Vous êtes sur la page 1sur 48

Mars 2018

Le risque informatique
Document de réflexion

AUTEURS
Marc ANDRIES, David CARTEAU, Sylvie CORNAGGIA,
Pascale GINOLHAC, Cyril GRUFFAT, Corinne Le MAGUER

CONTRIBUTEURS
Roméo FENSTERBANK, Thierry FRIGOUT,
Pierre HARGUINDEGUY, Christelle LACAZE
SYNTHÈSE
L’émergence des cyberattaques ces dernières années a accru les préoccupations liées
au risque informatique. Ces préoccupations ne sont pas propres aux secteurs de la
banque et de l’assurance, mais elles ont une résonnance particulière en ce qui les
concerne. En effet, ces secteurs représentent un maillon essentiel pour le bon fonctionnement
de l’économie et la protection des intérêts du public.

Pour répondre à ces préoccupations, les autorités de supervision renforcent progressivement


leur action. Des instances internationales élaborent de nouvelles règles en matière de
risque informatique et les autorités, comme l’ACPR, agissant notamment dans le cadre
du mécanisme européen de supervision unique bancaire, renforcent leurs contrôles.

Ce document de réflexion souligne que la maîtrise du risque informatique n’est plus


seulement un sujet propre aux équipes informatiques mais qu’elle s’inscrit dans la
démarche générale de contrôle et de maîtrise des risques pilotée par la fonction de
gestion des risques. Le cadre de référence de gestion du risque opérationnel a donc
vocation à être précisé pour mieux inscrire le risque informatique, dans toutes ses
dimensions, au sein des catégories reconnues de risque opérationnel. Dans cette
organisation, les instances dirigeantes sont directement impliquées, à la fois pour la
mise en cohérence de la stratégie informatique et de l’appétit au risque, mais aussi pour
la mise en œuvre et le suivi d’un cadre de maîtrise des risques.

Forts de leur expérience de contrôle, les services de l’ACPR ont élaboré une définition
et une catégorisation du risque informatique, afin d’en couvrir les différentes dimensions
et de pouvoir le traiter dans sa globalité. Cette catégorisation peut servir aux établissements
placés sous son contrôle pour élaborer ou renforcer leur propre cartographie. Cette
catégorisation couvre les trois grands processus de mise en œuvre et de gestion du
système d’information, c’est-à-dire à la fois ce qui a trait à l’organisation de celui-ci, ce
qui concerne son bon fonctionnement, et aussi sa sécurité. Pour chacun de ces grands
processus, le document de réflexion indique une série de facteurs de risque, élaborée
sur deux niveaux pour permettre une analyse assez fine. Pour chaque facteur de risque,
sont indiquées les principales mesures de réduction et de maîtrise des risques attendues.
Ces mesures sont indicatives et les établissements peuvent les adapter à leur contexte.
Elles illustrent les meilleures pratiques habituellement constatées par les services de
l’ACPR et visent à constituer un socle commun de maîtrise du risque informatique dans
les secteurs de la banque et de l’assurance.

ACPR – Le risque informatique 2


SOMMAIRE

4 Introduction

7 Le risque informatique et son ancrage dans le risque opérationnel


7 1 État des lieux de la réglementation au plan international
8 2 La démarche de définition et de catégorisation du risque informatique au sein de l’ACPR

12 Organisation du système d’information et de sa sécurité


13 1 Décisions de la direction générale et de l’organe de surveillance
14 2 Stratégie IT
15 3 Pilotage budgétaire
16 4 Définir les rôles et responsabilités de la fonction informatique
17 5 Rationalisation du système d’information
19 6 Maîtrise de l’externalisation
20 7 Respect des lois et règlements
22 8 Gestion des risques

24 Fonctionnement du système d’information


25 1 Gestion de l’exploitation (systèmes et réseaux)
27 2 Gestion de la continuité d’exploitation
30 3 Gestion des changements (projets, évolutions, corrections)
31 4 Qualité des données

