Close
Afficher cette page dans votre langue ?
Toutes les langues
Sélectionner votre langue
Logo APRA

DIRECTIVES DE LA NORME PRUDENTIELLE CPS 234 DE L'APRA EN MATIÈRE D'EXTERNALISATION

L'Australian Prudential Regulation Authority (« APRA ») a publié la norme prudentielle CPS 234 (la « CPS 234 ») sur la sécurité de l'information afin de garantir que les entités réglementées par l'APRA, y compris les fonds de pension, les banques et les compagnies d'assurance, respectent certaines normes minimales visant à développer et à maintenir leurs capacités de sécurité de l'information. La norme CPS 234 oblige les entités réglementées par l'APRA à :

  • définir clairement les rôles et les responsabilités en matière de sécurité de l'information ;
  • maintenir une capacité de sécurité de l'information proportionnée à l'ampleur et à l'étendue des menaces qui pèsent sur leurs actifs informationnels ;
  • implémenter des contrôles pour protéger les actifs informationnels et procéder à des tests réguliers pour en garantir l'efficacité ; et
  • informer rapidement l'APRA de tout incident important lié à la sécurité de l'information.

La norme CPS 234 décrit également certaines obligations de diligence raisonnable pour une entité réglementée par l'APRA lorsqu'elle sous-traite la gestion de ses actifs informationnels à un tiers. Cette page décrit chacune des obligations réglementaires pertinentes de la CPS 234 et fournit des commentaires pour aider les entités réglementées par l'APRA à évaluer chaque exigence de la CPS 234 dans le contexte des produits cloud d'Atlassian et à s'assurer qu'elles respectent leurs obligations conformément à la CPS 234.

 

Référence du framework

Commentaires d'Atlassian

1.

Référence du framework

Capacité de sécurité de l'information

2.

Référence du framework

15. Une entité réglementée par l'APRA doit maintenir une capacité de sécurité de l'information proportionnée à l'ampleur et à l'étendue des menaces qui pèsent sur ses actifs informationnels, afin d'assurer le fonctionnement continu de ses activités.

Commentaires d'Atlassian

Cette considération s'applique au client. Reportez-vous à la ligne 3 pour en savoir plus sur les fonctionnalités de sécurité d'Atlassian.

3.

Référence du framework

16. Lorsque des actifs informationnels sont gérés par une partie liée ou tierce, l'entité réglementée par l'APRA doit évaluer les capacités de sécurité de l'information de cette partie, en fonction des conséquences potentielles d'un incident de sécurité de l'information affectant ces actifs.

Commentaires d'Atlassian

En tant que fournisseur de produits cloud à des entités réglementées par l'APRA, Atlassian met en place un programme robuste de sécurité de l'information à la mesure de l'ampleur et de l'étendue des menaces auxquelles nous sommes confrontés. Nous avons mis à disposition plusieurs ressources fournissant des informations sur la conception, l'implémentation et le fonctionnement de la capacité de sécurité de l'information d'Atlassian. En fin de compte, il appartient aux entités réglementées par l'APRA d'utiliser ces informations pour évaluer si les produits Atlassian répondent à leurs exigences :

  • Centre de ressources dédié à la conformité : contient des informations détaillées sur notre sécurité, nos audits tiers et nos certifications, toutes disponibles pour répondre aux besoins de conformité de nos clients.
  • Atlassian Trust Center : contient des informations sur la manière dont Atlassian vous permet d'accéder aux dernières informations sur la sécurité, la fiabilité, la confidentialité, et la conformité de nos produits et services.
  • Page consacrée aux pratiques de sécurité : une approche efficace de la sécurité commence par la sécurisation de nos propres ressources. Cette page fournit des informations sur nos méthodes pour y parvenir, notamment :
    • Intégration de la sécurité à notre architecture réseau
    • Sécurisation de l'accès à nos réseaux via l'approche ZeroTrust, qui peut être résumée par l'expression « Ne jamais faire confiance, toujours vérifier »
    • Sécurisation de l'accès à nos systèmes et services
    • Sécurisation de nos terminaux
    • Mise en place de processus de conception et de test sécurisés
Les produits et données Atlassian sont hébergés par Amazon Web Services (AWS), le fournisseur d'hébergement cloud leader du secteur et s'exécutent dans un environnement PaaS (Platform as a Service). Les disques de données sur les serveurs hébergeant des données client et des pièces jointes dans Jira Software Cloud, Jira Service Management Cloud, Jira Work Management, Bitbucket Cloud, Confluence Cloud, Statuspage, Opsgenie et Trello utilisent le chiffrement complet de disque au repos, lequel s'appuie sur l'algorithme de chiffrement AES avec une clé de 256 bits, un standard dans le secteur. Les données stockées dans les produits et services cloud d'Atlassian sont chiffrées en transit sur les réseaux publics à l'aide du protocole TLS (Transport Layer Security) 1.2+ avec PFS (Perfect Forward Secrecy) pour les protéger contre toute divulgation ou modification non autorisée.

