– Au sens du présent règlement, on entend par :
– actif informationnel : ensemble d’informations, matérielles ou immatérielles, qui justifie une protection ;
– actif informatique : matériel informatique et de télécommunication ou logiciel utilisés par un établissement assujetti ;
– appétence ou tolérance au risque : le niveau et les types agrégés de risque que les établissements sont prêts à assumer dans le cadre de leur capacité à prendre des risques, conformément à leur modèle d’entreprise et leurs objectifs stratégiques, dans le respect des conditions prudentielles et de contrôle interne applicables à leur activité ;
– cloud computing (aussi appelé informatique «en nuage» ou informatique «nébuleuse») : modèle d’organisation des services informatiques permettant à l’utilisateur d’accéder à distance, via un réseau de télécommunication, à des actifs informatiques généralement partagés, pour disposer autant que de besoin de services comme le calcul, le stockage ou la sauvegarde de données,(cloud public). Les mêmes techniques peuvent être mises en œuvre de manière dédiée (cloud privé) ;
– cyber-attaque: tout type de piratage conduisant à une tentative offensive et/ou malveillante de détruire, exposer, modifier, désactiver, voler ou obtenir un accès non autorisé à un système d’information ou d’en faire un usage non autorisé ;
– fonction critique : fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;
– gestion du risque informatique : ensemble des mesures conduisant à identifier, évaluer, traiter, suivre et rendre compte des risques liés aux technologies de l’information et de la communication et à leur sécurité. La gestion du risque informatique implique tous les membres de l’organisation et couvre les activités qui sont externalisées;
– incident informatique : évènement ou une série d’événements imprévus qui, soit dégrade ou peut dégrader le bon fonctionnement du système d’information, soit altère ou peut altérer la sécurité des systèmes d’information;
– intégrité : qualité de données n’ayant subi aucune altération ou manipulation non autorisée de nature à compromettre leur exactitude, leur exhaustivité et leur fiabilité ;
– risque informatique ou risque lié aux technologies de l’information et de la communication (TIC) et à leur sécurité : le risque de perte découlant d’une violation de la confidentialité, d’une défaillance de l’intégrité des systèmes et des données, de l’inadéquation ou de l’indisponibilité des systèmes et des données, ou de l’impossibilité de modifier les technologies de l’information dans un délai et pour des coûts raisonnables, lorsque l’environnement ou les exigences « métiers» changent. Cela inclut les risques de sécurité découlant de processus internes insuffisants ou de défaillance de ces processus, ou bien d’événements externes, tels que des cyberattaques ou une sécurité physique insuffisante ;
– sécurité des systèmes d’information (SSI) : préservation de la confidentialité, de l’intégrité et de la disponibilité des systèmes d’informations et de l’information. En outre, d’autres propriétés, telles que l’authenticité, la responsabilité, la non-répudiation, la traçabilité et la fiabilité, peuvent également être prises en compte ;
– sécurité logique : mesures de protection informatiques destinées à prévenir toute compromission du système d’information;
– sécurité physique: mesures visant à protéger les personnes, les biens matériels et les infrastructures d’une entreprise contre les risques d’intrusion,,de vol, de vandalisme ou de sabotage. Cela inclut notamment la mise en place de dispositifs de contrôle d’accès, de vidéosurveillance, d’alarmes et de dispositifs anti-incendie, ainsi que la formation et l’information du personnel à la prévention des risques et la mise en place de procédures d’urgence ;
– système d’information: ensemble des ressources (humaines, équipements matériels, systèmes et réseaux, logiciels et données) qui interagissent pour collecter, traiter, stocker et diffuser des informations;
– technologies de l’information et de la communication (TIC): désigne l’ensemble des outils et ressources technologiques permettant de traiter des informations numériques et de les transmettre.
# TITRE II :
GOUVERNANCE DU SYSTEME D’INFORMATION
## Chapitre 1 : L’organe délibérant
