Les cybermenaces et les cyberincidents constituent un risque majeur pour les entreprises du secteur financier. L'Autorité des Services et des Marchés Financiers (FSMA) a défini quelques principes de base pour la gestion de ces risques dans une communication du 2 octobre 2019. La FSMA vise ainsi à sensibiliser les entreprises et à leur enseigner les principes de base de la gestion des risques liés à la cybersécurité.
En collaboration avec le Centre pour la Cybersécurité Belgique (CCB), l'autorité nationale chargée du contrôle et de la coordination de la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique, la FSMA a publié quelques principes de base pour aider les entreprises à mettre en œuvre des mesures de cybersécurité. Bien que la communication de la FSMA s'adresse principalement aux entreprises sous sa supervision, les principes peuvent guider toutes les entreprises dans la gestion de leurs risques de cybersécurité.
La cybersécurité en tant que domaine d'attention prioritaire
La FSMA encourage les entreprises à sensibiliser davantage à la sécurité de l'information et à leurs mesures organisationnelles et techniques de cybersécurité et à les traiter comme un domaine prioritaire d'attention. Elle attend des entreprises qu'elles prennent les mesures nécessaires pour gérer les cyberrisques et qu'elles revoient et actualisent régulièrement ces mesures à la lumière des dernières techniques et des meilleures pratiques.
En particulier, la FSMA s'attend à ce que les directeurs et les cadres supérieurs assument la responsabilité du risque lié à la cybersécurité et qu'ils l'inscrivent en tête de leurs priorités. Selon la FSMA, ces dirigeants doivent prendre les mesures adéquates et les plus avancées pour améliorer la cyberdéfense de l'entreprise et prendre des mesures décisives sur des questions importantes, telles que l'alignement des stratégies informatiques et commerciales, l'externalisation de la gestion des risques, la gestion du changement et la gestion de la cybersécurité.
Gestion des risques liés à la cybersécurité
Selon la FSMA, la gestion efficace des risques liés à la cybersécurité repose sur quatre principes:
1. Stratégie et soutien en matière de sécurité
Tout d'abord, la FMSA encourage les entreprises à élaborer un plan d'intervention en cas d'incident cybernétique. Ce plan identifie les mesures nécessaires pour prévenir les cyberincidents et réagir adéquatement en cas d'incident.
Un plan d'intervention efficace en cas d'incident cybernétique :
- s'articule autour des scénarios de catastrophes les plus courants ;
- comprend toutes les mesures nécessaires pour permettre aux entreprises de reprendre leurs activités rapidement, en toute sécurité et avec des données exactes après un incident ; et
- permet aux entreprises de communiquer de manière adéquate et rapide en cas d'incident cybernétique avec toutes les parties concernées, telles que les équipes d'intervention établies dans l'entreprise, les autorités (judiciaires) compétentes, l'autorité de protection des données et les clients.
La FSMA souligne l'importance de sensibiliser l'ensemble de l'entreprise, y compris ses succursales et ses points de vente, notamment parce qu'ils seront les premiers à recevoir les demandes de renseignements des clients concernés.
2. Inventaire des ressources d'information et analyse des risques
Deuxièmement, la FSMA insiste sur le fait que les entreprises devraient inventariser leurs infrastructures et les ressources d'information connexes par ordre de priorité :
- quelles sont les opérations critiques et les actifs vitaux de l'entreprise qui doivent être protégés ?
- quels sont les outils d'information utilisés à cette fin ?
- quelles sont les données les plus sensibles ?
Selon la FSMA, dans le cadre de cette gestion des risques et de la mise en œuvre des processus et procédures de cybersécurité, les entreprises devraient toujours prendre en compte le principe de proportionnalité : les entreprises doivent partir de leur propre profil de risque, et tenir compte du fait que le nombre d'employés n'est pas le seul ou le plus important indicateur du profil de risque.
3. Mise en œuvre des mesures de sécurité
Troisièmement, la FSMA souligne l'importance pour les entreprises de prendre les mesures techniques et organisationnelles adéquates pour se protéger contre les cyberrisques. Ces mesures devraient permettre aux entreprises de détecter les incidents à un stade précoce, de réagir rapidement aux incidents et de prendre les contre-mesures appropriées.
La FSMA demande une répartition claire des responsabilités au sein de l'entreprise afin de traiter efficacement les incidents. De plus, la FSMA recommande aux entreprises de mettre en œuvre la solution SIEM (Security Information and Event Management), en fonction de leur taille. Cette solution analyse les systèmes de réseau au sein de l'entreprise afin de détecter et de traiter les activités suspectes.
En outre, la FMSA conseille aux entreprises de vérifier, dans leurs relations avec leurs prestataires de services informatiques, si les prestataires (potentiels) se sont bien préparés dans le domaine de la cybersécurité (par exemple, au moyen de questionnaires auprès des fournisseurs). Par exemple, les entreprises devraient vérifier si l'accord conclu avec le prestataire de services contient des garanties suffisantes en matière de protection des données, y compris la notification en temps utile des incidents.
4. Évaluation des mesures de sécurité
Enfin, la FSMA insiste sur l'importance d'une évaluation régulière des mesures de sécurité. Par exemple, les entreprises devraient évaluer leurs mesures de sécurité au moins une fois par an et approfondir et affiner leur analyse des risques.
Vous souhaitez en savoir plus sur les différentes obligations en matière de cybersécurité et sur la manière dont votre entreprise peut se préparer au mieux ?
Consultez nos contributions précédentes que vous trouverez ici et ici ou contactez l'un de nos spécialistes.
