Transcription of Risques liés aux sy stèmes informatiques et de ...
1 Risques li s aux syst mes informatiques et de t l communications (Juillet 1989) La vitesse de l innovation technologique li e aux ordinateurs et aux t l communications, ces derni res ann es, et l int gration d op rations automatis es rendent les banques de plus en plus d pendantes de la fiabilit et de la continuit de leurs syst mes informatiques . Les banques ont toujours t expos es des Risques tels qu erreurs et fraudes, mais leur importance et la rapidit avec laquelle ils peuvent survenir se sont modifi es de mani re spectaculaire. En outre, avec des syst mes de r glement informatis s, les relations de cr dit interbancaires couvrent d sormais le monde entier sous forme de r seaux interconnect s.
2 Partir du moment o une banque est dans l incapacit de faire face ses obligations de paiement, du fait de difficult s propres aux syst mes, d une d faillance ou d autres raisons, les pr ts accord s par des tablissements cr anciers cette banque se transforment en cr ances douteuses, et la d faillance se propage, par r action en cha ne, tout le syst me, mena ant d investir et de paralyser l ensemble du syst me de r glement. Les types de Risques qui caract risent un environnement informatique et les proc dures de s curit et de contr le n cessaires requi rent toute l attention des autorit s de surveillance.
3 On examinera ici les cat gories suivantes de Risques : diffusion non autoris e d informations, erreurs, fraudes, interruption de l activit par suite d une d faillance du mat riel ou du logiciel, planification inefficace et Risques li s aux op rations d informatique individuelle. Le pr sent document est un outil de r f rence labor l intention des autorit s de contr le dans un vaste domaine d activit . Il n est pas con u comme un document technique pour des experts en la mati re et s efforce plut t de mettre l accent sur les principaux probl mes devant retenir l attention des autorit s de contr le.
4 Diffusion non autoris e d informations La plupart des informations bancaires sont cr es par traitement informatique ou li es directement ce dernier. Les donn es et documents sont g n ralement achemin s l int rieur d une banque ou entre une banque et ses correspondants et clients par des r seaux publics de communication (lignes t l phoniques et satellites, par exemple). Un grand nombre d usagers, dont les employ s et clients des banques, peuvent acc der directement ces informations par l interm diaire de terminaux et de t l phones informatiques . Tout en am liorant les services la client le et les op rations internes, ces activit s ont accru les Risques d erreur et d utilisation abusive des informations des banques.
5 Une grande partie de ces informations sont confidentielles; elles pourraient nuire aux relations avec la client le ainsi qu la r putation de l tablissement et entra ner des demandes de dommages et int r ts si elles tombaient entre de mauvaises mains. On peut citer parmi ces informations les soldes des comptes priv s, les plafonds des d couverts et les modalit s d ex cution des op rations. La cr ation et le stockage de la correspondance et des strat gies bancaires s effectuent galement par traitement de texte. Le danger particulier que repr sente la divulgation d informations confidentielles avec les syst mes informatiques , par rapport aux syst mes manuels, r side dans le fait que l on peut pr lever plus facilement, et sous une forme pouvant tre trait e par ordinateur (telles que copies sur bande ou disquette), une quantit beaucoup plus importante d informations et que l acc s non autoris peut intervenir sans laisser de traces.
6 Il convient donc de mettre en place des proc dures ad quates de s curit et de contr le pour prot ger la banque. C est en fonction du degr de risque encouru par l tablissement et de l incidence des pertes (ou de la diffusion non autoris e d informations) qu il faut fixer le niveau de contr le requis. Les contr les techniques effectu s aux fins de la s curit de l information pourraient inclure: le chiffrement, processus par lequel le texte en clair est converti en une s rie de symboles d nu s de 1 sens; l utilisation de codes d authentification des messages, qui prot gent contre toute alt ration non autoris e les transactions lectroniques de donn es au cours de la transmission ou du stockage.
7 Enfin, le recours du logiciel d application de mesures de s curit , en vue de restreindre l acc s aux donn es, fichiers, programmes, utilitaires et commandes de syst mes informatiques . De tels syst mes permettent de contr ler l acc s par utilisateur, par transaction et par terminal. Les violations ou tentatives de violation de la s curit doivent tre signal es. Erreurs Les erreurs se produisent en g n ral lors de l entr e des donn es ainsi que durant le d veloppement et la modification des programmes. Des erreurs importantes peuvent galement se glisser au cours de la conception des syst mes, des proc dures routini res de gestion des syst mes et de l utilisation de programmes sp ciaux destin s corriger d autres erreurs.
8 Les erreurs sont habituellement imputables une d faillance humaine, et tr s rarement aux composants lectroniques ou m caniques internes. Elles peuvent aussi tre introduites dans les programmes de logiciel lorsque ces derniers sont personnalis s et adapt s aux besoins d un utilisateur particulier. Il faudrait veiller, lors de l acquisition de programmes de logiciel standards, limiter les modifications un strict minimum. Fraudes Les flux de donn es bancaires repr sentent des actifs ou des instructions qui donnent lieu finalement un d placement d actifs.
9 La vitesse avec laquelle les actifs peuvent tre transf r s par les syst mes lectroniques de paiement et de commutation de messages complique le contr le interne. Les fraudes r ussies ne se traduisent pas seulement par une perte financi re directe pour l tablissement; elles portent aussi atteinte, lorsque les m dias en prennent connaissance, la confiance plac e dans l tablissement et le syst me bancaire en g n ral. Vu les nombreuses possibilit s d acc s aux documents informatiques , les Risques de fraude sont multiples. En voici quelques exemples: introduction de transactions non autoris es dans le syst me informatique; modification non autoris e des programmes lors d op rations courantes de d veloppement et de maintenance, de sorte que ceux-ci risquent d engendrer automatiquement des transactions frauduleuses, de ne pas tenir compte des tests de contr le effectu s sur certains comptes ou d liminer l enregistrement de transactions sp cifiques.
10 Utilisation de programmes sp ciaux pour modifier sans autorisation des documents informatiques en contournant les dispositifs normaux de contr le et les pistes de v rification int gr s dans les syst mes informatiques ; extraction physique des fichiers d un ordinateur, qui seront modifi s ailleurs par insertion de transactions ou de soldes frauduleux avant d tre remis en place pour le traitement; introduction ou interception aux fins de leur modification de transactions lors de leur transmission par l interm diaire des r seaux de t l communications. l heure actuelle, on assiste la mise en place de nouvelles formes de paiement qui permettent des tiers d initier des paiements au moyen d un quipement lectronique.