– Les établissements assujettis informent la COBAC, sans délai, par tout moyen laissant trace écrite, de tout incident informatique significatif susceptible d’affecter la sécurité de leurs systèmes d’information ou des solutions techniques utilisées pour la fourniture de services de paiement.
Est réputé significatif tout incident susceptible d’affecter :
– les fonctions critiques de l’établissement ;
– au moins $10 \%$ du nombre de ses clients ou contreparties ;
– au moins $10 \%$ du nombre de ses opérations;
– ou de causer une indisponibilité supérieure à 24 h de tout ou partie du système d’information;
– ou de causer la perte ou la fuite de données sensibles ou classifiées ;
– ou d’entraîner une perte ou un gain d’un montant brut dépassant $0,5 \%$ des fonds propres de base, sans pouvoir être inférieure à cinq millions de francs CFA;
– ou de donner lieu à des fuites d’informations dans le public, susceptibles de porter atteinte à la réputation de l’établissement.
Le Président de la COBAC peut ajuster par voie d’instruction la liste figurant à l’alinéa précédent.
Les établissements mettent à jour ces informations par un rapport intermédiaire, une semaine après leur déclaration, et un rapport de synthèse après un mois.
# TITRE 5 :
FONCTIONNEMENT DU SYSTEME D’INFORMATION
## Chapitre 8 : Gestion de l’exploitation (systèmes et réseaux