34 Sécurité du système d’information


35 1 Protection physique des installations
35 2 Identification des actifs
36 3 Protection logique des actifs
42 4 Détection des attaques
44 5 Dispositif de réaction aux attaques

46 Annexe : catégorisation du risque informatique

ACPR – Le risque informatique 3


Introduction

D
e nombreuses instances internatio- secteurs de la banque et de l’assurance ont
nales mettent l’accent, depuis plu- commencé à formuler leurs attentes vis-à-vis
sieurs années, sur la montée du de la profession. L’Autorité bancaire euro-
risque informatique au sein des secteurs de péenne (ABE) a ainsi adopté plusieurs docu-
la banque et de l’assurance. Ces interven- ments normatifs sur les risques informatiques
tions résultent d’un double constat. En pre- du secteur bancaire, notamment des lignes
mier lieu, les activités des établissements directrices à l’usage des autorités de super-
reposent désormais en totalité sur des sys- vision pour développer de manière uniforme
tèmes d’information automatisés, y compris leur évaluation des risques informatiques
pour la relation avec la clientèle 1, et ces des établissements  2. L’Autorité européenne
environnements sont devenus complexes à des assurances et des pensions profession-
gérer. En second lieu, les dommages infor- nelles (AEAPP  3) a publié, un document de
matiques, malgré toutes les précautions réflexion sur le risque cyber  4 et a engagé
prises, deviennent des risques majeurs pour une revue de ce risque avec des acteurs
1  Ce que l’on appelle parfois
l’exercice des activités de ces établisse- majeurs de l’assurance.
la « digitalisation » des activités
bancaires et financières.
ments. En particulier, la capacité de nui-
2  EBA (2017) : « Guidelines sance des cyberattaques n’a cessé de Parmi les différents risques informatiques,
on ICT Risk Assessment under
the Supervisory Review and progresser ces dernières années. Alors ceux relatifs à la cybersécurité ont fait l’objet
Evaluation process (SREP) »,
11 mai 2017.
qu’au début ces attaques portaient princi- d’une attention toute particulière de la part
3  En anglais « European palement sur les équipements des clients et de plusieurs autorités. Le G7 a déjà adopté
Insurance and Occupational
Pensions Authority » – EIOPA avaient donc un caractère unitaire, peu des principes de haut niveau, non contrai-
4  Rédigé par son Groupe des perturbant dans l’ensemble, elles visent gnants, qui ont vocation à orienter et unifier
parties prenantes du secteur de
l’assurance et la réassurance désormais directement les environnements les actions en la matière  5 et il poursuit son
(IRSG) (2016) : « Cyber risk
– some strategic issues », avril. informatiques des établissements et peuvent action sur plusieurs plans pour intensifier
5  G7 (2016) : « Fundamental avoir des conséquences majeures, y compris les démarches des régulateurs du secteur.
elements of cybersecurity for the
financial sector », octobre, et systémiques, en raison des relations d’in- Le comité pour les paiements et les infrastruc-
G7 (2017) : « Fundamental
elements for effective assessment terdépendance croissantes qui lient les tures de marché (CPMI  6) de la Banque des
of cybersecurity in the financial
sector », octobre. différents acteurs financiers. règlements internationaux et l’organisation
6  Committee on Payments and internationale des autorités de marché
Market Infrastructures – CPMI
En réponse, les instances qui produisent les (IOSCO 7) ont publié, des orientations afin
7  International Organisation of
Securities Commissions – IOSCO standards internationaux applicables aux d’améliorer la résilience des infrastructures

