Circulaire CSSF 25/892 : Estimation des Coûts et Pertes Liés aux Incidents TIC
Introduction
La Circulaire CSSF 25/892, publiée le 28 mai 2025, s'inscrit dans le cadre de l'application des lignes directrices conjointes de l'Autorité Européenne des Services Financiers (AES) concernant l'estimation des coûts et pertes annuels agrégés causés par des incidents majeurs liés aux technologies de l'information et de la communication (TIC). Cette circulaire est essentielle pour les institutions financières opérant sous la juridiction de la CSSF, car elle fournit un cadre pour évaluer et gérer les risques associés aux incidents TIC.
Contexte Réglementaire
La circulaire se base sur le règlement (UE) 2022/2554, qui vise à renforcer la résilience opérationnelle des institutions financières face aux risques technologiques. Ce règlement impose aux entités de mettre en place des mécanismes robustes pour identifier, évaluer et atténuer les risques liés aux TIC. La CSSF, en tant qu'autorité de contrôle, veille à ce que ces exigences soient respectées par les entités sous sa supervision.
Principaux Enjeux de la Circulaire
La circulaire met l'accent sur plusieurs aspects clés :
- Identification des Incidents Majeurs : Les institutions doivent être capables de détecter rapidement les incidents majeurs liés aux TIC et d'en évaluer l'impact potentiel sur leurs opérations.
- Estimation des Coûts et Pertes : Un cadre méthodologique doit être mis en place pour estimer les coûts et pertes potentiels associés à ces incidents, en tenant compte des impacts financiers, opérationnels et réputationnels.
- Plan de Réponse et de Récupération : Les entités doivent disposer de plans de réponse et de récupération efficaces pour minimiser les perturbations causées par les incidents TIC.
Quelques pistes pour l'intégration opérationnelle dans votre dispositif :
- Mettre en place un système de surveillance continue pour détecter les incidents TIC en temps réel.
- Élaborer des scénarios d'incidents et des exercices de simulation pour tester la résilience des systèmes.
- Former régulièrement le personnel aux procédures de gestion des incidents TIC.
- Évaluer et mettre à jour régulièrement les plans de réponse et de récupération.
- Collaborer avec des experts en cybersécurité pour renforcer les défenses contre les menaces TIC.
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.