Art. 10 Gestion des vulnérabilités et des correctifs | RTS on ICT risk management framework | DORA

1. Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre des procédures de gestion des vulnérabilités.
1. Les procédures de gestion des vulnérabilités visées au paragraphe 1:
  1. identifient et tiennent à jour des ressources d’information pertinentes et fiables pour renforcer et maintenir la sensibilisation aux vulnérabilités;
  2. prévoient des scans et évaluations automatisés des vulnérabilités des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, la fréquence et le champ d’application de ces activités étant proportionnés à la classification établie conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554 et au profil de risque global de l’actif de TIC;
  3. vérifient:
    si les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; traitent les vulnérabilités liées aux services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis à l’entité financière;
    si ces prestataires de services informent l’entité financière, en temps utile, au moins des vulnérabilités critiques, ainsi que des statistiques et tendances;
  4. tracent l’utilisation:
    de bibliothèques tierces, y compris de bibliothèques à code source ouvert, utilisées par les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;;
    de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; développés par l’entité financière elle-même, ou spécifiquement adaptés ou développés pour elle par un prestataire tiers de services TIC;
  5. établissent des procédures pour une divulgation responsable des vulnérabilités aux clients, aux contreparties et au public;
  6. donnent la priorité au déploiement de correctifs et d’autres mesures d’atténuation pour remédier aux vulnérabilités décelées;
  7. suivent et vérifient la correction des vulnérabilités;
  8. exigent l’enregistrement de toute vulnérabilité: une faiblesse, une susceptibilité ou un défaut d’un actif, d’un système, d’un processus ou d’un contrôle qui peuvent être exploités; détectée touchant les systèmes de TIC et le suivi de leur résolution.
2. Aux fins du point b), les entités financières effectuent au moins une fois par semaine les scans et évaluations automatisés des vulnérabilités des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;.
3. Aux fins du point c), les entités financières demandent aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; d’enquêter sur les vulnérabilités concernées, d’en déterminer les causes profondes et de mettre en œuvre des mesures d’atténuation appropriées.
4. Aux fins du point d), les entités financières surveillent, le cas échéant en collaboration avec le prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, les versions et mises à jour éventuelles des bibliothèques tierces. Dans le cas d’actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; prêts à l’emploi ou de composants d’actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; acquis et utilisés dans le cadre de l’exploitation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui ne soutiennent pas des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, les entités financières tracent, dans la mesure du possible, l’utilisation de bibliothèques tierces, y compris des bibliothèques à code source ouvert.
5. Aux fins du point f), les entités financières tiennent compte de la criticité des vulnérabilités, de la classification établie conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554 et du profil de risque des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; concernés par les vulnérabilités décelées.
1. Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre des procédures de gestion des correctifs.
1. Les procédures de gestion des correctifs visées au paragraphe 3:
  1. dans la mesure du possible, identifient et évaluent les correctifs et mises à jour logiciels et matériels disponibles à l’aide d’outils automatisés;
  2. définissent des procédures d’urgence pour l’application des correctifs et des mises à jour des actifs de TIC;
  3. testent et déploient les correctifs logiciels et matériels et les mises à jour visées à l’article 8, paragraphe 2, point b) v), vi) et vii);
  4. fixent des délais pour l’installation des correctifs et mises à jour logiciels et matériels, ainsi que des procédures de remontée d’informations lorsque ces délais ne peuvent pas être respectés.

Compte tenu de l’évolution rapide des TIC, des vulnérabilités des TIC et des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, il est nécessaire d’adopter une approche proactive et globale pour identifier, évaluer et éliminer ces vulnérabilités. En l’absence d’une telle approche, les entités financières, leurs clients, leurs utilisateurs ou leurs contreparties peuvent être exposés à des risques graves mettant en péril leur résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, la sécurité de leurs réseaux, ainsi que la disponibilité, l’authenticité, l’intégrité et la confidentialité des données que les politiques et procédures de sécurité des TIC sont censées protéger. Les entités financières visées au titre II du présent règlement devraient donc identifier les vulnérabilités qui peuvent exister dans leur environnement de TIC et y remédier, et tant les entités financières que leurs prestataires tiers de services TIC: une entreprise qui fournit des services TIC; devraient appliquer un cadre de gestion des vulnérabilités cohérent, transparent et responsable. Pour la même raison, les entités financières devraient surveiller les vulnérabilités des TIC en utilisant des ressources fiables et des outils automatisés, et en vérifiant que les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; garantissent une action rapide contre les vulnérabilités des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis.

Article 10 Gestion des vulnérabilités et des correctifs

Relevant recitals