4
Introduction

de marché face aux attaques cyber 8. bancaire avait publié en 1996 un livre
L’Association internationale des contrôleurs blanc sur la sécurité des systèmes d’in-
de l’assurance (AICA  9) a également publié, formation dans les établissements de crédit
un document de réflexion sur le risque cyber et qu’elle s’était dotée, depuis 1995, au
du secteur de l’assurance  10 et poursuit avec sein des équipes d’inspection sur place,
un document d’application. d’une équipe dédiée pour les risques liés
aux systèmes d’information. Forte de cet
Dans l’ensemble de ces textes, le risque existant, l’ACPR a pris part aux actions
informatique est reconnu explicitement ou de la BCE, à la fois en mettant ses contrô-
implicitement comme un risque opération- leurs sur pièces à disposition des équipes
nel, tel qu’il avait été documenté puis enca- conjointes de supervision (« Joint super-
dré par le Comité de Bâle sur le contrôle visory team ») du MSU et en confiant la
bancaire (CBCB) à partir de 2003. Pour réalisation de contrôles sur place aux
autant, il reste encore à préciser l’inclusion inspecteurs de la Banque de France. Dans
et le traitement du risque informatique au les domaines où elle a autorité directe,
sein du risque opérationnel pour que les comme celui des entités bancaires « moins
mêmes principes de traitement s’y appliquent. importantes » (« Less-significant institu-
tions »), les autres entités du secteur ban-
De leur côté, les autorités de supervision caire (sociétés de financement et
développent également fortement leur action prestataires de services de paiement
dans le domaine du risque informatique. notamment) et celui de l’assurance, l’ACPR
Dès novembre 2014, lorsque lui a été trans- mène également de nombreuses interven-
férée la compétence de supervision directe tions au titre de ses contrôles permanents
des établissements bancaires de la zone et de ses contrôles sur place. L’importance
euro les plus importants (« significant insti- toujours croissante des risques informa-
tutions »), la Banque centrale européenne tiques représente un défi permanent en
(BCE), avec l’assistance des autorités natio- termes de développement des ressources
nales de supervision rassemblées dans le et des compétences. Pour y répondre,
« mécanisme de supervision unique » l’ACPR a poursuivi ses actions de forma-
(MSU), a immédiatement lancé plusieurs tion et elle a complété les équipes dédiées
actions de contrôle sur pièces et sur place. du contrôle sur place en constituant un
Des questionnaires d’évaluation sur la cyber- réseau d’experts en matière de risque
sécurité ou sur les pratiques d’externalisation informatique, composé d’une vingtaine
des activités informatiques ont permis de de participants. Ces experts représentent
prendre rapidement la mesure des forces l’ACPR dans les différentes instances inter-
et faiblesses du secteur, puis d’engager des nationales qui travaillent sur le risque
actions correctrices. De nombreux contrôles informatique et la cybersécurité.
sur place, menés le plus souvent par les
8  CPMI-IOSCO (2016) : autorités nationales, ont complété la Ce « document de réflexion » a été rédigé
« Guidance on cyber resilience
for financial market démarche et permis de disposer d’informa- par des experts informatiques du réseau
infrastructures », juin.
tions précises sur les actions à mener. constitué par l’ACPR. Il vise à communiquer
9  International Association of
Insurance Supervisors – IAIS sur les enjeux perçus concernant les risques
10  IAIS (2016) : « Issues Paper Une telle démarche était déjà bien ancrée informatiques, tant s’agissant de leur
on cyber risk to the insurance
sector », août. en France, puisque la Commission reconnaissance que de leur réduction.

ACPR – Le risque informatique 5


Introduction

Il constitue une contribution aux réflexions définition s’accompagne d’une proposition


sur la manière d’intégrer la maîtrise du risque de catégorisation du risque informatique,
informatique dans le cadre de gestion du afin d’en couvrir toutes les dimensions de
risque opérationnel. En premier lieu, le manière cohérente. Pour chaque élément
document propose une définition du risque présenté dans cette catégorisation, le
informatique conçu comme une dimension document indique ce qui paraît caractériser
du risque opérationnel. En second lieu, cette une bonne gestion des risques.

