une feuille de route pour ps21 3 pourquoi le temps presse pour les services financiers

Feuille de route pour PS21/3 : pourquoi le temps presse pour les services financiers

On a beaucoup écrit sur la nécessité pour les sociétés de services financiers d'améliorer leur résilience opérationnelle. Mais la plupart des articles se sont jusqu'à présent concentrés sur la Loi sur la résilience opérationnelle numérique de l'UE (DORA), qui est entrée en vigueur en janvier – même si de nombreuses banques britanniques peut-être pas encore être en conformité. La nouvelle déclaration de politique de la Financial Conduct Authority (FCA) est sans doute plus importante pour de nombreuses sociétés de services financiers britanniques : PS21 / 3.

Parallèlement à la déclaration de surveillance de l'Autorité de régulation prudentielle (PRA) SS1 / 21, il s'agit d'une série de nouvelles exigences rigoureuses pour le secteur qui doivent être mises en place d'ici le 31 mars 2025. Pour toutes les organisations qui envisagent de déprioriser discrètement ces efforts, une Lettre « Cher PDG » La déclaration de la FCA début février devrait concentrer les esprits.

En fin de compte, le régulateur s’attend à ce que les entreprises soient conformes. Heureusement, la norme ISO 27001 peut aider les organisations concernées à créer la culture de résilience opérationnelle exigée par la FCA, la PRA et la DORA.

Le changement numérique implique un risque numérique

Comme la plupart des secteurs, les services financiers dépendent de plus en plus de l’infrastructure numérique pour rester compétitifs et offrir les expériences en ligne fluides que les clients recherchent. En 2024, environ 86 % des adultes britanniques ont recours aux services bancaires en ligne, et ce chiffre, ainsi que celui des services bancaires mobiles, devrait continuer à augmenter au cours des prochaines années, en partie grâce à l'impact perturbateur des entreprises fintech. Le marché britannique pour ces entreprises est mis à valoir plus de 24 milliards de dollars (19 milliards de livres sterling) d’ici 2029.

Le défi que pose le rythme croissant de cette transformation numérique est le risque supplémentaire qui l'accompagne. Une dépendance croissante à la technologie expose les banques et autres entreprises à un risque accru d'extorsion numérique, principalement par le biais de ransomware, tout en élargissant la surface d'attaque de sorte que les violations deviennent presque inévitables. Il s'agit d'un risque potentiellement grave pour la réputation et les finances. Selon le Fonds monétaire international (FMI), Rapport sur la stabilité financière mondialePlus de 20,000 12 attaques contre le secteur bancaire ont entraîné des pertes dépassant 9.5 milliards de dollars (20 milliards de livres sterling) au cours des 2017 dernières années. En outre, les « pertes extrêmes » ont plus que quadruplé depuis 2.5 pour atteindre 2 milliards de dollars (XNUMX milliards de livres sterling).

Cependant, le cyber-risque ne provient pas toujours de tiers malveillants. Fin janvier, une panne informatique majeure chez Barclays L'incident a laissé de nombreux clients dans l'impossibilité de payer leurs impôts, leurs factures et leurs mensualités hypothécaires, voire d'accéder aux informations exactes sur leurs comptes. Les conséquences ont été prévisibles et terribles pour le prêteur de la rue principale, qui, au moment de la rédaction de cet article, n'avait toujours pas expliqué la cause de l'incident.

Ce que veut la FCA

C'est pourquoi la FCA, pour sa part, semble désireuse d'accroître les exigences réglementaires concernant la résilience opérationnelle numérique dans le secteur. La PS21/3 exige que les banques, les sociétés de construction, les assureurs, les prestataires de paiement et autres mettent en place les éléments suivants avant la fin du mois de mars :

