Recital 5 Cyber attacks

Les critères de classification devraient permettre de rendre compte de tous les types d’incidents majeurs pertinents. De nombreux critères de classification ne rendent pas nécessairement compte des cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace; liées à l’intrusion dans le réseau ou les systèmes d’information. Or celles-ci sont importantes car toute intrusion dans le réseau ou les systèmes d’information est susceptible de nuire à l’entité financière. En conséquence, les critères de classification «services critiques touchés» et «pertes de données» devraient être définis de manière à rendre compte de ces types d’incidents majeurs, en particulier des intrusions non autorisées qui, même si l’on n’en connaît pas immédiatement l’incidence, sont susceptibles d’entraîner de graves conséquences, notamment des violations de données et des fuites de données.