Une description détaillée de la façon dont nous l'avons créé est disponible sur notre page Architecture Atlassian Cloud et pratiques opérationnelles. De plus, comme indiqué dans notre livre blanc Responsabilités partagées en matière de sécurité dans Atlassian Cloud, les clients peuvent consulter notre questionnaire STAR de la Cloud Security Alliance, qui contient des réponses à plus de 300 questions incluses dans le questionnaire CAIQ (Consensus Assessment Initiative Questionnaire). Une description détaillée de la manière dont nous détectons les failles de sécurité et y répondons est disponible sur la page Notre approche de la gestion des vulnérabilités. Nous appliquons également les processus de gestion des vulnérabilités décrits dans la norme ISO 27001 et dans le programme CSA (Cloud Security Alliance). Lorsque nous évaluons les vulnérabilités, nous utilisons le système CVSS (Common Vulnerability Scoring System), qui nous permet de communiquer la gravité des vulnérabilités à nos clients. Parmi d'autres processus, Atlassian prend les mesures suivantes :
  • Inciter les chercheurs externes à identifier les vulnérabilités dans ses produits grâce à des primes en espèces dans le cadre de son programme Bug Bounty. Dans le cadre de nos efforts d'ouverture et de transparence, nous invitons toute personne intéressée à consulter la page dédiée à notre programme Bug Bounty, à s'inscrire au programme et à nous tester.
  • Encourager les clients à signaler les vulnérabilités et viser à corriger les failles de sécurité dans le respect des objectifs de niveau de service (SLO) pertinents décrits dans notre Politique de correction des bugs de sécurité.
  • Engager régulièrement des sociétés de conseil spécialisées en sécurité pour réaliser des tests d'intrusion sur nos produits et infrastructures à haut risque, et publier les lettres d'évaluation de nos partenaires de tests d'intrusion sur la page Notre approche en matière de tests de sécurité externes
  • Autoriser les clients à effectuer des évaluations de sécurité (tests d'intrusion, évaluations des vulnérabilités), sous réserve de certaines règles conçues pour garantir la sécurité de nos produits pour tous les clients.
Sur leurs propres comptes, les clients sont responsables de la gestion des vulnérabilités. Pour aider ses clients à garantir la sécurité de leurs données, Atlassian propose en option une sécurité des données et une gouvernance accrues pour les produits cloud d'Atlassian grâce à Atlassian Access, qui permet aux organisations d'ajouter des fonctionnalités professionnelles de gestion des identités et des accès (IAM) à leur console d'administration centrale. Cela contribue à empêcher tout accès non autorisé en permettant aux clients de personnaliser plusieurs politiques d'authentification, d'obtenir une surveillance centralisée et de surveiller l'utilisation afin de détecter les comportements suspects.

Les entités réglementées par l'APRA peuvent utiliser ces informations pour évaluer nos capacités de sécurité de l'information en fonction de leurs actifs informationnels stockés sur les produits et plateformes Atlassian.

4.

Référence du framework

17. Une entité réglementée par l'APRA doit maintenir activement ses capacités de sécurité de l'information face à l'évolution des vulnérabilités et des menaces, y compris celles résultant de changements des actifs informationnels ou de son environnement métier.

Commentaires d'Atlassian

Les entités réglementées par l'APRA peuvent utiliser les ressources et les informations de la ligne 3 pour évaluer nos capacités de sécurité de l'information en fonction de leurs actifs informationnels stockés sur les produits et plateformes Atlassian.

5.

Référence du framework

Framework de la politique

6.

Référence du framework

18. Une entité réglementée par l'APRA doit maintenir un framework de politique de sécurité de l'information proportionnée à son exposition aux vulnérabilités et aux menaces.

