Les entreprises assujetties établissent leur stratégie en matière informatique afin de répondre aux objectifs de leur stratégie d'affaires.

Les dirigeants effectifs et l'organe de surveillance s'assurent que les ressources allouées à la gestion des opérations informatiques, à la sécurité du système d'information ainsi qu'à la continuité d'activité sont suffisantes pour que l'entreprise assujettie remplisse ses missions.

Les entreprises assujetties organisent la gestion de leur risque informatique de façon à :

-identifier le risque informatique auquel elles sont exposées pour l'ensemble de leurs actifs informatiques et de leurs données utilisés pour leurs différentes activités opérationnelles, de support ou de contrôle ;

-évaluer ce risque, au regard de leur appétit pour le risque, en tenant compte des menaces et des vulnérabilités connues ;

-adopter des mesures adéquates de réduction du risque informatique, y compris des contrôles ;

-surveiller l'efficacité de ces mesures et informer les dirigeants effectifs et l'organe de surveillance de leur bonne exécution.

Les entreprises assujetties s'assurent à cette fin que le contrôle interne de leur risque informatique est organisé conformément aux dispositions des articles 12 et 14 du présent arrêté.

Les entreprises assujetties établissent par écrit une politique de sécurité du système d'information qui détermine les principes mis en œuvre pour protéger la confidentialité, l'intégrité et la disponibilité de leurs informations et des données de leurs clients, de leurs actifs et services informatiques. Cette politique est fondée sur une analyse des risques et approuvée par les dirigeants effectifs et l'organe de surveillance.

En application de leur politique de sécurité du système d'information, les entreprises assujetties formalisent et mettent en œuvre des mesures de sécurité physique et logique adaptées à la sensibilité des locaux, des actifs et services informatiques, ainsi que des données.

Les entreprises assujetties mettent également en œuvre un programme de sensibilisation et de formations régulières, soit au moins une fois par an, à la sécurité du système d'information au bénéfice de tous les personnels et des prestataires externes, et en particulier de leurs dirigeants effectifs.

Les entreprises assujetties organisent leurs processus de gestion des opérations informatiques conformément à des procédures à jour et validées, dont l'objectif est de veiller à ce que les services informatiques répondent aux besoins de l'entreprise assujettie et de ses clients. Ces procédures couvrent notamment l'exploitation, la surveillance et le contrôle des systèmes et services informatiques. Elles sont complétées par un processus de détection et de gestion des incidents opérationnels ou de sécurité.

Les entreprises assujetties disposent d'un cadre de conduite clair et efficace de leurs projets et programmes informatiques. Il est accompagné d'un processus de gestion de l'acquisition, du développement et de l'entretien des systèmes d'information, ainsi que par un processus de gestion des changements informatiques garantissant que les modifications apportées aux systèmes informatiques sont enregistrées, testées, évaluées, approuvées et implémentées de façon contrôlée.