Singapour: exigences plus strictes dans le cadre des directives de gestion des risques technologiques MAS

Les entreprises de services financiers et d’assurances réglementées à Singapour (IF) doivent prendre des mesures de conformité supplémentaires lors de la gestion de leur infrastructure informatique et de leurs fournisseurs, conformément aux directives mises à jour sur la gestion des risques technologiques récemment introduites par l’Autorité monétaire de Singapour (MAS).

En particulier, l’accent est davantage mis sur la gestion des cyberrisques et sur une réglementation plus stricte des fournisseurs informatiques. La mise à jour des lignes directrices intervient à un moment où les cybermenaces et les cyberattaques sont de plus en plus courantes.

Les principales mises à jour des lignes directrices sont les suivantes:

Rôles et responsabilités élargis du conseil d’administration et de la haute direction

Le conseil d’administration et la haute direction des IF ont désormais une responsabilité beaucoup plus grande dans la gestion des risques technologiques.

Entre autres, les lignes directrices recommandent de nommer un chef de l’information et un chef de la sécurité de l’information pour gérer la technologie et les cyberrisques de l’IF. En outre, la haute direction et le conseil devraient comprendre des membres qui possèdent les compétences et l’expérience requises pour gérer et superviser la stratégie et les risques technologiques de l’IF.

Évaluations des fournisseurs de technologie

Bien qu’une diligence raisonnable et une surveillance des pratiques de sécurité des fournisseurs de technologie aient été requises dans la version antérieure des Directives, les Directives mises à jour fournissent des directives plus strictes sur l’évaluation que les IF devraient effectuer sur leurs fournisseurs. Entre autres choses, les IF devraient:

• établir des normes et des procédures pour l’évaluation et la sélection des fournisseurs qui devraient être proportionnelles à la criticité des livrables du projet pour les IF;
• effectuer une analyse détaillée des pratiques de développement logiciel, d’assurance qualité et de sécurité du fournisseur; et
• évaluer la robustesse des pratiques de développement logiciel et d’assurance qualité du fournisseur.

Gestion des risques pour les nouvelles technologies

Les directives mises à jour introduisent de nouvelles exigences sur des technologies relativement avancées (par exemple, l’accès de tiers aux API).

Il est recommandé aux IF d’adopter diverses mesures de sécurité avant d’autoriser des tiers à accéder aux API, notamment:

• mettre en œuvre un processus de vérification bien défini pour évaluer les tiers qui peuvent se connecter aux IF via des API;
• établir des normes de sécurité pour la conception et le développement d’API sécurisées;
• et effectuer un filtrage et des tests de sécurité robustes des API.

Les lignes directrices mises à jour traitent également de la gestion des risques de sécurité liés à des technologies telles que la virtualisation des machines et des appareils de l’Internet des objets.

Opérations de cybersécurité

Pour faire face à l’évolution du paysage de la cybersécurité, les lignes directrices fournissent désormais également des informations spécifiques sur les mesures que les IF doivent prendre pour se défendre de manière proactive contre les risques de cybersécurité.

En particulier, les lignes directrices prévoient que les IF devraient se procurer des services de surveillance du cyber-renseignement et établir un plan de réponse et de gestion des cyberincidents pour isoler et neutraliser les cybermenaces.

Compte tenu de la mise à jour des lignes directrices, les IF devraient:

• Examiner et mettre à jour leurs processus existants de passation de marchés avec les fournisseurs et mettre en œuvre des évaluations plus détaillées pour les fournisseurs, le cas échéant;
• évaluer les types de technologies qu’ils adoptent et déterminer si des mesures de sécurité plus strictes devraient être adoptées; et
• revoir et mettre à jour leur plan de cybersécurité / cyberincident.