Veille réglementaire – la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité

Préambule :

A l’ère du digital, l’importance et la complexité des technologies des systèmes d’information et de la communication (TIC) et de la gestion des risques de sécurité dans le cadre de la fourniture des services bancaires, de paiement et financier s’accroit et la fréquence des incidents liés aux TIC et à la sécurité (y compris les cyber-incidents) augmente, de même que leur impact négatif potentiel important sur le fonctionnement opérationnel des institutions financières.


Par ailleurs, en raison de l’interconnexion et les liaisons entre les institutions financières, les incidents liés aux TIC et à la sécurité risquent d’impacter plusieurs acteurs et peuvent avoir des répercussions systémiques potentielles.


Dans ce sens, L’EBA a décidé de détailler la manière dont les autorités de surveillance devraient couvrir les risques liés aux TIC et à la sécurité dans le cadre de la surveillance (EBA/GL/2017/05 : Orientations sur l’évaluation du risque lié aux TIC dans le cadre du processus de contrôle et d’évaluation prudentiels (Supervisory Review and Evaluation process – SREP)), en détaillant la manière dont les établissements financiers devraient gérer l’externalisation (EBA/GL/2019/02 : Orientations relatives à l’externalisation) et en décrivant les attentes en matière de gestion des risques liés aux TIC et à la sécurité pour les établissements financiers dans les orientations de l’EBA sur la gestion des risques liés aux TIC et à la sécurité (EBA/GL/2019/04).

I. Le nouveau cadre de gestion des risques liés aux TIC et à la sécurité

Les orientations EBA/GL/2019/04 précisent comment les institutions financières devraient gérer les risques liés aux TIC et à la sécurité auxquels elles sont exposées et visent à fournir aux institutions financières auxquelles elles s’appliquent une meilleure compréhension des attentes des autorités de surveillance en matière de gestion des risques liés aux TIC et à la sécurité. Ces orientations ont été publiées le 28 Novembre 2019 sur le site de l’EBA.

Point attention : Le délai de mise en conformité, par les autorités nationales compétentes, est fixé au 04 mai 2020.

A. Les orientations (EBA/GL/2017/17) relatives aux mesures de sécurité pour les risques opérationnels et de sécurité liés aux services de paiement dans le cadre de la directive (UE) 2015/2366 (DSP2)


Les nouvelles orientations EBA/GL/2019/04 intègrent et s’appuient sur les exigences énoncées dans les « orientations concernant les mesures de sécurité relatives aux risques opérationnels et aux risques de sécurité des services de paiement« , qui ont été publiées en décembre 2017 (EBA/GL/2017/17) et qui sont applicables depuis janvier 2018 en vertu du mandat prévu à l’article 95, paragraphe 3, de la directive 2015/2366/UE (DSP2).

Ces orientations s’adressaient aux prestataires de services de paiement (PSP) et ne s’appliquaient qu’à leurs services de paiement, toutefois, elles concernaient un ensemble plus large d’établissements. C’est pourquoi ces orientations ont été formulées de manière à s’adresser à un éventail plus large d’établissements financiers relevant de la compétence de l’EBA (à savoir les établissements de crédit qui relevaient déjà du champ d’application des orientations sur les mesures de sécurité pour leurs services de paiement, mais pour lesquels ces orientations s’appliqueront désormais à toutes les activités) et aux entreprises d’investissement.

Ces orientations continuent de s’appliquer aux PSP pour les services de paiement qu’ils fournissent, s’étendent aux autres activités des établissements de crédit et s’appliquent également aux entreprises d’investissement pour toutes les activités.

L’expression « risques liés aux TIC et à la sécurité » renvoie au mandat relatif aux risques opérationnels et de sécurité de l’article 95 de la directive révisée sur les services de paiement (DSP2). Ce terme reconnaît que les risques opérationnels liés aux services de paiement concernent principalement les risques liés aux TIC et à la sécurité en raison de la nature électronique des services de paiement (sur les systèmes TIC).

