions interne et externe, acquisition, développement et maintenance des systèmes d’information….
En outre, un rapport consacré au résultat du processus de gestion des risques liés à la sécurité de l’information est à adresser de façon régulière à l’AMSB.
Le Plan de Continuité des Activités TIC fait également l’objet d’une attention particulière afin de prévoir des mesures adaptées dans différents types de scenarios.
- Documentation, formation et communication
Une politique écrite en matière de sécurité de l’information doit être rédigée et approuvée par l’AMSB. Elle doit être partagée au sein de l’entreprise et, s’il y a lieu, auprès des prestataires de service. L’organisme doit veiller à la sensibilisation et à la formation des collaborateurs afin de limiter l’erreur humaine, le vol, la fraude, les abus ou encore les pertes.
Une politique de continuité des activités TIC doit également être rédigée et communiquée de façon appropriée.
- Audit
La gouvernance, les systèmes place et les processus établis doivent être audités régulièrement, dans le cadre de leur plan d’audit, par des auditeurs disposant de connaissances suffisantes et en toute indépendance. Au-delà de ces audits réguliers, des tests et examens de conformité des dispositifs en place doivent être menés par des testeurs indépendants. Pour les systèmes de TIC ayant une importance critique, des tests doivent être effectués annuellement.
Ces orientations précisent ainsi les attentes du régulateur en matière de gestion des risques liés aux TIC. Toutefois, il convient de souligner qu’elles doivent être traitées selon le principe de proportionnalité, c’est-à-dire que les travaux et les objectifs doivent être adaptés aux moyens et à la complexité des risques inhérents à l’activité de l’entreprise.
L’ensemble de ces points devra être implémenté dès que possible afin d’assurer la conformité au dispositif prudentiel et devra faire l’objet de commentaires spécifiques dans les prochains rapports ORSA pour information et décision des organes de gestion.