L’ACPR a publié le 2 juillet une notice composée de 25 orientations à destination des entreprises d’assurance et des ORPS, les incitants à améliorer leur gestion des cyber-risques.
« Le secteur financier demeure le secteur le plus ciblé par les cyberattaques », rappelle l’ACPR dans son communiqué. Le 2 juillet, l’autorité de contrôle prudentiel et de résolution a publié une notice relative à la sécurité de l’information et à la gouvernance des TIC. Composée de 25 orientations, elle incite les assureurs et les organismes de retraite professionnelle supplémentaire (ORPS) à améliorer leur gestion des risques cyber.
La première orientation se porte sur la proportionnalité de l’application des orientations en fonction de la nature et de la complexité des risques auxquels fait face l’entreprise ou l’organisation. L’autorité se concentre ensuite sur les technologies de l’information et de la communication, en définissant un cadre du système de gouvernance, la stratégie et les risques en matière de technologies de l’information et de la communication (TIC). Elle incite l’organe d’administration, de gestion ou de contrôle (AMSB) de l’entreprise à veiller à ce que la stratégie TIC « soit mise en œuvre, adoptée et communiquée en temps utile au personnel ».
Politique écrite
Les entreprises d’assurance sont invitées à « élaborer une politique écrite en matière de sécurité de l’information », selon la notice. La réglementation écrite devrait inclure une description des principaux rôles et responsabilités en matière de gestion de la sécurité de l’information, ainsi que les exigences applicables au personnel et aux technologies. À la tête de ce règlement, une personne devrait être désignée pour rendre des comptes à l’organe d’administration, de gestion ou de contrôle, en assurant la séparation de la fonction de sécurité de l’information des TIC.
Parmi les autres orientations, l’ACPR a notamment incité les entreprises à planifier la protection et la restauration des informations et des activités en cas d’attaques, organiser un plan de réponse et de reprise mais aussi anticiper par quels canaux de communication l’entreprise attaquée compte communiquer en interne et en externe afin que les autorités compétentes soient mises au courant.
Sous surveillance
« La gouvernance, les systèmes et les processus des entreprises concernant leurs risques en matière de TIC et de sécurité devraient faire l’objet d’un audit périodique. La fréquence et les points d’attention de ces audits devraient être proportionnés aux risques concernés en matière de TIC et de sécurité », conclut l’ACPR dans son communiqué.
