Sept points à retenir des directives de gestion des risques technologiques de MAS


Les lignes directrices modifiées représentent un pas ferme vers le renforcement des défenses de l’écosystème financier de Singapour, plaçant l’industrie en bonne place pour la reprise économique post-Covid.

Le 18 janvier 2021, l’Autorité monétaire de Singapour (« MAS») A publié les nouvelles lignes directrices sur la gestion des risques technologiques («Lignes directrices 2021»), Qui a fortement mis à jour et actualisé les précédentes lignes directrices sur la gestion des risques technologiques en 2013 («Lignes directrices 2013”). Ces directives s’appliquent à toutes les institutions financières (« IF»), Qui comprend également les titulaires de licences de services de paiement.

Il y avait trois catégories principales d’amendements. Le premier concerne des directives supplémentaires sur les rôles et les responsabilités du conseil d’administration et de la haute direction. Le deuxième concerne des évaluations plus rigoureuses des fournisseurs tiers et des entités qui accèdent aux systèmes informatiques de l’IF. Le troisième, et le plus complet, concerne l’introduction de la surveillance, des tests, des rapports et du partage des cybermenaces au sein de l’écosystème financier.

Cette mise à jour du MAS, qui intègre également les commentaires d’une consultation publique antérieure menée par MAS en 2019, est opportune à la lumière du partage accru de données par les IF et de l’augmentation des cyberattaques contre les fournisseurs de technologies tiers. Les principaux changements sont résumés ci-dessous.

7 modifications clés dans les lignes directrices 2021

Directives supplémentaires sur les rôles et responsabilités du conseil d’administration et de la haute direction

1) Rôles et responsabilités élargis pour le conseil d’administration et la haute direction

Les lignes directrices 2021 introduisent les directives selon lesquelles le conseil d’administration et la haute direction devraient veiller à ce qu’un chef de l’information (ou son équivalent) et un chef de la sécurité de l’information (ou son équivalent), possédant l’expérience et l’expertise requises, soient nommés pour être responsables de la gestion la technologie et les cyber-risques (3.1.3, lignes directrices 2021). En comparaison, les lignes directrices de 2013 exigeaient uniquement que le conseil et la haute direction aient une surveillance générale des risques technologiques de l’IF (3.0.2, lignes directrices de 2013).

Les lignes directrices 2021 prévoient également que le conseil d’administration et la haute direction devraient inclure des membres connaissant la technologie et les cyberrisques (3.1.2, lignes directrices 2021). En comparaison, les lignes directrices de 2013 prévoyaient uniquement la participation du conseil d’administration et de la haute direction aux décisions informatiques clés (3.1.1, lignes directrices 2013).

Enfin, les lignes directrices 2021 comprennent également une liste étendue des responsabilités du conseil d’administration et de la haute direction en matière de gestion des risques technologiques (3.1.7 et 3.1.8, lignes directrices 2021). Cette liste est une extension marquée de la liste originale des responsabilités du conseil et de la haute direction dans les lignes directrices de 2013 (3.1, lignes directrices de 2013).

MAS a précisé que l’intention de ces changements est que le conseil d’administration et la haute direction de l’IF comprennent des membres capables d’exercer avec compétence leur supervision de la stratégie, des opérations et des risques technologiques de l’IF (3.4, Réponse au document de consultation pour les lignes directrices TRM 2021).

Des évaluations plus strictes des fournisseurs tiers et des entités qui accèdent aux systèmes informatiques de l’IF

2) Évaluation des fournisseurs de technologie

Les lignes directrices 2021 introduisent une exigence pour l’IF d’établir des normes et des procédures d’évaluation des fournisseurs qui sont liées à la criticité des livrables du projet à l’IF (5.3.1, lignes directrices 2021). Cette évaluation comprend, entre autres, une analyse détaillée du développement logiciel, de l’assurance qualité et des pratiques de sécurité du fournisseur (5.3.2 à 5.3.4, Lignes directrices 2021). En comparaison, les lignes directrices de 2013 exigeaient seulement que les IF fassent preuve de prudence dans leur sélection des fournisseurs et des entrepreneurs et mettent en œuvre un processus de sélection lors de leur engagement (3.3.1, lignes directrices 2013).

