Quels sont les principaux objectifs et exigences de CPS 230 ?
Quels sont les principaux objectifs et exigences de CPS 230 ?

Compliance Down Under : Comprendre la réglementation australienne CPS 230

Vivian Susko |

L'Autorité australienne de régulation prudentielle (APRA) a publié la norme prudentielle CPS 230 en mars 2017. En un coup d'œil, la réglementation vise à renforcer la résilience de la cybersécurité et la gestion du risque opérationnel du secteur financier en Australie en établissant des normes et des exigences pour les meilleures pratiques en matière de cybersécurité. Mais sous la surface, il y a des nuances à CPS 230 que toutes les entités réglementées par l'APRA devront comprendre - ou risquer des sanctions réglementaires et une atteinte à la réputation.

Voyons ce qu'il en est de la conformité à la norme CPS 230 aux Pays-Bas.

Tout d'abord : Qu'est-ce que CPS 230 ?

La norme CPS 230, également connue sous le nom de norme prudentielle CPS 230, est une réglementation établie par l'Autorité australienne de régulation prudentielle (APRA) pour traiter de la résilience en matière de cybersécurité dans le secteur financier.

Le règlement établit des exigences pour les entités réglementées, telles que les institutions de dépôt autorisées (ADI), les assureurs et les organismes de retraite, afin de s'assurer qu'elles possèdent les capacités adéquates pour détecter, répondre et se remettre des cyberincidents.

Alors que les entités réglementées ont jusqu'au 1er juillet 2025 pour se conformer, l'APRA indique clairement qu'elle s'attend à une préparation proactive en 2024.

Remplissage de diplômes

Quels sont les principaux objectifs et exigences de CPS 230 ?

Objectif : Renforcer la résilience en matière de cybersécurité. La DPC 230 vise à renforcer la résilience des institutions financières en matière de cybersécurité en établissant des cadres, des politiques et des procédures solides pour atténuer efficacement les cybermenaces.

Exigence : Les institutions financières doivent établir et maintenir un cadre de cybersécurité solide, adapté à leur profil de risque spécifique et à leur environnement opérationnel. Ce cadre doit comprendre des politiques, des procédures, des contrôles et des pratiques de gestion des risques alignés sur les normes internationales en matière de cybersécurité.

Objectif : promouvoir la gestion des risques : Promouvoir la gestion des risques. Le règlement souligne l'importance des pratiques de gestion proactive des risques, y compris l'identification, l'évaluation, l'atténuation et la surveillance des risques, afin de se prémunir contre les cyberrisques.

Exigence : Les institutions financières doivent élaborer et mettre en œuvre des plans complets de gestion des cyberincidents, détaillant les procédures de détection, d'intervention, de confinement, de récupération et de signalement des incidents. Des tests et des répétitions réguliers des capacités de réponse aux incidents sont également obligatoires pour garantir l'état de préparation.

Comment la gestion des risques informatiques et cybernétiques aide les RSSI

Objectif : Assurer la sécurité du TPRM et la préparation à la réponse aux incidents. La norme CPS 230 impose aux institutions financières d'élaborer des plans complets de réponse aux incidents afin de traiter et d'atténuer rapidement les cyberincidents et de minimiser leur impact sur les opérations et les clients.

Exigence: Le conseil d'administration et la direction générale des établissements financiers sont responsables en dernier ressort de la résilience en matière de cybersécurité. Ils sont tenus de superviser activement les mesures de cybersécurité et d'en garantir l'efficacité. Il s'agit notamment d'allouer des ressources adéquates et d'encourager une culture de sensibilisation à la cybersécurité. Les institutions financières sont également tenues d'évaluer et de contrôler la posture de cybersécurité des fournisseurs de services tiers, y compris les fournisseurs de services en nuage et les vendeurs, afin d'atténuer les vulnérabilités potentielles et de garantir la résilience de l'ensemble de la chaîne d'approvisionnement.

Remplissage de diplômes

La voie à suivre pour les institutions financières

La norme CPS 230 représente une étape cruciale dans le renforcement de la résilience en matière de cybersécurité au sein du secteur financier australien et la non-conformité pourrait être coûteuse (sanctions réglementaires, atteinte à la réputation, pertes financières, risques accrus en matière de cybersécurité, etc.) Pour mettre de l'ordre dans vos affaires (et assurer la conformité), vous devez vous concentrer sur les points suivants :

 

  • Instaurer une solide culture du risque : En favorisant un environnement où la conscience du risque et la responsabilité sont ancrées dans l'éthique de l'organisation, les employés sont plus susceptibles d'adhérer aux exigences réglementaires. Une solide culture du risque encourage l'identification proactive des risques, l'évaluation et les stratégies d'atténuation, garantissant que l'organisation fonctionne dans le respect des lignes directrices définies par la norme CPS 230.

 

  • Amélioration et intégration continues : La conformité à la DPC 230 exige un engagement permanent à améliorer les processus et à intégrer les mesures de conformité de manière transparente dans les opérations existantes. L'intégration consiste à intégrer les considérations de conformité dans tous les aspects des activités de l'organisation, de la planification stratégique aux opérations quotidiennes, en encourageant une culture de la conformité à tous les niveaux.
  • Maintenir un inventaire complet de toutes les données, de tous les processus, de tous les systèmes et de tous les contrôles pertinents : Un inventaire permet d'identifier les domaines potentiels de non-conformité, les lacunes dans les contrôles et les dépendances qui peuvent avoir une incidence sur le respect de la réglementation. En mettant à jour et en révisant régulièrement l'inventaire, les organisations peuvent s'assurer qu'elles ont une compréhension claire de leur environnement de conformité et qu'elles peuvent prendre des mesures appropriées pour remédier à toute lacune.
liste de contrôle de l'informatique pour l'utilisateur final
  • Choisir les bons partenaires : Le choix des bons partenaires, tels que les fournisseurs, les prestataires de services et les entités tierces, est essentiel pour la conformité à la norme CPS 230. Les organisations doivent faire preuve d'une grande diligence pour évaluer le niveau de conformité des partenaires potentiels et s'assurer qu'ils respectent les exigences réglementaires. En choisissant des partenaires qui s'engagent résolument en faveur de la conformité et de la gestion des risques, les organisations peuvent atténuer le risque de non-conformité et renforcer leurs efforts globaux en matière de conformité.

 

  • Choisir la bonne technologie : L'utilisation de solutions technologiques est essentielle pour atteindre et maintenir la conformité à la norme CPS 230. Les outils d'automatisation, les logiciels de gestion des risques et les plateformes de conformité peuvent rationaliser les processus, améliorer la transparence et faciliter les activités de contrôle et de reporting. En investissant dans des solutions technologiques, les organisations peuvent gérer efficacement les exigences de conformité, identifier les risques émergents et démontrer qu'elles respectent la réglementation CPS 230.

Découvrez Mitratech GRC Management

En savoir plus sur notre gamme unique de solutions de bout en bout en matière de risque et de conformité.