Commentaires d'Atlassian

Cette considération s'applique au client. Pour sa part, Atlassian a documenté un framework de politique de sécurité de l'information structuré de manière à couvrir les domaines inclus dans la norme ISO 27001 ainsi que dans la CCM (Cloud Controls Matrix) de la CSA (Cloud Security Alliance).

Notre Policy Management Program (PMP) inclut des obligations liées à la propriété, à la disponibilité et au cycle de révision. Il décrit également nos objectifs généraux. Nos politiques sont revues au moins une fois par an et approuvées par la haute direction. Pour en savoir plus sur notre PMP, rendez-vous sur la page Notre système ATMS (Atlassian Trust Management System).

Nous avons également publié des extraits et des résumés de chacune de nos politiques clés en matière de sécurité et de technologies sur notre page Politiques Atlassian en matière de sécurité et de technologie.

7.

Référence du framework

19. Le framework de politique de sécurité de l'information d'une entité réglementée par l'APRA doit fournir des directives sur les responsabilités de toutes les parties qui ont l'obligation de maintenir la sécurité de l'information.

Commentaires d'Atlassian

Notre politique relative à la sécurité du personnel énonce les principes généraux et les recommandations pour la sécurité du personnel chez Atlassian. Elle stipule que les responsabilités en matière de sécurité seront décrites dans les fiches de poste. De plus, chacune des politiques figurant dans notre collection de politiques de sécurité couvre des aspects plus détaillés des responsabilités qui s'appliquent à des fonctions ou à des équipes spécifiques.

Le livre blanc Responsabilités partagées en matière de sécurité dans Atlassian Cloud décrit les responsabilités des clients et les décisions qu'ils doivent prendre lorsqu'ils déterminent comment sécuriser leurs données.

8.

Référence du framework

Identification et classification des actifs informationnels

9.

Référence du framework

20. Une entité réglementée par l'APRA doit classer ses actifs informationnels, y compris ceux gérés par des parties liées et tierces, en fonction de leur criticité et de leur sensibilité. Cette classification doit refléter la mesure dans laquelle un incident de sécurité de l'information affectant un actif informationnel est susceptible d'affecter, financièrement ou non, l'entité ou les intérêts des déposants, des assurés, des bénéficiaires ou d'autres clients.

Commentaires d'Atlassian

Étant donné qu'il revient aux clients de déterminer quels produits Atlassian utiliser et à quelles fins, il leur incombe également de déterminer quels actifs informationnels sont gérés par Atlassian et de les classer. Pour sa part, Atlassian gère la classification des informations comme suit, conformément à sa Norme de classification des données :

  • Les données doivent être classifiées en fonction des exigences juridiques, de la valeur et de la criticité pour Atlassian.
  • Les données doivent être identifiées, étiquetées et maintenues à jour dans une carte de flux de données pour garantir un traitement approprié.
  • Les supports à éliminer doivent être effacés en toute sécurité.
  • Les supports contenant des informations société doivent être protégés contre l'accès non autorisé, l'utilisation abusive ou la corruption pendant le transport.

10.

Référence du framework

Implémentation de contrôles

11.

Référence du framework

21. Une entité réglementée par l'APRA doit disposer de contrôles de sécurité de l'information pour protéger ses actifs informationnels (y compris gérés par des parties liées et tierces). Ces contrôles doivent être implémentés et proportionnés : (a) aux vulnérabilités et aux menaces qui pèsent sur les actifs informationnels ; (b) à la criticité et à la sensibilité des actifs informationnels ; (c) au stade auquel les actifs informationnels se situent dans leur cycle de vie ; et (d) aux conséquences potentielles d'un incident de sécurité de l'information.

Commentaires d'Atlassian

Nos pratiques de sécurité décrivent l'approche d'Atlassian en matière de sécurité. Nous fournissons des informations sur notre approche qui repose sur les mesures suivantes :

  • Intégration de la sécurité à notre architecture réseau 
  • Sécurisation de l'accès à nos réseaux via l'approche ZeroTrust, qui peut être résumée par l'expression « Ne jamais faire confiance, toujours vérifier » 
  • Sécurisation de l'accès à nos systèmes et services
  • Sécurisation de nos terminaux 
  • Sécurisation de nos produits 
  • Sécurisation des données

12.

