Transcription of Mars 2018 Le risque informatique - Banque de France
1 Le risque informatiqueMars 2018 Document de r flexionAUTEURSMarc ANDRIES, David CARTEAU, Sylvie CORNAGGIA, Pascale GINOLHAC, Cyril GRUFFAT, Corinne Le MAGUERCONTRIBUTEURSRom o FENSTERBANK, Thierry FRIGOUT, Pierre HARGUINDEGUY, Christelle LACAZEACPR Le risque informatique2 SYNTH SEL mergence des cyberattaques ces derni res ann es a accru les pr occupations li es au risque informatique . Ces pr occupations ne sont pas propres aux secteurs de la Banque et de l assurance, mais elles ont une r sonnance particuli re en ce qui les concerne. En effet, ces secteurs repr sentent un maillon essentiel pour le bon fonctionnement de l conomie et la protection des int r ts du r pondre ces pr occupations, les autorit s de supervision renforcent progressivement leur action. Des instances internationales laborent de nouvelles r gles en mati re de risque informatique et les autorit s, comme l ACPR, agissant notamment dans le cadre du m canisme europ en de supervision unique bancaire, renforcent leurs contr document de r flexion souligne que la ma trise du risque informatique n est plus seulement un sujet propre aux quipes informatiques mais qu elle s inscrit dans la d marche g n rale de contr le et de ma trise des risques pilot e par la fonction de gestion des risques.
2 Le cadre de r f rence de gestion du risque op rationnel a donc vocation tre pr cis pour mieux inscrire le risque informatique , dans toutes ses dimensions, au sein des cat gories reconnues de risque op rationnel. Dans cette organisation, les instances dirigeantes sont directement impliqu es, la fois pour la mise en coh rence de la strat gie informatique et de l app tit au risque , mais aussi pour la mise en uvre et le suivi d un cadre de ma trise des de leur exp rience de contr le, les services de l ACPR ont labor une d finition et une cat gorisation du risque informatique , afin d en couvrir les diff rentes dimensions et de pouvoir le traiter dans sa globalit . Cette cat gorisation peut servir aux tablissements plac s sous son contr le pour laborer ou renforcer leur propre cartographie. Cette cat gorisation couvre les trois grands processus de mise en uvre et de gestion du syst me d information, c est- -dire la fois ce qui a trait l organisation de celui-ci, ce qui concerne son bon fonctionnement, et aussi sa s curit.
3 Pour chacun de ces grands processus, le document de r flexion indique une s rie de facteurs de risque , labor e sur deux niveaux pour permettre une analyse assez fine. Pour chaque facteur de risque , sont indiqu es les principales mesures de r duction et de ma trise des risques attendues. Ces mesures sont indicatives et les tablissements peuvent les adapter leur contexte. Elles illustrent les meilleures pratiques habituellement constat es par les services de l ACPR et visent constituer un socle commun de ma trise du risque informatique dans les secteurs de la Banque et de l Le risque informatique3 SOMMAIRE4 Introduction7 Le risque informatique et son ancrage dans le risque op rationnel7 1 tat des lieux de la r glementation au plan international8 2 La d marche de d finition et de cat gorisation du risque informatique au sein de l ACPR12 Organisation du syst me d information et de sa s curit 13 1 D cisions de la direction g n rale et de l organe de surveillance14 2 Strat gie IT15 3 Pilotage budg taire16 4 D finir les r les et responsabilit s de la fonction informatique17 5 Rationalisation du syst me d information19 6 Ma trise de l externalisation20 7 Respect des
4 Lois et r glements22 8 Gestion des risques24 Fonctionnement du syst me d information25 1 Gestion de l exploitation (syst mes et r seaux)27 2 Gestion de la continuit d exploitation30 3 Gestion des changements (projets, volutions, corrections)31 4 Qualit des donn es34 S curit du syst me d information35 1 Protection physique des installations35 2 Identification des actifs36 3 Protection logique des actifs42 4 D tection des attaques44 5 Dispositif de r action aux attaques46 Annexe : cat gorisation du risque informatique4 IntroductionDe nombreuses instances internatio-nales mettent l accent, depuis plu-sieurs ann es, sur la mont e du risque informatique au sein des secteurs de la Banque et de l assurance. Ces interven-tions r sultent d un double constat. En pre-mier lieu, les activit s des tablissements reposent d sormais en totalit sur des sys-t mes d information automatis s, y compris pour la relation avec la client le 1, et ces environnements sont devenus complexes g rer.
5 En second lieu, les dommages infor-matiques, malgr toutes les pr cautions prises, deviennent des risques majeurs pour l exercice des activit s de ces tablisse-ments. En particulier, la capacit de nui-sance des cyberattaques n a cess de progresser ces derni res ann es. Alors qu au d but ces attaques portaient princi-palement sur les quipements des clients et avaient donc un caract re unitaire, peu perturbant dans l ensemble, elles visent d sormais directement les environnements informatiques des tablissements et peuvent avoir des cons quences majeures, y compris syst miques, en raison des relations d in-terd pendance croissantes qui lient les diff rents acteurs r ponse, les instances qui produisent les standards internationaux applicables aux secteurs de la Banque et de l assurance ont commenc formuler leurs attentes vis- -vis de la profession.
