La FFIEC a publié cet été les conclusions générales d'une évaluation portant sur plus de 500 institutions financières communautaires. Dans soncommuniquéde presse du 3 novembre1, la FFIEC a évoqué la nécessité croissante de renforcer les mesures de cybersécurité et a indiqué qu'elle était déjà en train de réviser et de mettre à jour les directives existantes en matière de gestion des risques liés à la cybersécurité.
L'évaluation de la FFIEC s'est concentrée sur deux principaux domaines de risque : déterminer le niveau de compréhension des cadres supérieurs quant aux risques inhérents aux menaces et vulnérabilités en matière de cybersécurité ; et évaluer dans quelle mesure les institutions étaient préparées à évaluer et à traiter ces risques.
Lors de l'examen des niveaux de risque inhérent, la FFIEC a encouragé les institutions financières à comprendre les types de connexions utilisées pour accéder aux systèmes et aux données, à déterminer si certains produits et services introduisaient un risque supplémentaire en matière de cybersécurité pour l'institution et à comprendre les risques liés à la cybersécurité associés aux différentes technologies utilisées pour fournir ces produits et services.
L'évaluation de la préparation en matière de cybersécurité réalisée par la FFIEC s'est concentrée sur la capacité d'une institution à identifier/évaluer de manière proactive les risques liés à la cybersécurité, sur les processus et contrôles mis en place pour faire face à ces risques, et sur la manière dont une institution gérait son exposition aux risques liés à la cybersécurité chez les prestataires de services tiers.
La mise à jour des directives du FFIEC sur les risques liés à la cybersécurité devrait encourager les institutions financières à développer et à maintenir des environnements de contrôle des risques dynamiques qui gèrent de manière proactive les menaces liées à la cybersécurité pesant sur les institutions elles-mêmes ainsi que sur leurs prestataires de services tiers, et à poursuivre l'élaboration de plans sophistiqués de continuité des activités et de reprise après sinistre. Aucun calendrier précis n'a été fourni quant à la date de publication des nouvelles directives en matière de cybersécurité. Toutefois, dans l'intervalle, il serait prudent que les institutions financières commencent à redoubler d'efforts dans les domaines mis en avant par la FFIEC dans ses observations générales sur la cybersécurité.
1 http://www.ffiec.gov/press/PDF/FFIEC_Cybersecurity_Assessment_Observations.pdf
Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.