ACPR – Le risque informatique 6


Le risque informatique et son ancrage
dans le risque opérationnel

11  BCBS (2003) : « Sound practices


for the management and supervision
of operational risk », Basel
Committee Publications n° 96, février.

12  BCBS (2006) : 1 État des lieux de la réglementation également reprise par la réglementation
« International convergence of
capital measurement and capital au plan international bancaire française  15. Ce cadre a été volon-
standards », Basel Committee
Publications n° 128, juin. tairement conçu de manière large et flexible
13  Directive 2013/36/UE du D’abord conceptualisée par les instances pour couvrir la grande variété des organi-
Parlement européen et du Conseil
du 26 juin 2013 concernant bancaires, la notion de risque opérationnel sations et permettre aux établissements de
l’accès à l’activité des
établissements de crédit et la a ensuite été reprise par les instances du le mettre en œuvre de façon proportionnée
surveillance prudentielle des
établissements de crédit et des
secteur de l’assurance. Le Comité de Bâle à l’importance et à la complexité de
entreprises d’investissement
(Directive CRD IV). Règlement (UE)
sur le contrôle bancaire a progressivement leurs activités.
n° 575/2013 du Parlement
européen et du Conseil du
développé ses préconisations pour la maî-
26 juin 2013 concernant les trise du risque opérationnel à partir Dans aucun de ces documents le risque infor-
exigences prudentielles applicables
aux établissements de crédit et aux de 2003 11. Il a ensuite ajouté des exi- matique n’est explicitement visé, même si
entreprises d’investissement
(Règlement CRR, article 4). gences en fonds propres pour faire face les différentes autorités s’accordent à l’y
14  Directive 2009/138/CE du aux incidents de nature opérationnelle pou- ranger au titre de la « défaillance des pro-
Parlement européen et du Conseil
du 25 novembre 2009 sur l’accès vant affecter les établissements 12. Pour cessus, du personnel et des systèmes »,
aux activités de l’assurance et de
la réassurance et leur exercice couvrir les multiples facettes du risque opé- comme c’est par exemple le cas avec les
(Solvabilité II). L’article 1333)
définit le risque opérationnel rationnel, le Comité de Bâle a retenu une pannes ou les erreurs informatiques, ou aussi
comme « le risque de perte
résultant de procédures internes, définition large, incluant les défaillances au titre des « évènements externes » comme
de membres du personnel ou de
systèmes inadéquats ou défaillants, internes comme les évènements extérieurs, c’est le cas avec les cyberattaques. Cela
ou d’événements extérieurs ».
et axée sur le risque de perte financière, tient au raisonnement initial des autorités
15  L’arrêté du 3 novembre 2014
relatif au contrôle interne des directe ou indirecte. Selon le Comité, le normatives selon lequel les outils informa-
entreprises du secteur de la banque,
des services de paiement et des risque opérationnel recouvre en effet tout tiques et le système d’information dans son
services d’investissement soumises
au contrôle de l’ACPR, définit dans « risque de perte résultant d’une inadéqua- ensemble étaient des éléments au service
son article 10 le risque opérationnel
comme « le risque de pertes tion ou d’une défaillance des processus, de l’activité des établissements, mais qu’ils
découlant d’une inadéquation ou
d’une défaillance des processus, du
du personnel et des systèmes, ou d’événe- n’étaient pas leur raison d’être. Selon cette
personnel et des systèmes internes
ou d’événements extérieurs, y
ments externes ». Cette définition, avec de approche, les risques principaux sont ceux
compris le risque juridique ; le
risque opérationnel inclut
légères nuances d’écriture, s’est retrouvée spécifiquement liés à l’exercice de l’activité,
notamment les risques liés à des dans les différents cadres législatifs et régle- comme les risques de crédit, de marché ou
événements de faible probabilité
d’occurrence mais à fort impact, les mentaires, notamment les directives euro- d’assurance. Une défaillance informatique
risques de fraude interne et externe
définis à l’article 324 du règlement péennes encadrant l’activité bancaire  13 et n’est principalement perçue dans ce cas que
UE n° 575/2013 susvisé, et les
risques liés au modèle ». du secteur de l’assurance 14. Elle est par sa conséquence sur le métier qui en est

