4.5.1. Sécurité ict
Cadre légal et réglementaire :
- Loi de contrôle des sociétés de bourse : Art. 17, § 1er, 7°
- Circulaire BNB thématiques pertinentes :
- Circulaire NBB_2021_21 du 26 octobre 2021 concernant les orientations de l’EBA sur la notification des incidents majeurs ;
- Circulaire NBB_2020_23 du 16 juin 2020 concernant les orientations de l’EBA sur la gestion des risques liés aux TIC et à la sécurité
- Circulaire NBB_2019_09 du 8 mai 2019 au sujet du reporting concernant les orientations de l’EBA relatives aux mesures de sécurité pour les risques opérationnels et de sécurité liés aux services de paiement
- Circulaire NBB_2019_19 du 19 juillet 2019 relatives à l’externalisation ;
- Circulaire NBB_2015_32 du 18 décembre 2015 concernant les attentes prudentielles complémentaires de la BNB en matière de continuité et de sécurité opérationnelle des établissements financiers d’importance systémique ;
- Communication NBB_2011_05 du 27 octobre 2011 sur les attentes prudentielles de la BNB pour une saine gestion du risque opérationnel ;
- Circulaire NBB_2009_17 du 7 avril 2009 sur les services financiers via internet : exigences prudentielles ;
- Circulaire PPB 2005/2 du 10 mars 2005 concernant les saines pratiques de gestion visant à assurer la continuité des activités des institutions financières
- Documents internationaux de référence: //
4:175 L’article 17, §1, 7° de la loi de contrôle des sociétés de bourse prévoit que doivent être mis en place des mécanismes de contrôle et de sécurité dans le domaine informatique appropriés aux activités de la société et suffisamment solides pour garantir la sécurité et l’authentification des moyens de transfert de l’information, réduire au minimum le risque de corruption des données et d’accès non autorisés et empêcher les fuites d’informations afin de maintenir en permanence la confidentialité des données.
4:176 Ainsi, l’organe légal d'administration veille à ce que Ie système de gouvernance des sociétés, notamment Ie système de gestion des risques et de contrôle interne, gère de manière adéquate les risques liés aux technologies de l’information et de la communication (ICT) et à la sécurité de I'information.
4:177 Les sociétés instaurent, dans Ie cadre de leur système de gouvernance et conformément au principe de proportionnalité, une fonction de sécurité de I'information dont les objectifs sont notamment : (i) piloter la vision et la stratégie de la société en matière de sécurité de l’information, en tenant compte de toutes les informations pertinentes ; (ii) veiller à ce que les objectifs et les mesures de sécurité de l'information définis dans cette stratégie soient traduits en un cadre politique global de sécurité de l'information ; (iii) communiquer correctement ce cadre de politique de sécurité de l'information à toutes les parties prenantes, tant en interne que, le cas échéant, en externe ; (iv) examiner, contrôler et assurer le respect du cadre stratégique en matière de sécurité de l'information et l'adapter si nécessaire ; et (v) établir des processus de gestion et de notification des risques liés à la sécurité, intégrés dans le cadre général de gestion des risques de la société.
4:178 Il est recommandé que la fonction de sécurité de l’information soit une fonction supérieure au sein de la société (niveau « N-1 » ou « N ») qui est en mesure de rendre compte directement à l’organe légal d’administration et à la direction effective ou, le cas échéant, au comité de direction. La responsabilité de la fonction de sécurité de l’information peut être confiée à ce que l’on appelle communément le Chief Information Security Officer (ou CISO).
4:179 Pour plus d’informations, il est renvoyé aux circulaires de la BNB thématiques pertinentes (notamment, la circulaire NBB_2019_19 qui s’applique à tous les cas de sous-traitance, y compris les cas de sous-traitance à des prestataires de services en nuage (cloud outsourcing), la circulaire NBB_2009_17 concernant les services par internet , etc.).