Bien que ces ajouts puissent sembler onéreux, le MAS a précisé que les IF peuvent adopter une approche fondée sur les risques lors de l’évaluation de la robustesse des pratiques de sécurité et d’assurance qualité de leur fournisseur de logiciels (5.12, Réponse au document de consultation pour les lignes directrices TRM 2021). En outre, les IF peuvent également obtenir un engagement du fournisseur de logiciels sur la qualité du logiciel pour obtenir l’assurance que le logiciel tiers est sécurisé (5.14, Réponse au document de consultation pour les lignes directrices TRM 2021).

3) Évaluation de l’aptitude des tiers à se connecter à l’interface de programmation d’application (API) et à régir l’accès aux API de tiers

Les lignes directrices 2021 imposent aux IF de développer un processus de vérification bien défini pour évaluer les entités tierces qui souhaitent accéder à leur interface de programmation d’application («API») et pour régir la nature de l’accès API (6.4.2, lignes directrices 2021). ). Le processus de vérification comprend, entre autres, l’évaluation de la nature de l’entreprise du tiers, de la posture de la cybersécurité, de la réputation du secteur et de ses antécédents (6.4.2, Lignes directrices 2021). Les IF doivent envisager une liste d’autres exigences, comme détaillé dans les sections 6.4.1 à 6.4.8 des Lignes directrices 2021.

Ces développements sont nouveaux car les lignes directrices de 2013 ne comprenaient aucune disposition régissant l’accès aux API.

En ce qui concerne la portée des directives sur les API, le MAS a indiqué que les aspects clés sont (1) l’utilisation d’un cryptage fort pour transmettre en toute sécurité des données sensibles, (2) le renforcement des capacités pour surveiller l’utilisation des API et (3) la détection des activités suspectes et la révocation tout accès en cas de faille de sécurité (6.25, Réponse au document de consultation pour les lignes directrices TRM 2021). Le MAS a également recommandé aux IF de se tourner vers le livre électronique MAS-ABS Financial World: API Conference 2016 et ABS-MAS Financial World: Finance-as-a-Service API Playbook comme références pour les meilleures pratiques (6.26, Response to Consultation Document pour TRM Guidelines 2021).

Introduction de la surveillance, des tests, des rapports et du partage des cybermenaces au sein de l’écosystème financier

4) Surveillance des cybermenaces et partage d’informations

Les lignes directrices 2021 introduisent les directives selon lesquelles les IF devraient mettre en place un processus de collecte, de traitement et d’analyse des informations liées à la cybersécurité (12.1.1, lignes directrices 2021). Ces informations devraient être étayées par des services de surveillance du cyber-renseignement, fournis par l’IF (12.1.2, Lignes directrices 2021). Ces informations devraient ensuite être partagées avec des parties de confiance pour créer un écosystème financier plus solide (12.1.2, Lignes directrices 2021).

En outre, les lignes directrices 2021 prévoient que les IF devraient créer un centre d’opérations de sécurité ou acquérir des services de sécurité gérés afin de faciliter la surveillance et l’analyse continues des cyber-événements (12.2.1, lignes directrices 2021). En comparaison, la ligne directrice de 2013 ne fournit que des suggestions générales aux IF pour mettre en œuvre des solutions de sécurité pour traiter et contenir de manière adéquate les menaces pesant sur son environnement informatique (lignes directrices 9.0.1 et 9.0.2, 2013)

Le MAS a précisé qu’il n’exige pas que les IF s’abonnent à des services spécifiques de surveillance et de partage de renseignements sur les cybermenaces (12.13, Réponse au document de consultation pour les lignes directrices TRM 2021). L’intention est plutôt que l’IF participe à des accords de partage d’informations sur les cybermenaces avec des parties de confiance, le cas échéant (12.9 et 12.10, Réponse au document de consultation pour les directives TRM 2021).

5) Réponse et gestion des cyberincidents

Les lignes directrices 2021 prévoient que les IF doivent établir un plan de réponse et de gestion des incidents cybernétiques pour isoler et neutraliser une cyber-menace et reprendre en toute sécurité les services concernés. Cela introduit la nécessité pour les IF d’établir un processus pour enquêter et identifier les lacunes de sécurité ou de contrôle et définir les procédures de communication, de coordination et de réponse pour faire face à ces menaces (12.3.1 et 12.3.2, Lignes directrices 2021). En comparaison, les lignes directrices de 2013 ne prévoyaient qu’un plan général de gestion des incidents en cas d’interruption de la prestation standard de services informatiques (7.3, lignes directrices 2013). Ce nouvel ajout ciblé de MAS reflète l’importance que MAS accorde à la gestion des réponses aux cybermenaces.

