image

Cyber-résilience : publication du rapport du Comité de Bâle sur le contrôle bancaire

Précédent

Cyber-résilience : publication du rapport du Comité de Bâle sur le contrôle bancaire

Infos
Informations
06/12/2018
Dernière mise à jour : 06/12/2018
Samia Maouche
Suivant

Le Comité de Bâle sur le contrôle bancaire (Basel Committee on Banking Supervision, BCBS) vient de publier un rapport détaillant les pratiques de cyber-résilience observées au sein des différents pays couverts. Ce document propose plusieurs pistes visant à améliorer la cyber-résilience à travers une dizaine de point-clés étayés par des études de cas concrets ; et classe les attentes et pratiques en la matière en en quatre catégories :

• gouvernance et culture

• mesure du risque et évaluation de l’état de préparation

• communication et partage d’informations

• interconnexions avec des tiers

Le Comité entend ainsi aider les banques et les régulateurs nationaux à appréhender les enjeux réglementaires liés la cyber-résilience ; et identifier les axes de travail nécessitant des réflexions plus poussées.

Ce rapport vient, d’une part, compléter plusieurs initiatives entreprises depuis le début de l’année et notamment la publication par la Banque centrale européenne (BCE) :

- le 2 mai 2018, de TIBER-EU(Threat Intelligence Based Ethical Red Teaming), un cadre européen pour tester la résilience du système financier aux cyber-attaques (JCP E 2018, act. 379) ; et

- le 3 décembre 2018, des préconisations finales en matière de surveillance de la cyberrésilience des infrastructures de marchés financiers (IMF).

D’autre part, la cyber-résilience constitue un préalable nécessaire à la mise en œuvre de la cyber-sécurité, dont le cadre légal européen a été complété puis transposé dans notre droit interne par les textes suivants :

- le règlement d’exécution (Règl. exéc, Comm. UE, règl. exéc. n° 2018/151, 30 janv. 2018) portant modalités d’application de la « directive dite NIS » (Network Information Security)(PE et Cons. UE, dir. (UE) 2016/1148, 6 juil. 2016) ;

- la loi du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (L. n° 2018-133, 26 févr. 2018Th. Douville, Cybersécurité : transposition de la directive NIS, ses limites et ses conséquences : JCP E 2018, act. 284) ;

- le décret du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique  (É. A. Caprioli, Service numérique : Comm. com. électr. 2018, comm. 88) ;

- l’arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n° 2018-384 du 23 mai 2018 ;

- l’arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l’article 10 du décret n° 2018-384 du 23 mai 2018.