Lignes directrices de l'EBA sur la gestion des risques de cybersécurité et IT
L 'Autorité bancaire européenne (European Bankin Authority) fait partie du système européen de surveillance financière avec les Autorités européennes des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP). Les lignes directrices sur la gestion des risques de cybersécurité et IT sont applicables depuis le 30 juin 2020 pour les institutions financières.
Cybersécurité et IT
La gestion et la supervision des risques IT et de cybersécurité doivent être placées sous la responsabilité d’une fonction de contrôle qui doit être indépendante des opérations IT et différente de l’audit interne.
Le référentiel impose les actions suivantes :
- Déterminer le niveau de risque acceptable (risk appetite).
- Identifier et évaluer les risques.
- Définir les mesures de mitigation.
- Mesurer l’efficacité des mesures et la notification des incidents.
Des méthodes comme EBIOS RM ou FAIR donnent des outils pour mettre en œuvre ces actions.
Une cartographie du système d’information faisant le lien avec les processus métiers doit être maintenue à jour. Une classification des fonctions métiers et des actifs supports selon les critères de confidentialité, intégrité et disponibilité doit être réalisée.
L’analyse des risques doit être mise à jour au moins une fois par an.
Le référentiel rend obligatoire la politique de sécurité qui détaille :
- les rôles et responsabilité,
- la sécurité logique (séparation des tâches, moindre privilège, besoin d’en connaitre, traçabilité des actions, gestion des droits privilégiés, gestion des accès, « recertification » des accès, méthodes d’authentification)
- la sécurité physique,
- la sécurité des opérations IT (gestion des vulnérabilités, durcissement des systèmes, segmentation des réseaux, chiffrement des flux et des données)
- la supervision de la sécurité (SOC)
- la revue et les tests de sécurité (exercices TIBER par exemple),
- la formation et la sensibilisation des collaborateurs.
Le référentiel aborde aussi les aspects purement IT comme la gestion des incidents et des problèmes, la gestion des projets et des changements, le développement.
Continuité des activités
Le processus de gestion de la continuité des activité (Plans d’Urgence Poursuite des Activités étant le terme pour les institutions financières en France) comporte les activités traditionnelles suivantes :
- Analyse des impacts métiers.
- Plans de continuité métier et de secours informatique.
- Plans d’urgence et gestion des crises.
- Exercices
Retour sur la consultation publique
Le référentiel reprend les commentaires reçus suite à la consultation publique et l’analyse de l’EBA ce qui peut faciliter la compréhension et la mise en œuvre des préconisations.