Référence du framework

22. Lorsque les actifs informationnels d'une entité réglementée par l'APRA sont gérés par une partie liée ou tierce, l'entité réglementée par l'APRA doit évaluer la conception des contrôles de sécurité de l'information de la partie qui protègent ses actifs informationnels.

Commentaires d'Atlassian

Notre Vulnerability Management Program décrit l'approche d'Atlassian en matière de détection et de gestion des failles de sécurité de nos produits, y compris les principaux contrôles que nous avons mis en place pour protéger les informations de nos clients.

Nous avons également détaillé notre approche en matière de gestion des incidents de sécurité sur l'ensemble de notre système.

Ensemble, ces ressources fournissent aux entités réglementées par l'APRA des informations détaillées sur la conception de nos contrôles de sécurité dans des domaines clés, afin qu'elles puissent déterminer si leurs obligations relatives à la norme CPS 234 sont respectées.

13.

Référence du framework

Gestion des incidents

14.

Référence du framework

23. Une entité réglementée par l'APRA doit disposer de mécanismes robustes pour détecter les incidents de sécurité de l'information et y répondre rapidement.

Commentaires d'Atlassian

Bien que les obligations de la norme CPS 234 concernant la gestion des incidents de sécurité soient imposées aux entités réglementées par l'APRA, Atlassian reconnaît que, lorsqu'une telle entité utilise des produits Atlassian pour tout ou partie de ses actifs informationnels, l'approche d'Atlassian en matière de gestion des incidents de sécurité est également une considération importante.

Nous avons une politique de réponse aux incidents de sécurité documentée qui inclut les principes clés suivants :

  • Anticiper les incidents de sécurité et préparer la réponse aux incidents
  • Maîtriser les incidents, les éradiquer et redevenir opérationnel
  • Investir dans notre personnel, nos processus et nos technologies pour nous assurer d'être en mesure de détecter et d'analyser un incident de sécurité lorsqu'il se produit
  • Faire de la protection des données personnelles et des données client la priorité absolue durant les incidents de sécurité
  • Exécuter régulièrement le processus de réponse aux incidents de sécurité
  • Tirer des leçons et améliorer la fonction de gestion des incidents de sécurité
  • Communiquer les incidents de sécurité critiques aux leaders Atlassian
Dans le cadre de cette politique, Atlassian met en place un plan de réponse aux incidents de sécurité. Pour garantir la cohérence, la reproductibilité et l'efficacité de notre processus de réponse aux incidents, nous disposons d'un framework interne clairement défini qui couvre les mesures à prendre à chaque phase du processus de réponse aux incidents. Nous avons des playbooks documentés qui sont continuellement mis à jour et définissent les mesures à adopter pour répondre aux différents types d'incident. Pour en savoir plus sur notre processus de réponse aux incidents de sécurité, consultez les pages Notre approche de la gestion des incidents de sécurité et Responsabilités d'Atlassian en cas d'incident de sécurité.

Atlassian a une solide réputation en matière de notification rapide et proactive des incidents de sécurité et de collaboration avec ses clients sur les mesures d'atténuation nécessaires. Dans notre Avenant sur le traitement des données (DPA), nous nous engageons à informer le client de tout incident de sécurité dans les meilleurs délais et à fournir des informations rapides sur l'incident de sécurité dès qu'elles sont disponibles ou si les clients les demandent raisonnablement, afin de leur permettre de remplir leurs obligations de signalement des violations de données en vertu de la loi applicable sur la protection des données (telle que définie dans le DPA). Dans la mesure où les clients ont besoin de cette notification pour des raisons de conformité, nous les encourageons à signer et à soumettre l'Avenant sur le traitement des données (DPA) disponible ici.

15.

Référence du framework

24. Une entité réglementée par l'APRA doit mettre en place des plans pour répondre aux incidents de sécurité de l'information qu'elle considère comme susceptibles de se produire (plans d'intervention en matière de sécurité de l'information).

16.

Référence du framework

25. Les plans d'intervention en matière de sécurité de l'information d'une entité réglementée par l'APRA doivent inclure les mécanismes mis en place pour (a) gérer toutes les étapes pertinentes d'un incident, de la détection à la revue post-incident ; et (b) la remontée et le signalement des incidents de sécurité de l'information au conseil d'administration, aux autres organes directeurs, et aux personnes chargées de la gestion et de la supervision des incidents de sécurité de l'information, le cas échéant.