7
Le risque informatique et son ancrage dans le risque opérationnel

l’utilisateur. La reconnaissance du risque auxquels certains textes bancaires faisaient


opérationnel dans les années 2000 a consti- eux-mêmes parfois référence 17. Or, ces
tué une avancée dans la mesure où un trai- standards, produits par des professionnels
tement qualitatif (gestion du risque et contrôle de l’informatique, ne procèdent pas du cadre
interne) puis quantitatif (exigence en fonds conceptuel établi par les instances de régle-
propres) sont venus compléter les risques mentation bancaire et financière. Les
« métier » et couvrir les différents évènements concepts de gestion du risque, pour être
liés au support des métiers (dont la fonction analogues, ne correspondent pas complè-
informatique). Les travaux nombreux et tement et ne s’appuient par exemple pas sur
approfondis conduits vers 2005 sur la conti- le dispositif de contrôle interne. Ces stan-
nuité d’activité ont également visé à renforcer dards ne s’articulent pas non plus avec le
les dispositions applicables à ce sujet pour dispositif attendu par les instances de régle-
garantir une meilleure résistance aux pannes, mentation bancaire et financière pour la
mais n’ont pas modifié le cadre général du gouvernance d’entreprise des établissements.
risque opérationnel. Mais en l’état, hormis Dorénavant, les autorités de supervision
une définition large et englobante, le risque veillent à ce que les établissements n’aient
opérationnel reste décrit selon une catégo- pas un cadre de gestion des risques infor-
risation (indicative) en sept classes, dont matiques entièrement décidé et déployé
aucune individuellement, ni plusieurs réunies, uniquement par les directions informatiques
ne correspondent aux différentes dimensions mais demandent que ce cadre soit correc-
du risque informatique 16. tement intégré au cadre général en vigueur
pour le risque opérationnel.
L’intensification récente des travaux sur le
risque informatique marque donc une évo- 2 La démarche de définition
lution notable. Elle consiste à reconnaître ce et de catégorisation du risque
risque plus explicitement compte tenu de son informatique au sein de l’ACPR
importance grandissante et transversale pour
tous les métiers. Toutefois, s’il est unanime- Le secrétariat général de l’ACPR s’est engagé
ment rangé par les régulateurs dans les dans des travaux visant à préciser la définition
risques opérationnels, des éléments de défi- et le traitement du risque informatique. Ces
nition et de traitement du risque informatique travaux ont été conduits de façon transversale,
tardent à être formulés. Les établissements à la fois pour les secteurs de la banque et de
sont donc laissés libres de les formuler et l’assurance, par le réseau des experts infor-
doivent justifier qu’ils traitent toutes les dimen- matiques. Ils ont pris la forme d’une définition
sions du risque informatique en accord avec et d’une catégorisation du risque informatique
16  CRR, article 324 : fraude
interne ; fraude externe ; pratiques les dispositions applicables au risque opé- afin de pouvoir en couvrir l’ensemble des
en matière d’emploi et sécurité
au travail ; clients, produits et rationnel. Cet effort n’est pas des plus aisés. dimensions. Ces éléments ont vocation à
pratiques commerciales ;
dommages occasionnés aux Depuis longtemps, les établissements des contribuer aux réflexions des différentes ins-
actifs matériels ; interruption de
l’activité et dysfonctionnement secteurs de la banque et de l’assurance, tances internationales, notamment dans la
des systèmes ; exécution livraison
et gestion des processus. comme toute entreprise, s’appuient sur les perspective des travaux du Comité de Bâle
17  EBA (2011) : « Guidelines principes de bonne gestion informatique sur la révision des principes de saine gestion
on internal governance » (GL44),
septembre, point E.30.2 produits par les organismes de standardisa- du risque opérationnel 18 et, de la révision
18  BCBS (2011) : « Principles tion internationaux, comme l’International des principes de contrôle du secteur de l’as-
for the sound management of
operational risk », juin. Standardisation Organisation (ISO), surance (Insurance Core Principles) de l’AICA.

ACPR – Le risque informatique 8


Le risque informatique et son ancrage dans le risque opérationnel

Définition du risque informatique fonctionnement, ou d’une insuffisante sécurité


du système d’information, entendu comme
Il est apparu en premier lieu important de l’ensemble des équipements systèmes et
disposer d’une définition claire du risque réseaux et des moyens humains destinés au
informatique, qui soit à la fois pertinente traitement de l’information de l’institution. La
du point de vue des activités informatiques définition s’inscrit dans la logique du risque
et aussi des concepts habituels d’analyse opérationnel, puisque le risque se matérialise
du risque opérationnel. Une telle définition par une perte (ou une quasi-perte, un coût
n’existe pas encore dans la réglementation d’opportunité, un gain indu ou des surcharges
des secteurs de la banque et de l’assurance. de coût). Cette définition a une portée large,
L’AICA se réfère à une définition des pro- étendue au système d’information dans son
fessionnels du secteur de l’assurance (CRO ensemble c’est-à-dire à la fois les dispositifs
Forum 19). L’ABE en a adopté une en 2014, techniques et les moyens d’organisation, ainsi
dans ses lignes directrices relatives au « pro- que les ressources humaines intervenant pour
cessus de surveillance et d’évaluation pru- le traitement de l’information. Cela permet
dentielle » (Supervisory Review and de neutraliser les variations de vocabulaire
Evaluation Process, SREP) 20, mais celle-ci (risque du système d’information, risque des
devrait être complétée, compte tenu de TIC ou risque informatique). Pour des raisons
l’évolution des expériences et des connais- de commodité l’expression usuelle de « risque
sances sur ce sujet. informatique » est choisie et couvre ces dif-
férents vocables. Par ailleurs, sont énoncés
La définition élaborée dans ce document les trois grands domaines de risque qui sont
vise à couvrir toutes les dimensions de risque, choisis pour structurer l’approche d’analyse
y compris celles liées à la gouvernance et et de traitement des risques : l’organisation
à l’organisation du système d’information. et la gouvernance, le bon fonctionnement et
la qualité, ainsi que la sécurité du système
d’information. Cela permet de couvrir tous
les processus de gestion informatique afin de
LE RISQUE INFORMATIQUE
viser de façon exhaustive les facteurs de risque
19 « Any risks that emanate Système d’information sous-jacents au risque informatique. Cela
from the use of electronic data
and its transmission, including Organisation Défaut de Insuffisante donne aussi les axes de la catégorisation du
technology tools such as the
internet and telecommunications inadéquate fonctionnement sécurité risque informatique.
networks. It also encompasses
physical damage that can be
caused by cybersecurity
incidents, fraud committed by Cette définition inclut la cybersécurité, mais
misuse of data, any liability
arising from data storage, and
Incident causant une perte ne s’y limite pas. En effet, la cybersécurité
the availability, integrity and
confidentiality of electronic
correspond à une démarche de protection et
information − be it related to de réaction face à des attaques touchant tout
individuals, companies,
or governments ». ou partie du système d’information, et ne traite
20  EBA SREP GL (2014) :
« Information and communication
Cette définition est la suivante. Le « risque donc pas l’ensemble des risques informatiques.
technology (ICT) risk » means the
current or prospective risk of losses
informatique » (ou « risque des technologies Ainsi, il y a lieu de positionner la cybersécurité
due to the inappropriateness or de l’information et de la communication – comme une démarche contenue dans le trai-
failure of the hardware and
software of technical TIC », ou « risque du système d’information ») tement du risque informatique et non l’inverse.
infrastructures, which can
compromise the availability, correspond au risque de perte résultant d’une Pour ses travaux, l’ACPR utilise la définition
integrity, accessibility and security
of such infrastructures and of data. organisation inadéquate, d’un défaut de de la cybersécurité telle qu’établie par la BCE.