6 L Autorit bancaire euro-p enne (ABE) a ainsi adopt plusieurs docu-ments normatifs sur les risques informatiques du secteur bancaire, notamment des lignes directrices l usage des autorit s de super-vision pour d velopper de mani re uniforme leur valuation des risques informatiques des tablissements 2. L Autorit europ enne des assurances et des pensions profession-nelles (AEAPP 3) a publi , un document de r flexion sur le risque cyber 4 et a engag une revue de ce risque avec des acteurs majeurs de l les diff rents risques informatiques, ceux relatifs la cybers curit ont fait l objet d une attention toute particuli re de la part de plusieurs autorit s. Le G7 a d j adopt des principes de haut niveau, non contrai-gnants, qui ont vocation orienter et unifier les actions en la mati re 5 et il poursuit son action sur plusieurs plans pour intensifier les d marches des r gulateurs du secteur.
7 Le comit pour les paiements et les infrastruc-tures de march (CPMI 6) de la Banque des r glements internationaux et l organisation internationale des autorit s de march (IOSCO 7) ont publi , des orientations afin d am liorer la r silience des infrastructures 1 Ce que l on appelle parfois la digitalisation des activit s bancaires et financi EBA (2017) : Guidelines on ICT Risk Assessment under the Supervisory Review and Evaluation process (SREP) , 11 mai En anglais European Insurance and Occupational Pensions Authority EIOPA4 R dig par son Groupe des parties prenantes du secteur de l assurance et la r assurance (IRSG) (2016) : Cyber risk some strategic issues , G7 (2016) : Fundamental elements of cybersecurity for the financial sector , octobre, et G7 (2017) : Fundamental elements for effective assessment of cybersecurity in the financial sector , Committee on Payments and Market Infrastructures CPMI7 International Organisation of Securities Commissions IOSCOACPR Le risque informatique5 Introductionde march face aux attaques cyber 8.
8 L Association internationale des contr leurs de l assurance (AICA 9) a galement publi , un document de r flexion sur le risque cyber du secteur de l assurance 10 et poursuit avec un document d l ensemble de ces textes, le risque informatique est reconnu explicitement ou implicitement comme un risque op ration-nel, tel qu il avait t document puis enca-dr par le Comit de B le sur le contr le bancaire (CBCB) partir de 2003. Pour autant, il reste encore pr ciser l inclusion et le traitement du risque informatique au sein du risque op rationnel pour que les m mes principes de traitement s y leur c t , les autorit s de supervision d veloppent galement fortement leur action dans le domaine du risque informatique . D s novembre 2014, lorsque lui a t trans-f r e la comp tence de supervision directe des tablissements bancaires de la zone euro les plus importants ( significant insti-tutions ), la Banque centrale europ enne (BCE), avec l assistance des autorit s natio-nales de supervision rassembl es dans le m canisme de supervision unique (MSU), a imm diatement lanc plusieurs actions de contr le sur pi ces et sur place.
9 Des questionnaires d valuation sur la cyber-s curit ou sur les pratiques d externalisation des activit s informatiques ont permis de prendre rapidement la mesure des forces et faiblesses du secteur, puis d engager des actions correctrices. De nombreux contr les sur place, men s le plus souvent par les autorit s nationales, ont compl t la d marche et permis de disposer d informa-tions pr cises sur les actions telle d marche tait d j bien ancr e en France , puisque la Commission bancaire avait publi en 1996 un livre blanc sur la s curit des syst mes d in-formation dans les tablissements de cr dit et qu elle s tait dot e, depuis 1995, au sein des quipes d inspection sur place, d une quipe d di e pour les risques li s aux syst mes d information. Forte de cet existant, l ACPR a pris part aux actions de la BCE, la fois en mettant ses contr -leurs sur pi ces disposition des quipes conjointes de supervision ( Joint super-visory team ) du MSU et en confiant la r alisation de contr les sur place aux inspecteurs de la Banque de France .
10 Dans les domaines o elle a autorit directe, comme celui des entit s bancaires moins importantes ( Less-significant institu-tions ), les autres entit s du secteur ban-caire (soci t s de financement et prestataires de services de paiement notamment) et celui de l assurance, l ACPR m ne galement de nombreuses interven-tions au titre de ses contr les permanents et de ses contr les sur place. L importance toujours croissante des risques informa-tiques repr sente un d fi permanent en termes de d veloppement des ressources et des comp tences. Pour y r pondre, l ACPR a poursuivi ses actions de forma-tion et elle a compl t les quipes d di es du contr le sur place en constituant un r seau d experts en mati re de risque informatique , compos d une vingtaine de participants. Ces experts repr sentent l ACPR dans les diff rentes instances inter-nationales qui travaillent sur le risque informatique et la cybers curit.