D’où la référence des orientations EBA/GL/2019/04 au « risque lié aux TIC et à la sécurité » plutôt qu’au « risque opérationnel et de sécurité » afin d’éviter toute confusion avec des questions plus larges de risque opérationnel, telles que le risque de comportement, le risque juridique et le risque de réputation. En outre, les risques de sécurité peuvent provenir de processus internes inadéquats ou défaillants ou d’événements externes, mais c’est en fin de compte leur impact sur les systèmes et les données qui est pertinent.


B. La définition des TIC et du risque de sécurité

La définition des « TIC et du risque de sécurité » est basée sur la définition prévue dans les orientations de l’EBA sur les procédures et méthodologies communes révisées pour le processus de contrôle et d’évaluation par les autorités de surveillance et les tests de résistance par les autorités de surveillance (EBA/GL/2018/03), elle englobe donc le risque d’intégrité des données mais comprend des détails supplémentaires pour préciser qu’elle couvre l’impact découlant des risques de sécurité.

La définition du risque lié aux TIC et à la sécurité est rappelée dans les nouvelles orientations de l’EBA EBA/GL/2019/04, et prévoit ce qui suit :


« Risque de perte découlant d’une violation de la confidentialité, d’une défaillance de l’intégrité des systèmes et des données, de l’inadéquation ou de l’indisponibilité des systèmes et des données, ou de l’impossibilité de modifier les technologies de l’information dans un délai et pour des coûts raisonnables, lorsque l’environnement ou les exigences « métiers » changent (agilité)2. Cela inclut les risques de sécurité découlant de processus internes insuffisants ou de défaillance de ces processus, ou bien d’événements externes, tels que des cyberattaques ou une sécurité physique insuffisante. »


II. Le périmètre d’application des nouvelles orientations de l’EBA sur la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité – EBA/GL/2019/04

Ces orientations fournissent des détails sur la manière dont les établissements financiers doivent se conformer, afin de faire face aux risques liés aux TIC et à la sécurité, aux dispositions suivantes de la directive sur les fonds propres (CRD) et de la DSP2 :

  • L’article 74 de la directive 2013/36/UE (CRD), qui renforce les exigences en matière de gouvernance pour les établissements, y compris l’obligation de disposer de dispositifs de gouvernance solides avec une structure organisationnelle claire avec des lignes de responsabilité bien définies, transparentes et cohérentes et des processus efficaces pour identifier, gérer, surveiller et signaler le risque auquel ils sont ou pourraient être exposés ;
  • L’article 95 de la directive 2015/2366/UE (DSP2), qui contient des dispositions explicites pour la gestion des risques opérationnels et de sécurité qui exigent que les PSP disposent de mesures d’atténuation et de mécanismes de contrôle appropriés pour gérer les risques opérationnels et de sécurité et qui prévoit un mandat pour que l’EBA élabore des orientations sur ce sujet.

Ces orientations précisent les exigences susmentionnées comme suit :

