Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 21 Contrôle d’accès

  1. Dans le cadre de leur contrôle des droits de gestion des accès, les entités financières élaborent, documentent et mettent en œuvre une politique qui comporte l’ensemble des éléments suivants:

    1. l’attribution de droits d’accès aux actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; selon les principes du besoin d’en connaître, du besoin d’en disposer et du moindre privilège, y compris pour l’accès à distance et l’accès d’urgence;

    2. une séparation des tâches visant à empêcher un accès injustifié à des données critiques ou à empêcher l’attribution de combinaisons de droits d’accès susceptibles d’être utilisées pour contourner les contrôles;

    3. des dispositions sur la responsabilité des utilisateurs, en limitant, dans la mesure du possible, l’utilisation de comptes utilisateurs génériques ou partagés et en veillant à ce que les utilisateurs soient à tout moment identifiables pour les actions effectuées dans les systèmes de TIC;

    4. des dispositions sur les restrictions d’accès aux actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, prévoyant des contrôles et des outils pour empêcher tout accès non autorisé;

    5. des procédures de gestion de comptes permettant d’accorder, de modifier ou de révoquer des droits d’accès pour les comptes d’utilisateurs et les comptes génériques, y compris les comptes génériques d’administrateur, comportant des dispositions relatives à tous les éléments suivants:

      1. l’attribution des rôles et des responsabilités pour l’octroi, le réexamen et la révocation des droits d’accès;

      2. l’attribution d’accès privilégiés, d’urgence et d’administrateur uniquement sur la base du besoin d’en disposer ou au cas par cas pour tous les systèmes de TIC;

      3. le retrait des droits d’accès sans retard injustifié à la fin de l’emploi ou lorsque l’accès n’est plus nécessaire;

      4. la mise à jour des droits d’accès lorsque des modifications sont nécessaires et au moins une fois par an pour tous les systèmes de TIC autres que les systèmes de TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; et au moins tous les six mois pour les systèmes de TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;;

    6. des méthodes d’authentification, comprenant l’ensemble des éléments suivants:

      1. l’utilisation de méthodes d’authentification proportionnées à la classification établie conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554 et au profil de risque global des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; et tenant compte des pratiques de pointe;

      2. l’utilisation de méthodes d’authentification forte conformément aux pratiques et techniques de pointe pour l’accès à distance au réseau de l’entité financière, pour les accès privilégiés, pour l’accès aux actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou aux actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; accessibles au public;

    7. des mesures de contrôle de l’accès physique comprenant:

      1. l’identification et la journalisation des personnes physiques autorisées à accéder aux locaux, aux centres de données et aux zones sensibles désignées par l’entité financière où sont situés les actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; et les actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection;;

      2. l’octroi de droits d’accès physique aux actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; critiques uniquement aux personnes autorisées, conformément aux principes du besoin d’en connaître et du moindre privilège, et au cas par cas;

      3. le suivi de l’accès physique aux locaux, aux centres de données et aux zones sensibles désignées par l’entité financière où sont situés les actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, les actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; ou les deux types d’actifs;

      4. le réexamen des droits d’accès physique afin de veiller à ce que les droits d’accès inutiles soient rapidement révoqués.

  2. Aux fins du point e) i), les entités financières définissent la durée de conservation en prenant en considération les objectifs en matière de sécurité des activités et de l’information, les raisons de l’enregistrement de l’événement dans les journaux et les résultats de l’évaluation du risque lié aux TIC.

  3. Aux fins du point e) ii), les entités financières utilisent, dans la mesure du possible, des comptes spécifiques pour l’exécution de tâches administratives relatives aux systèmes de TIC. Lorsque cela est possible et approprié, les entités financières déploient des solutions automatisées pour la gestion des accès privilégiés.

  4. Aux fins du point g) i), l’identification et la journalisation sont proportionnées à l’importance des locaux, des centres de données et des zones sensibles désignées et à la criticité des opérations ou des systèmes de TIC qui y sont situés.

  5. Aux fins du point g) iii), le suivi est proportionné à la classification établie conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554 et à la criticité de la zone accessible.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod