Établie par l’Autorité australienne de réglementation prudentielle, la norme de sécurité de l’information CPS 234 vise à garantir que les entités réglementées par l’APRA opérant dans le secteur financier disposent de pratiques de sécurité de l’information efficaces pour protéger leurs données sensibles contre les cybermenaces. En adhérant à cette norme, les institutions financières renforcent leur position en matière de sécurité, atténuent les cyberrisques, protègent les données de l’entreprise et établissent la confiance.
Au cours de la dernière décennie, la cybercriminalité a connu une forte augmentation. Les acteurs malveillants trouvent des moyens plus sophistiqués et ingénieux de compromettre les actifs informationnels, causant des dommages financiers et réputationnels importants aux entreprises en Australie et dans le monde entier. Les institutions financières sont particulièrement vulnérables en raison de la grande quantité de données financières et d’accès aux informations personnellement identifiables que ces organisations détiennent. Des systèmes de sécurité de l’information insuffisants et une dépendance à la technologie et aux fournisseurs tiers par les compagnies d’assurance, les banques et les sociétés de retraite exacerbent ces problèmes.
CPS 234 a représenté un grand pas en avant dans le renforcement des processus de sécurité de l’information du secteur des services financiers. Le cadre CPS 234 est conçu pour garantir que les entités réglementées par l’APRA maintiennent des pratiques robustes de sécurité de l’information et de résilience opérationnelle, se protégeant ainsi que leurs clients contre les cyberrisques. CPS 234 exige également que les organisations accordent plus d’attention à la gestion des risques liés aux fournisseurs informatiques pour réduire les incidents impliquant des tiers.
Comprendre et intégrer avec succès cette réglementation n’est pas seulement une question de conformité, mais un impératif stratégique. Cela touche au cœur même de la façon dont les institutions de services financiers opèrent, protègent l’information et, en fin de compte, maintiennent la confiance.
Ce blog explique ce qu’est CPS 234, qui doit s’y conformer, et partage les meilleures pratiques pour répondre aux principales exigences de sécurité de l’information de la norme. Et plus important encore, il explique comment un logiciel peut aider les organisations à mettre en œuvre des processus conformes aux exigences CPS 234.
Qu’est-ce que CPS 234 ?
Établie par l’Autorité australienne de réglementation prudentielle (APRA), la norme CPS 234 pour la sécurité de l’information est une norme prudentielle destinée aux entités réglementées par l’APRA opérant dans le secteur financier. Son objectif principal est de garantir que ces organisations disposent de pratiques de sécurité de l’information efficaces pour minimiser la probabilité et l’impact des risques et incidents de sécurité de l’information. Elle est conçue pour protéger la confidentialité et l’intégrité des actifs informationnels, y compris ceux gérés par des prestataires de services tiers.
La norme exige que la direction établisse et maintienne un cadre complet de politique de sécurité, gère les cyberrisques, mette en œuvre des contrôles de sécurité robustes et définisse clairement les responsabilités pour les rôles de sécurité. Pour s’aligner sur les exigences CPS 234, les entités doivent également disposer de plans de réponse aux incidents et être capables de répondre efficacement aux incidents de sécurité potentiels. Des tests réguliers et une vérification indépendante des contrôles des actifs informatiques sont également une exigence clé de CPS 234 pour assurer une conformité continue.
Pourquoi CPS 234 est-il important ?
Les cyberattaques augmentent en impact, en fréquence et en sophistication, les auteurs affinant continuellement leurs efforts pour compromettre les réseaux et les systèmes. Le cadre de sécurité de l’information CPS 234 pour les organisations financières australiennes est important pour garantir que les entités réglementées par l’APRA sont résilientes aux cyberattaques et autres risques de sécurité de l’information. La norme exige également que les entités répondent rapidement en cas d’incident de sécurité.
CPS 234 est important pour les entités réglementées par l’APRA. Les attentes accrues des parties prenantes, y compris la direction, le conseil d’administration, les actionnaires, les régulateurs et les clients concernant la protection efficace des actifs informationnels, ont créé un besoin de mesures de sécurité informatique plus robustes. Comprendre les exigences de CPS 234 est donc crucial pour toutes les entités réglementées par l’APRA dans le secteur financier.
À qui s’applique CPS 234 ?
CPS 234 s’applique à toutes les entités juridiques réglementées par l’Autorité australienne de réglementation prudentielle, à savoir :
- Les organisations bancaires, les coopératives de crédit, les néobanques ou tout autre établissement de dépôt autorisé
- Les compagnies d’assurance
- Les fonds de retraite
- Les sociétés holding non opérationnelles
- Les compagnies d’assurance-vie et les sociétés de secours mutuel
- Les compagnies d’assurance maladie privées
Ces entités sont responsables du maintien des systèmes et pratiques de sécurité de l’information appropriés aux menaces auxquelles elles font face. De plus, lorsque les actifs informationnels d’une entité réglementée par l’APRA sont gérés ou détenus par un tiers, les exigences de CPS 234 s’appliquent également au tiers.
Quelles sont les principales exigences de CPS 234 ?
L’intention et la structure de CPS 234 sont conçues pour promouvoir et encourager les bonnes pratiques de sécurité au sein des institutions financières et attribuer une responsabilité et une obligation de rendre compte adéquates au conseil d’administration. La norme de sécurité de l’information CPS 234 exige que les entreprises mettent en œuvre les pratiques suivantes.
Définir les rôles et responsabilités, y compris l’implication du conseil d’administration : Selon CPS 234, le conseil d’administration d’une entité réglementée par l’APRA est ultimement responsable de la sécurité de l’information de l’organisation. Le conseil doit fournir à la direction une vision claire de la manière dont il s’attend à être engagé dans la sécurité de l’information et fournir des directives concernant les processus d’escalade des risques et les exigences de reporting. De plus, les organisations doivent avoir des rôles liés à la sécurité de l’information clairement définis avec des responsabilités claires pour le conseil et la direction concernant la prise de décision, les approbations, les opérations et autres processus de sécurité de l’information. Ces dispositions sont conçues pour encourager la formation d’équipes interfonctionnelles pour assurer une surveillance et une gouvernance appropriées de la sécurité de l’information.
Maintenir une capacité de sécurité de l’information avec une gestion efficace des cyberrisques : Une entité réglementée par l’APRA doit maintenir des mesures de sécurité de l’information appropriées à la taille et à l’étendue des menaces pesant sur ses actifs informationnels pour garantir la sécurité des données et le maintien des opérations de l’organisation. Cela inclut la capacité d’identifier et de gérer les cyberrisques et les vulnérabilités grâce à des évaluations et des tests réguliers des risques. Les entreprises doivent établir un registre des cyberrisques, définir des indicateurs clés de risque (KRI), surveiller les niveaux de risque et prendre les mesures appropriées pour maintenir les cyberrisques à des niveaux tolérables.
Gérer le risque informatique des tiers : CPS 234 exige que les entreprises évaluent régulièrement la capacité de sécurité de l’information des tiers et surveillent continuellement les menaces. Cela inclut l’utilisation d’évaluations des risques liés aux tiers pour identifier les risques potentiels, l’utilisation d’outils de renseignement sur les tiers pour comprendre les risques liés à chaque fournisseur, et la surveillance des performances par rapport aux SLA et KPI. Les organisations doivent établir des recommandations de correction basées sur les résultats de l’évaluation des risques des fournisseurs pour s’assurer que les risques liés aux tiers sont traités rapidement.
Avoir des politiques de cybersécurité adéquates : Les directives du cadre politique dans CPS 234 exigent qu’une entité réglementée par l’APRA maintienne une bibliothèque de politiques de sécurité de l’information proportionnée à ses expositions aux vulnérabilités et aux menaces. Cela garantit que les équipes internes et les tiers sont conscients des exigences de la politique de sécurité de l’information et y adhèrent, et qu’elles sont régulièrement évaluées.
Identification et classification des actifs informationnels : Cette disposition CPS 234 exige que les organisations réglementées par l’APRA classifient leurs actifs informationnels selon leur criticité et leur sensibilité, y compris ceux gérés par des tiers et des parties liées. Ces classements doivent refléter le degré auquel un incident de sécurité de l’information affectant cet actif pourrait affecter l’organisation et ses finances, ses opérations, ses assurés et ses clients. Pour démarrer ce processus, les équipes doivent définir une méthodologie pour suivre et quantifier les risques liés aux données et les surveiller de manière continue.
Les critères utilisés pour classifier les actifs de données peuvent inclure l’impact financier, l’impact réputationnel, son exposition aux processus opérationnels ou orientés client, sa criticité pour la performance et les opérations de l’entreprise, et toutes considérations légales ou réglementaires connexes.
Mise en œuvre des contrôles : Pour se conformer à CPS 234, les organisations doivent avoir des contrôles de sécurité de l’information pour protéger les actifs informationnels critiques. Les entreprises doivent identifier les vulnérabilités et menaces existantes et émergentes pour chaque actif de données, classifier la criticité et la sensibilité de l’actif, comprendre le stade du cycle de vie de tous les actifs informationnels, et documenter les conséquences potentielles d’un incident de sécurité des données.
Test des contrôles : Une entité réglementée par l’APRA doit tester l’efficacité de ses contrôles de sécurité de l’information par le biais d’un programme de test systématique. Cela inclut les contrôles pour tous les actifs de données gérés par des tiers. Les tests doivent s’aligner sur le rythme de changement des vulnérabilités et des menaces, la criticité et la sensibilité de l’actif de données, les conséquences d’un incident de sécurité de l’information, les domaines où l’organisation ne peut pas appliquer ses politiques de sécurité de l’information, et la fréquence de changement des actifs informationnels.
Toute déficience de contrôle qui ne peut pas être corrigée rapidement doit être escaladée à la direction et au conseil d’administration pour assurer une résolution rapide.
Gestion des incidents cyber : Les entités réglementées par l’APRA sont également tenues d’avoir une série de politiques et procédures en place pour détecter et répondre aux incidents de sécurité de l’information en temps opportun. Cela inclut le signalement des incidents, l’escalade et la résolution.
La mise en œuvre d’un processus de gestion des incidents cyber bien testé et éprouvé est essentielle pour accélérer la découverte et l’atténuation des incidents. Les entreprises doivent s’assurer que les employés savent quand et comment signaler un incident cyber et elles doivent avoir des processus clairement définis pour l’escalade et la correction.
Audits cyber : Dans cette catégorie, la fonction d’audit interne d’une organisation réglementée par l’APRA doit inclure un examen de la conception et de l’efficacité opérationnelle des contrôles de sécurité de l’information, y compris ceux maintenus par des tiers. Les équipes peuvent standardiser les évaluations de sécurité de l’information par rapport aux cadres de contrôle de sécurité de l’information tels que ISO 27001, COSO, ou SOC 2. Ce faisant, les équipes de sécurité informatique et d’audit interne peuvent mettre en œuvre une méthodologie centrale pour mesurer et démontrer l’adhésion aux contrôles informatiques internes et assurer une vue consolidée de leur système de sécurité de l’information.
Processus de notification à l’APRA : Dans la dernière catégorie d’exigences, les entités doivent notifier l’APRA dans les 72 heures après avoir pris connaissance d’un incident de sécurité de l’information important, et dans les 10 jours ouvrables après avoir pris connaissance d’une faiblesse du contrôle de sécurité de l’information qui ne peut pas être corrigée efficacement et rapidement.
