Le point sur… La Cybersécurité (extrait de la veille réglementaire Novembre-Décembre 2020)

Le risque de cybersécurité découle de toute atteinte malveillante potentielle, interne ou externe, à l’une des caractéristiques  clés du Système d’Information d’une SGP c’est-à-dire sa disponibilité, son intégrité, la confidentialité des données qu’il traite, la  traçabilité de leurs actions et leur non-répudiation.

 

Quelles sont les règles à mettre en œuvre ?
  • Contrôle : conduire par exemple un test d’intrusion;
  • Gouvernance : assurer l’indépendance de la fonction Responsable de la sécurité des Systèmes d’Information (« RSSI »)  par rapport à la DSI;
  • Mise à jour des systèmes : mettre à jour les systèmes d’exploitation et les applications installées sur les postes de travail;
  • Sensibilisation : sensibiliser les collaborateurs de la SGP aux risques de cybersécurité.

 

Qui est en charge ?

Le DSI, le RSSI et/ou toute fonction déléguée à un prestataire informatique sous la supervision d’un membre de la Direction par exemple.

 

Quels sont les points de vigilances pour les SGP ?
  • Formalisation de procédures : il convient de rédiger des procédures/politiques pour minimiser les risques (inventaire des  équipements informatiques utilisés notamment);
  • Contrôle de connexion : réaliser un contrôle des connexions des collaborateurs internes à Internet (incluant la traçabilité  des navigations) ainsi qu’un contrôle des connexions distantes au SI;
  • Contrôle de continuité d’activité : vérifier régulièrement les capacités de travail collaboratif des équipes clés en situation de  crise et la capacité à restaurer les données sauvegardées, ainsi que du niveau de sécurité physique et informatique des  installations de secours;
  • Test d’intrusion : faire réaliser régulièrement, par un prestataire externe spécialisé, un test d’intrusion sur le SI de la SGP afin  de mesurer la robustesse du dispositif de cybersécurité en place et de vérifier l’efficacité de prise en compte des  vulnérabilités identifiées lors du test antérieur.

 

Impacts sur la réalisation de vos contrôles ?

Le risque de Cybersécurité a des impacts sur plusieurs contrôles comme les fonds propres règlementaires, le Plan de continuité d’activité, les moyens informatiques et la conservation des données. Par ailleurs, la formalisation d’une cartographie exhaustive est nécessaire notamment pour prioriser les actions de sécurité.

L’apport d’un regard externe sur le dispositif existant au sein de la SGP peut réduire considérablement le risque de  non-conformité règlementaire ainsi que le risque opérationnel.

Pour information, des propositions législatives relatives à la résilience opérationnelle numérique (Digital Operational Resilience  Act, ou DORA ) sont en cours. Les entreprises technologiques jouent un rôle de plus en plus important dans le domaine de la  finance, en tant que fournisseurs de technologies pour les entreprises financières et en tant que prestataires de services  financiers à part entière. La proposition de loi DORA vise à faire en sorte que tous les participants au système financier  mettent en place les garanties nécessaires pour atténuer les cyberattaques et les autres risques. La législation proposée  imposera à toutes les entreprises de veiller à pouvoir résister à tous les types de perturbations et de menaces liées à  l’informatique. La proposition de loi instaure également un cadre de surveillance pour les fournisseurs de TIC, tels que les  prestataires de services d’informatique en nuage.

 

Retrouvez cet article dans la veille réglementaire de D&Cmf de Novembre-Décembre 2020 ici.

Revoir notre point de vue de la veille de septembre-octobre 2020 sur « la relation entre SGP et CIF.»