ACPR – Le risque informatique 9


Le risque informatique et son ancrage dans le risque opérationnel

Selon cette définition, « la cybersécurité


est l’ensemble des contrôles et des mesures
d’organisation ainsi que des moyens QUESTION N° 1
(humains, techniques, etc.) utilisés pour La définition du risque informatique
protéger les éléments du système d’infor- vous paraît-elle satisfaisante, ou avez-
mation et des réseaux de communication vous des propositions d’amélioration
contre toutes attaques logiques, que à faire ?
celles-ci soient conduites par le biais de
brèches de sécurité physique ou logique. QUESTION N° 2
Ces contrôles et mesures incluent la pré- Partagez-vous l’avis selon lequel les
vention, la détection et la réponse à toute cyber‑risques s’intègrent dans les
activité informatique malicieuse visant risques informatiques et qu’il convient
des éléments du système d’information, donc de privilégier une approche
et affectant potentiellement la confiden- englobante ?
tialité, l’intégrité ou la disponibilité des
systèmes et des données, de même que
la traçabilité des opérations effectuées
sur ces systèmes et réseaux ». Catégorisation du risque informatique

La catégorisation du risque informatique


proposée regroupe de manière ordonnée
LA CYBERSÉCURITÉ l’ensemble des facteurs de risque identifiés
pour les trois macro-processus informatiques,
Qu’est-ce que c’est ?
compris comme l’organisation, le fonction-
Des mesures nement (y compris le développement) et la
Des moyens techniques sécurité du système d’information. Pour cha-
et humains
cun de ces trois macro-processus, on identifie
des facteurs de risque informatique princi-
De quel type ? paux et secondaires.
Prévention
Détection
Réponse LES PROCESSUS INFORMATIQUES
ET LEURS RISQUES

Contre quoi ?
Des tentatives malicieuses Organiser le système d’information
visant le système d’information en :
• confidentialité
• intégrité Faire fonctionner
le système d’information
• disponibilité
• traçabilité
Sécuriser le système d’information

ACPR – Le risque informatique 10


Le risque informatique et son ancrage dans le risque opérationnel

Ceux liés à l’organisation regroupent les proposée. Dans tous les cas, il convient de
situations de décision et de pilotage global couvrir l’entièreté du champ des risques
insuffisant, pouvant conduire à une mau- identifiés, sauf à ce que leur organisation
vaise gestion informatique, à un support ou leur modèle économique ne le justifie
insuffisant des besoins des métiers, voire à pas. À cet égard, il est utile de souligner
une mauvaise gestion du risque informatique que lorsque tout ou partie du système d’in-
en général. formation d’un établissement est sous-traité,
cela ne signifie pas que l’établissement
Ceux liés au fonctionnement sont compris n’est plus exposé à ces risques informa-
au sens large, c’est-à-dire en incluant l’ex- tiques. Il doit en conséquence continuer à
ploitation et les projets, la continuité d’ac- les identifier et les maîtriser dans le cadre
tivité et la qualité des données. Ils ont en de sa gestion du risque opérationnel et de
commun de viser tout ce qui peut porter son dispositif de contrôle interne.
atteinte au bon fonctionnement du système
d’information et altérer ainsi la capacité Dans la suite du document, sont exposés
d’un établissement à réaliser ses activités. les facteurs de risque retenus dans la caté-
En particulier, la catégorisation retient les gorisation proposée ainsi que les mesures
risques de mauvais pilotage des projets et qui paraissent utiles ou nécessaires à leur
des changements, d’atteinte à la continuité maîtrise. Ces facteurs de risque s’entendent
de l’exploitation, et de qualité insuffisante comme des événements ou des situations
des données (données relatives aux clients, susceptibles d’accroître la probabilité du
rapports devant être communiqués au régu- risque informatique. Les mesures de maî-
lateur ou propres aux établissements et trise de ces facteurs de risque qui sont
n’ayant pas vocation à être diffusés). indiquées dans la suite du document ne
sont bien évidemment pas exhaustives ou
Enfin, ceux liés à la sécurité visent en géné- impératives. Leur présentation vise avant
ral toutes les atteintes malveillantes à la tout à donner un socle commun de com-
disponibilité, à la confidentialité et à l’in- préhension à tous les établissements de
tégrité des données et systèmes gérés par façon à permettre leur bonne maîtrise des
l’établissement. Il s’agit notamment des risques. Elle peut aussi servir aux services
facteurs de risque liés à la mauvaise iden- de l’ACPR à contribuer aux travaux des
tification et protection des actifs du système différentes instances internationales aux-
informatique, ceux liés à des systèmes de quelles ils participent.
détection insuffisants, ou à une capacité de
réaction aux attaques trop faible.