MAS a indiqué qu’en pratique, le plan de réponse et de gestion des incidents cybernétiques peut faire partie du plan de gestion des incidents plus large de l’IF (12.35, Réponse au document de consultation pour les lignes directrices TRM 2021).

6) Évaluations de la cybersécurité

Les lignes directrices 2021 prévoient que les IF évaluent leur cybersécurité au moyen d’une évaluation de la vulnérabilité et de tests de pénétration. Les lignes directrices 2021 dictent les exigences minimales de l’évaluation de la vulnérabilité, qui incluent le processus de découverte des vulnérabilités, l’identification des configurations de sécurité faibles et des ports réseau ouverts et l’étendue des tests de pénétration à effectuer (13.1.2, lignes directrices 2021). Les tests de pénétration dans le cadre des lignes directrices 2021 exigeront également que les IF réalisent une combinaison de tests boîte noire et boîte grise (13.2, lignes directrices 2021). Cela représente une extension marquée de la portée initiale de l’évaluation de la vulnérabilité et des tests d’intrusion, comme indiqué dans les lignes directrices de 2013 (9.4, lignes directrices de 2013).

Le MAS a indiqué que l’évaluation des risques de l’environnement d’une IF, en particulier l’évaluation de la cybersécurité, devrait faire partie intégrante des efforts de l’IF pour atténuer les menaces de sécurité et les vulnérabilités des systèmes (13.5 et 13.6, Réponse au document de consultation pour les lignes directrices TRM 2021).

7) Simulation des tactiques, techniques et procédures de cyberattaques

Les lignes directrices 2021 prévoient que les IF doivent effectuer régulièrement des cyber exercices basés sur des scénarios pour valider leur plan d’intervention et de redressement. Ces exercices devraient impliquer la haute direction, les fonctions commerciales, le personnel technique responsable de la détection, de la réponse et du rétablissement des cybermenaces et d’autres parties prenantes concernées (13.3.1 et 13.3.2, lignes directrices 2021). Les lignes directrices 2021 précisent que les exercices devraient prendre la forme d’une attaque contradictoire par une équipe rouge afin de tester et de valider l’efficacité de son plan de cyberdéfense et de réponse (13.4.1, lignes directrices 2021). Un processus d’assainissement complet devrait suivre après l’exercice (13.6.1, Lignes directrices 2021). En comparaison, les lignes directrices de 2013 ne contenaient qu’un commentaire général selon lequel des simulations d’attaques réelles pouvaient être effectuées dans le cadre d’un test de pénétration (9.4.4, lignes directrices de 2013).

MAS a précisé que le but de ces simulations est d’obtenir une évaluation précise de la robustesse des cyberdéfenses de l’IF pour assurer une protection adéquate (13.17, Réponse au document de consultation pour les lignes directrices TRM 2021).

Implications et prochaines étapes

La publication des lignes directrices 2021 concorde avec l’accent mis par MAS sur la cybersécurité, à la lumière des cyber-attaques Finastra et SolarWinds récemment publiées.

Afin de se préparer à se conformer aux Lignes directrices 2021, les IF devront désormais prendre des mesures pour s’assurer que:

  • le conseil et la haute direction sont informés des responsabilités élargies qui leur ont été attribuées;
  • il existe une procédure d’évaluation pour les fournisseurs de technologie potentiels et l’accès aux API;
  • la surveillance, l’évaluation et le signalement des cybermenaces sont conformes aux lignes directrices 2021 et que les simulations et les tests pertinents sont systématiquement respectés.

Si ces nouvelles lignes directrices peuvent sembler imposantes à première vue, elles représentent un pas ferme dans la bonne direction pour renforcer les défenses de l’écosystème financier de Singapour. Cela placera sans aucun doute l’industrie en bonne position pour la reprise économique post-Covid.

Cet article a été préparé par Grace Chong, Ern Xu Seah et Ryan Kwan de Simmons & Simmons JWS à Singapour.





Laisser un commentaire