Singapour: MAS révise les directives de gestion des risques technologiques

Les lignes directrices visent à promouvoir l’adoption de pratiques solides de gestion des risques technologiques dans le secteur financier.

Le 18 janvier 2021, l’Autorité monétaire de Singapour (la MAS) a publié des lignes directrices révisées (les lignes directrices) pour prendre en compte l’évolution rapide du paysage des cybermenaces et le recours accru des institutions financières aux technologies cloud, aux interfaces de programmation d’applications (API) et développement rapide de logiciels. Les Principes s’appliquent à toutes les banques, sociétés de services de paiement et sociétés de courtage et d’assurance.

Les lignes directrices, qui sont entrées en vigueur immédiatement à la date d’émission, visent à soutenir les institutions financières en leur fournissant un cadre de meilleures pratiques pour superviser la gouvernance, les pratiques et les contrôles des risques technologiques pour faire face aux risques technologiques et cybernétiques. Les lignes directrices ne se veulent ni exhaustives ni normatives et ont intégré les commentaires reçus de la consultation publique menée en 2019.

Les principaux changements suivants ont été introduits.

1. Le conseil d’administration et la haute direction des institutions financières sont responsables de la mise en œuvre d’un cadre de gestion des risques et de contrôles internes appropriés. Ils doivent être impliqués dans les décisions informatiques clés susceptibles de modifier l’appétit pour le risque et la stratégie de l’institution financière, y compris la vérification et l’approbation des rendez-vous technologiques clés et de cybersécurité.
2. Les institutions financières devraient adopter des normes sur le codage sécurisé, l’examen du code source et les tests de sécurité des applications pour empêcher l’exploitation des bogues et des vulnérabilités logicielles. Par exemple, les institutions financières devraient:
   • S’assurer que leurs développeurs de logiciels sont formés pour appliquer ces normes lors du développement d’applications
   • Utilisez une combinaison de méthodes de test de sécurité pour valider la sécurité de l’application logicielle
   • Adoptez les meilleures pratiques de développement logiciel sécurisé lors de l’utilisation de méthodes de développement Agile
3. Les institutions financières devraient examiner les tiers qui ont accès à leurs API en tenant compte de facteurs tels que la nature de leur entreprise, leur posture de cybersécurité, la réputation de l’industrie et leurs antécédents. Les institutions financières devraient également établir des normes de sécurité pour développer des API sécurisées et adopter des normes de cryptage strictes et des contrôles de gestion des clés pour sécuriser la transmission des données sensibles.
4. Les institutions financières devraient veiller à ce que les audits informatiques donnent au conseil d’administration une opinion indépendante et objective sur l’adéquation et l’efficacité de leur gestion des risques et de leurs contrôles internes par rapport à leurs risques technologiques existants et émergents.
5. Les institutions financières devraient élaborer des politiques complètes de prévention de la perte de données et adopter des mesures pour améliorer la sécurité des infrastructures opérationnelles. Par exemple, ils doivent s’assurer que les données confidentielles sont stockées dans des bases de données et que les systèmes de cryptage et les terminaux sont protégés par des contrôles d’accès rigoureux.
6. Les institutions financières devraient mettre en place un processus solide pour l’analyse en temps opportun et le partage des renseignements sur les cybermenaces avec des parties de confiance, ainsi que pour la réalisation d’exercices réguliers d’évaluations de la cybersécurité afin de permettre aux institutions financières de tester les cyberdéfenses.

Les institutions financières devraient examiner attentivement les lignes directrices et apporter des ajustements en fonction de l’échelle, de la nature et de la complexité de leurs activités. Les lignes directrices fournissent des orientations générales qui expliquent les exigences obligatoires énoncées dans l’Avis du MAS sur la gestion des risques technologiques, sans avoir l’intention de remplacer ou d’annuler les dispositions législatives. Les lignes directrices reflètent les attentes de la MAS en matière de gestion des risques technologiques et de contrôles de sécurité dans les institutions financières, mais ne doivent pas être considérées comme un énoncé de la norme de diligence que les institutions financières doivent à leurs clients.