Transcription of Notice relative à la gestion du risque informatique pour ...
1 SECR TARIAT G N RAL Notice relative la gestion du risque informatique pour les entreprises du secteur de la banque, des services de paiement et des services d'investissement (Version du 07 juillet 2021) 2 Table des mati res CHAMP .. 4 Pr sentation .. 4 Section 1 : GOUVERNANCE ET DISPOSITIF DE gestion DU risque informatique .. 6 Chapitre Ier : Gouvernance .. 6 Point 1 : strat gie informatique .. 6 Point 2 : ad quation des ressources allou es .. 7 Point 3 : responsabilit des dirigeants effectifs lors du recours aux prestataires .. 8 Chapitre 2 : Contr le interne du risque informatique .. 9 Point 4 : 1er niveau de contr le permanent du risque informatique .. 9 Point 5 : 2e niveau de contr le permanent du risque informatique .
2 10 Point 6 : cadre de gestion du risque informatique .. 12 Point 7 : gestion du risque informatique port par les prestataires .. 13 Point 8 : audit interne du risque informatique .. 14 Section 2 : gestion DES OPERATIONS INFORMATIQUES .. 16 Chapitre 1er : Principes fondant la gestion des op rations informatiques .. 16 Point 9 : processus et proc dures document s de gestion des op rations .. 16 Point 10 : gestion du cycle de vie des actifs informatiques .. 17 Point 11 : processus de planification et de surveillance des performances .. 17 Point 12 : proc dures de sauvegarde et de restauration des donn es et des syst mes d information .. 18 Chapitre 2 : gestion des incidents op rationnels ou de s curit.
3 18 Point 13 : proc dures de d tection, classification et r ponse aux incidents informatiques 18 Section 3 : gestion DES PROJETS INFORMATIQUES ET DES CHANGEMENTS .. 20 Chapitre 1er : gestion des projets informatiques .. 20 Point 14 : processus de gouvernance des projets informatiques .. 20 Point 15 : gestion des risques des projets informatiques .. 21 Chapitre 2 : Acquisition et d veloppement des syst mes informatiques .. 21 Point 16 : processus d acquisition, de d veloppement et d entretien des syst mes informatiques .. 21 Chapitre 3 : gestion des changements informatiques .. 22 Point 17 : processus de gestion des changements informatiques .. 22 Section 4 : SECURITE DU SYST ME D INFORMATION.
4 24 Chapitre 1er : Politique de s curit du syst me d information .. 24 Point 18 : principes et contenu de la politique de s curit du syst me d information .. 24 Chapitre 2 : S curit physique et logique .. 25 3 Point 19 : principes de la s curit physique .. 25 Point 20 : principes de la s curit logique .. 26 Point 21 : application des principes de s curit logique .. 27 Chapitre 3 : S curit des op rations informatiques .. 28 Point 22 : mesures de s curisation des syst mes et services informatiques .. 28 Chapitre 4 : Surveillance de la s curit .. 29 Point 23 : d tection des incidents et r ponses appropri es .. 29 Chapitre 5 : valuation de la s curit et sensibilisation.
5 30 Point 24 : valuation de la s curit du syst me d information .. 30 Point 25 : formation et sensibilisation en mati re de s curit informatique .. 31 Section 5 : gestion DE LA CONTINUITE DES ACTIVITES .. 33 Point 26 : principes fondant le cadre de gestion de la continuit d activit .. 33 Point 27 : analyse d impact sur l activit .. 33 Point 28 : plan d urgence et de poursuite d activit (PUPA) .. 34 Point 29 : plan de reprise d activit (PRA) .. 35 Point 30 : tests du dispositif de gestion de la continuit d activit .. 35 Point 31 : communication de crise .. 36 4 CHAMP 1. La pr sente Notice s adresse aux entreprises du secteur de la banque, des services de paiement et des services d'investissement vis es par l arr t du 3 novembre 2014 relatif au contr le interne (ci-apr s les entreprises assujetties ).
6 Pr sentation 2. Par cette Notice , l Autorit de contr le prudentiel et de r solution (ACPR) souhaite apporter des explications propos des nouvelles dispositions relatives la gestion du risque informatique introduites par l arr t modificatif du 25 f vrier 20211 dans l arr t du 3 novembre 2014 relatif au contr le interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contr le de l'Autorit de contr le prudentiel et de r solution (ci-apr s l arr t ). Ces volutions ont pour effet de mettre le cadre r glementaire fran ais en conformit avec les orientations de l Autorit bancaire europ enne (ABE) EBA/GL/2019/04 sur la gestion des risques li s aux technologies de l information et de la communication (TIC) et la s curit (ci-apr s les orientations ABE ).
7 3. Les orientations ABE ont soulign que le risque informatique devait tre pleinement pris en compte dans le dispositif g n ral de gestion des risques. C est pourquoi les nouvelles dispositions ont t int gr es l arr t relatif au contr le interne et renvoient aux dispositifs de gouvernance, de contr le interne et de gestion des risques. Avec les modifications apport es l arr t , l ACPR est conforme aux orientations ABE, la fois par les dispositions g n rales relatives au contr le interne, et par les nouvelles dispositions introduites sp cifiquement pour renforcer la ma trise du risque informatique . 4. La Notice vise clarifier les modalit s de mise en uvre des nouvelles dispositions de l arr t.
8 Elle replace ainsi les l ments sur la gestion du risque informatique dans le contexte g n ral du contr le interne et de la gestion des risques. Elle se r f re pour cela aux principes figurant dans les orientations ABE, en les pr cisant en tant que de besoin. 5. Le cas ch ant, certaines explications fournies par la Notice ont pu tre nourries par les bonnes pratiques pr sent es dans le Document de R flexion sur le risque informatique en date du 28 janvier 2019. 6. Les bonnes pratiques recommand es par l'ANSSI sont galement encourag es par l ACPR, et la Notice les mentionne donc ponctuellement. 1 Arr t du 25 f vrier 2021 modifiant l'arr t du 3 novembre 2014 relatif au contr le interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contr le de l'Autorit de contr le prudentiel et de r solution.
9 5 7. Les orientations ABE2 et les nouvelles dispositions r glementaires fran aises3 ayant r affirm un principe d application des mesures de gestion du risque informatique proportionnelle la taille et la complexit des entreprises assujetties concern es, les indications fournies par la Notice doivent tre lues dans le respect de ce principe. Au titre de l arr t , l ACPR tiendra compte de la taille, du volume d activit s, des implantations ainsi que de la nature, de l' chelle et de la complexit des risques inh rents au mod le d'entreprise et aux activit s des entreprises assujetties. En outre, au titre des orientations ABE, dont l approche est similaire, elle tiendra compte de l organisation interne des entreprises assujetties, de la nature, du p rim tre et de la complexit des produits et services que ces entreprises fournissent ou comptent fournir.
10 8. Le th me de l externalisation n est pas particuli rement d velopp dans la Notice , dans la mesure o les dispositions en la mati re ne sont pas propres la gestion du risque informatique . En revanche, l ACPR rappelle, en accord avec l article 237 de l arr t , que les entreprises assujetties qui externalisent tout ou partie de leur service informatique , demeurent pleinement responsables du respect de toutes les obligations qui leur incombent au titre de l arr t . 2 Section des orientations ABE : Tous les tablissements financiers devraient respecter les dispositions stipul es dans les pr sentes orientations d une fa on qui, d une part, soit proportionn e la taille et l organisation interne des tablissements financiers, la nature, la port e et la complexit des produits et services que ces tablissements fournissent ou comptent fournir et au risque qu ils pr sentent, et qui, d autre part, tienne compte de ces facteurs.
