Recital 17 ICT change management policies and procedures

Tout changement, quelle que soit son échelle, comporte des risques inhérents et peut comporter des risques importants de perte de confidentialité, d’intégrité et de disponibilité des données, et entraîner par ricochet de graves perturbations des activités. Afin de protéger les entités financières des s et faiblesses potentielles en matière de TIC qui pourraient les exposer à des risques importants, un processus de vérification rigoureux est nécessaire pour confirmer que tous les changements apportés satisfont aux exigences nécessaires en matière de sécurité des TIC. Les entités financières visées au titre II du présent règlement devraient donc disposer, en tant qu’élément essentiel de leurs politiques et procédures en matière de sécurité des TIC, de solides politiques et procédures de gestion des changements dans les TIC. Afin de préserver l’objectivité et l’efficacité du processus de gestion des changements dans les TIC, de prévenir les conflits d’intérêts et de garantir une évaluation objective des changements apportés aux TIC, il est nécessaire de séparer les fonctions chargées d’approuver ces changements des fonctions qui les demandent et les mettent en œuvre. Pour assurer des transitions efficaces, une mise en œuvre contrôlée des changements de TIC et des perturbations minimales du fonctionnement des systèmes de TIC, les entités financières devraient assigner clairement des rôles et responsabilités garantissant que les changements apportés aux TIC seront planifiés, testés de manière adéquate, et de qualité. Pour veiller à ce que les systèmes de TIC continuent de fonctionner efficacement, et pour fournir un filet de sécurité aux entités financières, il convient par ailleurs que celles-ci élaborent et mettent en œuvre des procédures de secours. Les entités financières devraient clairement définir ces procédures de secours et assigner les responsabilités nécessaires à une réaction rapide et efficace en cas de changements infructueux dans les TIC.