  • Identifier les services commerciaux les plus importants de l'organisation et les réviser régulièrement
  • Définissez des tolérances d’impact pour chacun de ces services et révisez-les régulièrement
  • Identifier et documenter les personnes, les processus, la technologie, les installations et les informations nécessaires pour fournir les services clés. Cela inclut toutes les relations avec les fournisseurs qui pourraient avoir un impact sur la capacité de l'organisation à rester dans les limites de tolérance aux impacts
  • Élaborer des plans de test qui décrivent comment l’organisation peut rester dans les limites de tolérance aux impacts pour chaque « service commercial important » – en identifiant des scénarios plausibles adaptés aux risques et aux vulnérabilités. Cela aidera les cadres supérieurs à s’assurer que les plans de correction des vulnérabilités sont correctement financés
  • Élaborer et tester des plans de réponse aux incidents
  • Fournir une auto-évaluation en ligne avec guide d'orientation du manuel à l'organisme directeur compétent. Cela doit mettre en évidence le parcours de l'organisation vers la résilience opérationnelle, y compris un aperçu des vulnérabilités détectées, des scénarios testés (ainsi que de leurs résultats), des plans de correction et de la stratégie globale pour rester dans les limites de tolérance d'impact pour tous les services commerciaux critiques
  • Analyse régulière de l'horizon pour aider à comprendre les risques nouveaux et émergents et garantir que les contrôles appropriés sont en place pour détecter, répondre et se remettre des perturbations opérationnelles

 

La FCA a déjà publié quelques observations L'organisme de réglementation s'est penché sur les efforts de conformité actuels, qui devraient, selon lui, aider les sociétés de services financiers à évaluer leur état de préparation et à finaliser leurs plans PS21/3. Le régulateur tient particulièrement à s'assurer que le risque lié aux tiers est géré de manière continue et active par les sociétés concernées, notamment par des tests si nécessaire. Et que les plans de remédiation sont entièrement financés. Il exige également que les organisations conformes ne traitent pas la PS21/3 comme une « activité ponctuelle » mais intègrent plutôt ses exigences dans la culture d'entreprise.

Comment ISO 27001 peut vous aider

C'est là que la norme ISO 27001 prend tout son sens. Selon Sam Peters, directeur des produits d'ISMS.online, la norme et la norme PS21/3 sont alignées dans plusieurs domaines clés, notamment :

  • Gouvernance et responsabilité- Tous deux mettent l’accent sur la responsabilité des dirigeants dans l’élaboration et la supervision des stratégies de résilience.
  • Tolérance aux impacts et gestion des risques- Les deux nécessitent une prise de décision basée sur les risques et la définition de seuils de risque pour maintenir la résilience.
  • Tests et analyse de scénarios- Les deux nécessitent des tests réguliers pour évaluer et améliorer la résilience opérationnelle afin que les organisations puissent gérer efficacement les perturbations.
  • Gestion des risques liés aux tiers Les deux exigent une diligence raisonnable envers les tiers, bien que la norme ISO 27001 fournisse une approche structurée pour la gestion des risques de sécurité des fournisseurs.
  • Rapport d'incident et réponse Les deux nécessitent une planification de la réponse aux incidents, même si « la norme ISO 27001 va plus loin en garantissant que la gestion des incidents est documentée, surveillée et améliorée au fil du temps », selon Peters.
  • Amélioration continue et apprentissage à partir des perturbations Tous deux mettent l’accent sur l’apprentissage à partir des perturbations pour améliorer continuellement la résilience.

« Les entreprises qui utilisent la norme ISO 27001 disposent déjà d’une base solide pour répondre aux exigences de résilience de la FCA, notamment en matière de gestion des risques, de réponse aux incidents et d’amélioration continue », explique Peters. « En s’appuyant sur la norme ISO 27001, les entreprises de services financiers peuvent renforcer leur conformité aux règles de la FCA tout en améliorant leur posture de sécurité et leur résilience globales. »

Comme mentionné précédemment, les nouvelles règles de la FCA partagent également des principes fondamentaux en matière de résilience opérationnelle avec la DORA. Cela comprend une plus grande responsabilité de la direction, la résilience des tiers, une meilleure réponse aux incidents et « la cartographie des services critiques, l'identification des vulnérabilités et la définition de seuils de risque », explique Peters. Bien que les deux régimes diffèrent en termes de portée et d'application, cela offre une opportunité aux sociétés financières britanniques opérant dans l'UE d'aligner les stratégies de résilience opérationnelle de la FCA sur celles de la DORA, en utilisant la norme ISO 27001 comme base.

Cela contribuera en fin de compte à « rationaliser les efforts de conformité et à réduire les risques réglementaires », conclut Peters.

Auteur

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Afficher tous les articles de Phil Muncaster

Articles Similaires

SOC 2 est arrivé ! Renforcez votre sécurité et renforcez la confiance de vos clients grâce à notre puissante solution de conformité dès aujourd'hui !