Pour répondre à cette exigence, les équipes doivent assurer des canaux de reporting efficaces. Les équipes peuvent utiliser les données de surveillance des risques et de test des contrôles pour mettre en évidence les problèmes potentiels, et les parties prenantes concernées peuvent décider si une notification à l’APRA est nécessaire et escalader en conséquence.
Comment un logiciel GRC peut-il aider à la conformité CPS 234 ?
Un logiciel GRC peut aider les entités réglementées par l’APRA à gérer avec succès la norme prudentielle de sécurité de l’information CPS 234 dans les domaines clés suivants :
Gérer les risques informatiques et cyber : Le logiciel GRC permet aux organisations de répondre aux exigences CPS 234 en offrant un cadre pour mettre en œuvre un programme de gestion des risques informatiques selon les meilleures pratiques. En identifiant les cyberrisques, en créant des registres de risques informatiques et cyber, et en effectuant des évaluations de cyberrisques en ligne dans la plateforme, les équipes peuvent obtenir une vue holistique de l’exposition aux cyberrisques. Les entités réglementées peuvent établir des indicateurs clés de risque (KRI) et surveiller continuellement les niveaux de risque. Les flux de travail automatisés facilitent l’escalade des risques et la mise en œuvre des actions de traitement des risques.
Établir des contrôles pour réduire le cyberrisque : Le logiciel GRC fournit un cadre de meilleures pratiques permettant aux entreprises d’établir des contrôles pour gérer le cyberrisque. Les entreprises peuvent capturer des détails critiques concernant les vulnérabilités et les menaces, la criticité et la sensibilité des données, le stade auquel se trouvent les actifs informationnels dans leur cycle de vie, et les conséquences d’un incident de sécurité. Les contrôles peuvent être liés à l’ensemble de données pertinent et à tous les cyberrisques correspondants dans le registre des risques.
Tests et efficacité des contrôles : Le logiciel GRC compatible CPS 234 permet aux entités réglementées par l’APRA d’établir un programme de test des contrôles qui s’aligne sur le rythme de changement des menaces et des vulnérabilités, prend en compte la criticité et la sensibilité des données, examine les conséquences d’un incident de sécurité, considère l’exposition aux environnements où les politiques informatiques ne peuvent pas être appliquées, et la fréquence de changement des actifs informationnels. Les organisations peuvent également effectuer des tests de contrôle pour les contrôles relatifs aux tiers pertinents qui détiennent des données de l’entreprise. Toute déficience de contrôle peut facilement être signalée à la partie prenante concernée et les flux de travail automatisés permettent une escalade et une résolution rapides des inefficacités de contrôle.
Gestion des risques liés aux tiers : Le logiciel GRC permet aux entreprises de mettre en œuvre un processus de gestion des risques liés aux tiers selon les meilleures pratiques pour superviser efficacement les cyberrisques et les arrangements contractuels avec les prestataires de services. Les entreprises peuvent créer une bibliothèque de fournisseurs qui capture les données essentielles sur les détails des contrats, les SLA et les KPI, et les contrôles pertinents et surveiller les performances continues par rapport aux métriques clés. Le personnel, les vendeurs et les fournisseurs peuvent facilement remplir des questionnaires, des enquêtes et des évaluations des risques des fournisseurs en ligne avec toutes les données alimentant la plateforme, construisant un profil de chaque fournisseur. Les entreprises peuvent utiliser des tableaux de bord et des rapports pour suivre facilement les performances des fournisseurs et les cyberrisques liés aux tiers. De nombreuses solutions GRC se connectent avec des fournisseurs de renseignements sur les risques tiers, leur permettant de visualiser des informations sur la stabilité financière, les considérations éthiques, les questions juridiques et réglementaires, et la posture de cybersécurité de chaque tiers avec lequel ils travaillent.