17.

Référence du framework

26. Une entité réglementée par l'APRA doit passer en revue et tester chaque année ses plans de réponse en matière de sécurité de l'information pour s'assurer qu'ils restent efficaces et adaptés à ses objectifs.

18.

Référence du framework

Test de l'efficacité des contrôles et audit interne

19.

Référence du framework

27. Une entité réglementée par l'APRA doit tester l'efficacité de ses contrôles de sécurité de l'information par le biais d'un programme de tests systématiques. La nature et la fréquence des tests systématiques doivent être proportionnées : (a) à la rapidité avec laquelle les vulnérabilités et les menaces évoluent ; (b) à la criticité et la sensibilité des actifs informationnels ; (c) aux conséquences d'un incident de sécurité de l'information ; (d) aux risques liés à l'exposition à des environnements dans lesquels l'entité réglementée par l'APRA n'est pas en mesure de faire appliquer ses politiques de sécurité de l'information ; et (e) à l'importance et à la fréquence des changements apportés aux actifs informationnels.

Commentaires d'Atlassian

L'efficacité de nos contrôles de sécurité est testée par le biais de multiples audits et vérifications externes. Bien que chaque client soit chargé de tester l'efficacité de ses propres contrôles de sécurité de l'information et de remédier à toute lacune en matière de contrôle de sécurité découverte lors de son examen interne, Atlassian fournit plusieurs ressources concernant son programme de tests afin d'aider les clients à déterminer si leurs obligations relatives à la norme CPS 234 sont respectées.

Nos produits cloud font régulièrement l'objet d'une vérification indépendante portant sur leurs contrôles de sécurité, de confidentialité et de conformité, et obtiennent des certifications, des attestations de conformité ou des rapports d'audit par rapport aux normes en vigueur dans le monde entier. Nous donnons aux clients l'accès à ces attestations, certificats de conformité et rapports d'audit (p. ex., SOC2 et ISO 2700x) dans notre Centre de ressources dédié à la conformité pour qu'ils puissent les consulter dans le cadre de leur évaluation des risques. Chaque rapport de certification ou d'audit pertinent contient des informations supplémentaires sur la partie chargée de la certification ou de l'audit.

Notre Centre de ressources dédié à la conformité contient également des contrôles correspondant aux différents frameworks et lois pour lesquels des certifications ou des attestations formelles peuvent ne pas être requises ou appliquées.

Atlassian améliore continuellement la pertinence, l'adéquation et l'efficacité de son système de management de la sécurité de l'information (SMSI). Le système ATMS (Atlassian Trust Management System) est revu chaque année, à la fois en interne et par des tiers. Les clients d'Atlassian peuvent donc se fier à la validation de son efficacité par un tiers. L'engagement en faveur de l'amélioration continue est décrit en interne sur la page de définition de notre système ATMS, et permet de le faire évoluer au fil du temps et de combler les lacunes éventuelles.

De plus amples informations sur la validation de notre approche sont disponibles dans de nombreuses ressources sur notre Trust Center :

Atlassian réalise à la fois des audits de préparation internes et externes et des audits externes au moins une fois par an. Les résultats des audits internes ne sont pas partagés avec les clients.

20.

Référence du framework

28. Lorsque les actifs informationnels d'une entité réglementée par l'APRA sont gérés par une partie liée ou une partie tierce, et que l'entité réglementée par l'APRA dépend des tests de contrôle de sécurité de l'information de cette partie, cette entité doit évaluer si la nature et la fréquence des tests des contrôles concernant ces actifs informationnels sont conformes aux paragraphes 27(a) à 27(e) de cette norme prudentielle.

21.

Référence du framework

29. Une entité réglementée par l'APRA doit transmettre au conseil d'administration ou à la haute direction tout résultat de test identifiant des lacunes en matière de contrôle de la sécurité de l'information qui ne peuvent pas être corrigées en temps opportun.

22.

Référence du framework

30. Une entité réglementée par l'APRA doit s'assurer que les tests sont effectués par des spécialistes suffisamment qualifiés et indépendants du point de vue fonctionnel.

23.

Référence du framework

31. Une entité réglementée par l'APRA doit vérifier l'adéquation du programme de tests au moins une fois par an, ou en cas de changement important des actifs informationnels ou de l'environnement métier.