  • La section 3.1 définit l’application proportionnée de ces orientations, en reconnaissant les variations potentielles de taille, de complexité, d’organisation interne, de nature, d’étendue et de degré de risque des services et produits entre les institutions financières.
  • La section 3.2 des orientations se concentre sur la gestion et l’atténuation des risques liés aux TIC et à la sécurité par l’établissement d’une bonne gouvernance interne et d’un cadre de contrôle interne qui définit clairement les responsabilités du personnel des institutions financières, y compris des organes de gestion. Elle exige la mise en place d’une stratégie TIC de l’institution financière, la gestion et l’atténuation des risques liés aux TIC et à la sécurité par le biais d’une fonction de contrôle indépendante et objective, séparée de manière appropriée des processus d’exploitation des TIC et non responsable d’un quelconque audit interne, ainsi qu’une fonction d’audit interne indépendante. Les orientations rappellent également aux institutions financières de garantir l’efficacité des mesures d’atténuation des risques, telles que définies par leur cadre de gestion des risques, lorsqu’elles externalisent ou font appel à des fournisseurs tiers. Ces mesures doivent être définies dans des contrats et des accords sur les niveaux de service. Néanmoins, les institutions financières doivent contrôler et s’assurer du niveau de conformité.
  • La section 3.3 exigence des institutions financières qu’elles tiennent des inventaires à jour de leurs fonctions commerciales, des processus de soutien et des actifs d’information et qu’elles les classent en fonction de leur criticité, sur la base de la confidentialité, de l’intégrité et de la disponibilité des données. Sur cette base, les institutions financières doivent évaluer les risques opérationnels liés aux TIC et les risques de sécurité qui les touchent et déterminer les mesures nécessaires pour atténuer les risques identifiés.
  • La section 3.4 énonce les exigences en matière de sécurité de l’information dans la mesure où les informations sont détenues sur des systèmes TIC. Cette section définit les exigences pour mettre en oeuvre des mesures de sécurité de l’information efficaces, y compris la mise en place d’une politique de sécurité de l’information ; l’établissement, la mise en oeuvre et l’essai des mesures de sécurité de l’information ; et l’établissement d’un programme de formation pour tout le personnel et les contractants.
  • La section 3.5 spécifie les principes de haut niveau sur la manière dont les opérations TIC devraient être gérées, y compris les exigences pour améliorer, lorsque cela est possible, l’efficacité des opérations TIC ; mettre en oeuvre des procédures d’enregistrement et de surveillance des opérations TIC critiques ; tenir un inventaire à jour de leurs actifs TIC ; surveiller et gérer le cycle de vie des actifs TIC ; et mettre en oeuvre des plans de sauvegarde et de récupération procédures. Les institutions financières devraient également établir et mettre en oeuvre des processus de gestion des incidents et des problèmes.
  • La section 3.6 décrit les exigences en matière de gestion des projets et des changements dans le domaine des TIC, y compris l’acquisition, le développement et la maintenance des systèmes et services TIC. Les institutions financières devraient veiller à ce que les changements apportés aux systèmes de production soient évalués, testés, approuvés et mis en oeuvre de manière contrôlée, dans le but de garantir que les projets TIC soient dotés d’une gouvernance et d’une supervision appropriées et que le développement des applications soit soigneusement surveillé de la phase de test à la phase de production.
  • La section 3.7 précise les attentes en matière de gestion de la continuité des activités et d’élaboration de plans d’intervention et de reprise, y compris les tests, et leur mise à jour consécutive sur la base des résultats des tests. Les établissements financiers doivent veiller à mettre en place des mesures de communication de crise efficaces afin que toutes les parties prenantes internes et externes concernées puissent être informées en temps utile. Les processus de gestion de la continuité des activités TIC font partie intégrante du processus global de gestion de la continuité des activités de l’établissement financier et ne doivent pas être séparés.
  • La dernière section, (section 3.8), ne s’applique qu’aux PSP pour leur prestation de services de paiement. Elle prescrit les exigences relatives à la gestion des relations avec les utilisateurs de services de paiement (USP), notamment en permettant aux USP de désactiver des fonctionnalités de paiement spécifiques (lorsque la fonctionnalité du produit le permet), en recevant des alertes sur les tentatives de lancement et/ou d’échec d’opérations de paiement, et en fournissant aux USP une assistance sur les questions et les demandes de soutien. L’EBA souligne l’importance d’assurer la transparence, de sorte que les USP sachent toujours quel PSP est chargé de leur fournir le service de paiement.

Dans la mise en oeuvre de ces orientations, les institutions financières devraient se référer aux normes existantes et aux meilleures pratiques de pointe. Ces orientations se veulent agnostiques en matière de technologie et de méthodologie.

La mise en oeuvre de ces orientations devrait se faire conformément au principe de proportionnalité, en tenant compte de l’ampleur et de la complexité des opérations, de la nature de l’activité exercée, des types de services fournis et des risques correspondants en matière de TIC et de sécurité liés aux processus et aux services des institutions financières.

Conclusion :

Les orientations de l’EBA EBA/GL/2019/04 s’appliquent à compter du 30 juin 2020.

Les orientations de l’EBA sur les mesures de sécurité pour les risques opérationnels et de sécurité des services de paiement en vertu de la directive (UE) 2015/2366 (DSP2) seront abrogées après l’entrée en vigueur des orientations EBA/GL/2019/04.

Avril 2020

Téléchargez cet article – Veille réglementaire avril 2020 – RPTélécharger

Pour découvrir l’ensemble de nos prestations (conseil, contrôle interne, veille réglementaire, formations …), contactez-nous à : communication@regulationpartners.com

Scroll to top