La Commission des valeurs mobilières de l'État (SSC) vient de publier le communiqué officiel n° 3351/UBCK-CNTT demandant aux sociétés de valeurs mobilières et aux sociétés de gestion de fonds de renforcer la sécurité des informations du réseau pour les activités de négociation de valeurs mobilières. Il s'agit d'un document de suivi de la dépêche officielle n° 1837/UBCK-CNTT datée du 25 mars 2024 de la Commission des valeurs mobilières de l'État portant avertissement concernant la sécurité des systèmes de négociation de valeurs mobilières en ligne.

En conséquence, pour améliorer la sécurité des informations du réseau, prendre des mesures pour répondre aux situations d'urgence, garantir la sécurité, la sûreté du système de transaction et les droits des investisseurs, la Commission des valeurs mobilières de l'État a émis 4 exigences.

En particulier, les sociétés de valeurs mobilières et les sociétés de gestion de fonds devront organiser des inspections et des évaluations de sécurité de l'information pour les systèmes d'information conformément aux dispositions des articles 11 et 12 de la circulaire n° 12/2022/TT-BTTTT du 12 août 2022 du ministère de l'Information et des Communications et du décret n° 85/2016/ND-CP du gouvernement.

Deuxièmement, la Commission des valeurs mobilières de l'État a également demandé aux entreprises de garantir le respect des réglementations sur la sécurité des systèmes d'information à chaque niveau et de mettre en œuvre des mesures de protection pour répondre aux exigences de sécurité de l'information conformément au contenu spécifié à l'article 19 du décret n° 85/2016/ND-CP ; Article 9, Article 10 de la circulaire n° 12/2022/TT-BTTTT et norme nationale TCVN 11930:2017.

Les sociétés de valeurs mobilières et les gestionnaires de fonds élaboreront un plan pour répondre aux incidents de sécurité et aux situations d’urgence pour les systèmes de négociation de valeurs mobilières en ligne. Enfin, la Commission des valeurs mobilières de l’État exige que l’organisation effectue de la propagande et de la diffusion pour sensibiliser ses dirigeants et employés à la sécurité de l’information.

Auparavant, fin mars 20224, une grave attaque contre le système informatique de VNDirect avait poussé les investisseurs clients de cette société de valeurs mobilières à « geler » leurs activités de trading pendant une semaine.

Immédiatement après la cyberattaque contre une société de valeurs mobilières fin mars, le Département de la sécurité de l'information du ministère de l'Information et des Communications a demandé aux sociétés de valeurs mobilières de rendre compte de la mise en œuvre de la sécurité de l'information par niveau et de la sécurité de l'information selon le modèle à 4 couches.

Selon la dépêche envoyée à la société de valeurs mobilières, le fait de ne pas garantir la sécurité du système d'information selon le niveau constitue une violation de la loi et sera passible de sanctions administratives conformément aux articles 88 et 89 du décret n° 15/2020/ND-CP du 3 février 2020 du Gouvernement réglementant les sanctions pour les violations administratives dans les domaines de la poste, des télécommunications, des radiofréquences, des technologies de l'information et des transactions électroniques.

Il s'agit d'une obligation de déclaration telle que prescrite dans la loi sur les investissements de 2020 et le décret 85/2016/ND-CP exigeant que les systèmes d'information fournissant des services de valeurs mobilières déploient une assurance de sécurité des systèmes d'information à chaque niveau. Les sanctions administratives pour ces infractions sont actuellement assez faibles. Toutefois, pour les entreprises opérant dans le secteur des services financiers, les atteintes à la réputation, à la crédibilité et à la confiance des clients constituent un problème grave.