24.

Référence du framework

32. Les activités d'audit interne d'une entité réglementée par l'APRA doivent inclure un examen de la conception et de l'efficacité opérationnelle des contrôles de sécurité de l'information, y compris ceux gérés par des parties liées et tierces (assurance du contrôle de la sécurité de l'information).

25.

Référence du framework

33. Une entité réglementée par l'APRA doit s'assurer que le contrôle de la sécurité de l'information est effectué par du personnel suffisamment qualifié pour fournir une telle assurance.

26.

Référence du framework

34. La fonction d'audit interne d'une entité réglementée par l'APRA doit évaluer l'assurance de contrôle de la sécurité de l'information fournie par une partie liée ou tierce lorsque : (a) un incident de sécurité de l'information affectant les actifs informationnels est susceptible d'affecter de manière significative, financièrement ou non, l'entité ou les intérêts des déposants, des assurés, des bénéficiaires ou d'autres clients ; et (b) l'audit interne vise à s'appuyer sur l'assurance de contrôle de sécurité de l'information fournie par la partie liée ou tierce.

27.

Référence du framework

Notification APRA

28.

Référence du framework

35. Une entité réglementée par l'APRA doit informer l'APRA dès que possible et, dans tous les cas, au plus tard 72 heures, après avoir pris connaissance d'un incident de sécurité de l'information qui : (a) a affecté, ou était susceptible d'affecter, de manière significative, financièrement ou non, l'entité ou les intérêts des déposants, des assurés, des bénéficiaires ou d'autres clients ; ou (b) a été signalée à d'autres régulateurs, en Australie ou dans d'autres juridictions.

Commentaires d'Atlassian

Atlassian comprend à quel point il est important que vous soyez informé rapidement de toute violation de données. C'est pourquoi Atlassian a mis en place une équipe et un processus interfonctionnels complets pour gérer les incidents de sécurité, comme décrit sur notre page Gestion des incidents de sécurité.

Atlassian a une solide réputation en matière de notification rapide et proactive des incidents et de collaboration avec ses clients sur les mesures d'atténuation nécessaires. Atlassian s'engage, dans son Avenant sur le traitement des données et dans d'autres conditions juridiques, à informer ses clients des incidents de sécurité dans les meilleurs délais. Dans la mesure où les clients ont besoin de cette notification pour des raisons de conformité, nous les encourageons à signer et à soumettre l'Avenant sur le traitement des données (DPA) disponible ici. Une fois qu'un client a été informé d'un incident par Atlassian, il est tenu de déterminer si une notification à l'APRA est requise en vertu du paragraphe 35 de la norme CPS 234 et, dans l'affirmative, de prévenir l'APRA dans un délai de 72 heures, qui commence à courir une fois que le client a reçu la notification d'Atlassian.

Atlassian gère un programme Bug Bounty public pour ses produits par l'intermédiaire de son partenaire, Bugcrowd, afin d'aider les clients à se tenir au courant des vulnérabilités susceptibles d'affecter ses produits. Des mises à jour matérielles sont fournies aux clients via Statuspage. En outre, si un client choisit d'acheter une offre « Premium » ou « Enterprise » pour l'une des offres Jira Software Cloud, Jira Service Management Cloud ou Confluence Cloud, il bénéficiera de notre garantie de performance améliorée, dans laquelle nous lui assurons de ne pas diminuer de manière significative les fonctionnalités ou la sécurité globale du produit cloud pendant la durée d'abonnement applicable. Si nous recevons une demande de garantie de performance étendue de la part d'un client concernant la sécurité d'un produit cloud et que nous ne pouvons pas corriger la non-conformité, nous en informerons le client. Une fois qu'un client a reçu cette notification, il est tenu de déterminer si une notification à l'APRA est requise en vertu du paragraphe 36 de la norme CPS 234 et, dans l'affirmative, de la notifier à l'APRA dans les 10 jours ouvrables, qui commence à courir une fois que le client a reçu la notification d'Atlassian.

29.

Référence du framework

36. Une entité réglementée par l'APRA doit informer l'APRA dès que possible et, dans tous les cas, au plus tard 10 jours ouvrables, après avoir pris connaissance d'une faille importante en matière de contrôle de la sécurité de l'information à laquelle l'entité s'attend ne pas pouvoir remédier rapidement.