Publié par L’instruction DOC-2019-24 publié par l’AMF, détaille les exigences en application de l’article 721-4 du Règlement Général, relatives à la cybersécurité que doivent respecter les prestataires de services sur actifs numériques afin d’assurer la résilience et la sécurité de leurs systèmes d’information.
Lire l’instruction DOC-2019-24″
Ce que doit contenir le programme de cybersécurité
Un programme continu de cybersécurité permettant de maitriser le niveau de sécurité des systèmes d’information impliqués dans la fourniture du ou des services sur actifs numériques doit être réalisé.
Ce programme doit être composé :
- dès la phase de conception, d’une analyse des risques de sécurité qui pourraient impacter négativement la disponibilité, l’intégrité, la confidentialité et la traçabilité (DICT) des systèmes d’information,
- d’une analyse d’impact relative à la protection des données à caractère personnel (AIPD),
- d’une mise en œuvre de moyens humains, organisationnels et techniques permettant de maitriser les risques identifiés et de répondre aux exigences de disponibilité, intégrité, confidentialité et traçabilité définies,
- de dispositifs de contrôle de la présence et de l’efficacité des mesures de sécurité préalablement identifiées,
- de procédures de revue régulière des comptes et des droits d’accès sur les systèmes d’information listés précédemment,
- d’une gestion des vulnérabilités incluant une veille sur les vulnérabilités techniques et menaces pouvant apparaître ainsi que l’application d’une politique permettant leur traitement,
- de moyens humains et techniques permettant la détection d’intrusion ou plus généralement d’évènements redoutés sur les systèmes d’information listés précédemment,
- et de procédures de réponse face aux incidents de sécurité et la reprise de l’activité nominale.