Transcription of Notice relative à la gestion du risque informatique pour ...
1 SECR TARIAT G N RAL Notice relative la gestion du risque informatique pour les entreprises du secteur de la banque, des services de paiement et des services d'investissement (Version du 07 juillet 2021) 2 Table des mati res CHAMP .. 4 Pr sentation .. 4 Section 1 : GOUVERNANCE ET DISPOSITIF DE gestion DU risque informatique .. 6 Chapitre Ier : Gouvernance .. 6 Point 1 : strat gie informatique .. 6 Point 2 : ad quation des ressources allou es .. 7 Point 3 : responsabilit des dirigeants effectifs lors du recours aux prestataires.
2 8 Chapitre 2 : Contr le interne du risque informatique .. 9 Point 4 : 1er niveau de contr le permanent du risque informatique .. 9 Point 5 : 2e niveau de contr le permanent du risque informatique .. 10 Point 6 : cadre de gestion du risque informatique .. 12 Point 7 : gestion du risque informatique port par les prestataires .. 13 Point 8 : audit interne du risque informatique .. 14 Section 2 : gestion DES OPERATIONS INFORMATIQUES .. 16 Chapitre 1er : Principes fondant la gestion des op rations informatiques.
3 16 Point 9 : processus et proc dures document s de gestion des op rations .. 16 Point 10 : gestion du cycle de vie des actifs informatiques .. 17 Point 11 : processus de planification et de surveillance des performances .. 17 Point 12 : proc dures de sauvegarde et de restauration des donn es et des syst mes d information .. 18 Chapitre 2 : gestion des incidents op rationnels ou de s curit .. 18 Point 13 : proc dures de d tection, classification et r ponse aux incidents informatiques 18 Section 3 : gestion DES PROJETS INFORMATIQUES ET DES CHANGEMENTS.
4 20 Chapitre 1er : gestion des projets informatiques .. 20 Point 14 : processus de gouvernance des projets informatiques .. 20 Point 15 : gestion des risques des projets informatiques .. 21 Chapitre 2 : Acquisition et d veloppement des syst mes informatiques .. 21 Point 16 : processus d acquisition, de d veloppement et d entretien des syst mes informatiques .. 21 Chapitre 3 : gestion des changements informatiques .. 22 Point 17 : processus de gestion des changements informatiques .. 22 Section 4 : SECURITE DU SYST ME D INFORMATION.
5 24 Chapitre 1er : Politique de s curit du syst me d information .. 24 Point 18 : principes et contenu de la politique de s curit du syst me d information .. 24 Chapitre 2 : S curit physique et logique .. 25 3 Point 19 : principes de la s curit physique .. 25 Point 20 : principes de la s curit logique .. 26 Point 21 : application des principes de s curit logique .. 27 Chapitre 3 : S curit des op rations informatiques .. 28 Point 22 : mesures de s curisation des syst mes et services informatiques.
6 28 Chapitre 4 : Surveillance de la s curit .. 29 Point 23 : d tection des incidents et r ponses appropri es .. 29 Chapitre 5 : valuation de la s curit et sensibilisation .. 30 Point 24 : valuation de la s curit du syst me d information .. 30 Point 25 : formation et sensibilisation en mati re de s curit informatique .. 31 Section 5 : gestion DE LA CONTINUITE DES ACTIVITES .. 33 Point 26 : principes fondant le cadre de gestion de la continuit d activit .. 33 Point 27 : analyse d impact sur l activit.
7 33 Point 28 : plan d urgence et de poursuite d activit (PUPA) .. 34 Point 29 : plan de reprise d activit (PRA) .. 35 Point 30 : tests du dispositif de gestion de la continuit d activit .. 35 Point 31 : communication de crise .. 36 4 CHAMP 1. La pr sente Notice s adresse aux entreprises du secteur de la banque, des services de paiement et des services d'investissement vis es par l arr t du 3 novembre 2014 relatif au contr le interne (ci-apr s les entreprises assujetties ). Pr sentation 2.
8 Par cette Notice , l Autorit de contr le prudentiel et de r solution (ACPR) souhaite apporter des explications propos des nouvelles dispositions relatives la gestion du risque informatique introduites par l arr t modificatif du 25 f vrier 20211 dans l arr t du 3 novembre 2014 relatif au contr le interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contr le de l'Autorit de contr le prudentiel et de r solution (ci-apr s l arr t ).
9 Ces volutions ont pour effet de mettre le cadre r glementaire fran ais en conformit avec les orientations de l Autorit bancaire europ enne (ABE) EBA/GL/2019/04 sur la gestion des risques li s aux technologies de l information et de la communication (TIC) et la s curit (ci-apr s les orientations ABE ). 3. Les orientations ABE ont soulign que le risque informatique devait tre pleinement pris en compte dans le dispositif g n ral de gestion des risques. C est pourquoi les nouvelles dispositions ont t int gr es l arr t relatif au contr le interne et renvoient aux dispositifs de gouvernance, de contr le interne et de gestion des risques.
10 Avec les modifications apport es l arr t , l ACPR est conforme aux orientations ABE, la fois par les dispositions g n rales relatives au contr le interne, et par les nouvelles dispositions introduites sp cifiquement pour renforcer la ma trise du risque informatique . 4. La Notice vise clarifier les modalit s de mise en uvre des nouvelles dispositions de l arr t . Elle replace ainsi les l ments sur la gestion du risque informatique dans le contexte g n ral du contr le interne et de la gestion des risques.