Démontrer la conformité avec CPS 234 et autres normes et réglementations : Le logiciel GRC permet aux organisations de mettre en place une bibliothèque d’obligations et d’inclure toutes les réglementations applicables et toutes les politiques informatiques internes et de surveiller la conformité en mettant en œuvre des processus de flux de travail et des contrôles étape par étape. Les équipes peuvent recevoir des notifications de mise à jour réglementaire directement dans la plateforme de la part de fournisseurs de contenu réglementaire tiers et mettre en œuvre un processus de gestion du changement réglementaire selon les meilleures pratiques pour s’assurer que toutes les opérations s’alignent sur les exigences réglementaires pertinentes.
Gérer les politiques informatiques et assurer la conformité : Utilisez le logiciel GRC pour établir une bibliothèque de politiques informatiques et gérer les changements de politique, les approbations, les signatures et les attestations au sein de la plateforme. Les organisations peuvent capturer des détails critiques concernant chaque politique et consulter des rapports sur la conformité aux politiques et les attestations des employés. Les politiques peuvent facilement être liées aux risques, contrôles, audits et exigences de conformité pertinents.
Gérer les audits cyber : Planifiez et programmez efficacement tous les audits cyber internes et externes. Les entreprises peuvent utiliser des flux de travail et des formulaires selon les meilleures pratiques pour planifier et programmer les exigences d’audit et les auditeurs internes peuvent compléter les conclusions en utilisant des formulaires en ligne. Toutes les conclusions sont capturées dans la plateforme et toutes les recommandations peuvent être mises en œuvre en utilisant des flux de travail de gestion des cas selon les meilleures pratiques. Suivez les recommandations et les actions en liant les audits aux risques et aux traitements des risques le cas échéant. Cela fournit une traçabilité complète de bout en bout et permet de faire des rapports aux parties prenantes clés.
Gérer et résoudre les incidents cybernétiques : Pour se conformer à la norme CPS 234, la plupart des logiciels GRC incluent des fonctionnalités de signalement d’incidents selon les meilleures pratiques pour aider les organisations à signaler et résoudre efficacement les incidents cybernétiques conformément aux exigences CPS 234. Des contrôles peuvent être facilement mis en place pour réduire les taux d’incidents, et les risques cybernétiques peuvent être associés aux incidents correspondants pour déterminer la cause probable grâce aux techniques d’analyse des causes profondes. Les entreprises peuvent facilement établir des rapports sur les taux d’incidents et mettre en œuvre de nouvelles mesures pour réduire leur récurrence, renforçant ainsi les efforts d’amélioration continue.
Processus de notification APRA : Les entreprises doivent disposer d’un processus formel d’escalade pour notifier l’APRA des incidents potentiels de sécurité de l’information et des faiblesses des contrôles. Les plateformes GRC permettent aux entreprises de mettre en œuvre des workflows pour s’assurer que les parties prenantes sont rapidement informées des incidents cybernétiques et des contrôles inefficaces, leur permettant de notifier l’APRA dans les délais impartis et de documenter intégralement le processus de notification. Envoyez des alertes par e-mail ou SMS avec un lien direct vers la plateforme permettant au personnel d’effectuer les actions d’escalade nécessaires.
Renforcez les capacités de sécurité de l’information de votre organisation avec le logiciel CPS 234
La norme prudentielle CPS 234 exige que les entités réglementées par l’APRA en Australie prennent des mesures pour être résilientes face à la cybercriminalité en maintenant une capacité de sécurité de l’information proportionnelle à leurs vulnérabilités et menaces.
Bien que l’intention et la structure du CPS 234 aient été établies pour promouvoir et encourager de bonnes pratiques de sécurité au sein des institutions financières et attribuer la responsabilité appropriée au conseil d’administration, la conformité à ces directives peut être un processus complexe sans le support d’une solution logicielle adaptée.
Demandez une démonstration aujourd’hui pour découvrir comment le logiciel GRC de Riskonnect peut aider votre organisation à mettre en œuvre des processus structurés selon les meilleures pratiques pour répondre aux exigences CPS 234.