La catégorisation ainsi proposée figure en


détail en annexe à ce document. Plus gra- QUESTION N° 3
nulaire que l’actuelle catégorisation du La catégorisation du risque informatique
Comité de Bâle du risque opérationnel, elle proposée par les services de l’ACPR vous
a vocation à permettre de la compléter. paraît-elle satisfaisante, ou avez‑vous des
Les établissements sont libres d’utiliser leur propositions d’amélioration à faire ?
propre catégorisation ou de choisir celle

ACPR – Le risque informatique 11


Organisation du système d’information
et de sa sécurité

C
e qui est désigné ici comme l’or- informatiques aux dispositions juridiques
ganisation du système d’informa- que doit respecter l’établissement. Enfin, une
tion est le macro-processus qui organisation saine et prudente fait l’objet
rassemble l’ensemble des actions de décision d’un dispositif de maîtrise des risques com-
(parfois désignées comme la « gouver- portant une dimension de contrôle interne.
nance »), de pilotage (comme la définition Ces actions d’organisation visent également
d’une « stratégie » et l’allocation de moyens la sécurité du système d’information.
y afférents), l’allocation des responsabilités
au sein de l’entité, ainsi que les politiques Les paragraphes suivants expliquent les
et les actions consistant à veiller à la bonne facteurs de risque principaux et secondaires
gestion du système d’information (par susceptibles d’affecter l’organisation du
exemple en réduisant sa complexité), à la système d’information et de sa sécurité,
maîtrise du recours à l’externalisation, et au ainsi que les principales mesures de maîtrise
respect de la conformité des outils de ces risques.

ORGANISER LE SI (DONT LA SSI)

Décisions Définir
de la direction les rôles et
Pilotage
générale Stratégie IT responsabilités
budgétaire
et de l’organe de la fonction
de surveillance informatique

Rationalisation Respect
Maîtrise de Gestion
du système des lois et
l’externalisation des risques
d’information règlements

12
Organisation du système d’information et de sa sécurité

1  Implication des instances dirigeantes de support ou de contrôle, afin que ceux-ci


disposent des apports technologiques au
En raison de sa technicité, ou pour des moment opportun. La qualité et la maîtrise
raisons culturelles, les instances dirigeantes, du système d’information doivent également
entendues à la fois comme les organes être des éléments pris en compte dans les
exécutifs et délibérants, pourraient se désin- choix d’orientation. Une mauvaise percep-
téresser de l’activité informatique et préférer tion de l’ensemble de ces enjeux par les
se reposer entièrement sur des responsables instances dirigeantes peut conduire à des
informatiques 21. Pourtant, le risque est que retards d’adaptation ou à des situations de
ces responsables informatiques perçoivent perte de maîtrise du système
mal les enjeux de l’entreprise, ou qu’ils d’information.
soient mal encadrés, et ne délivrent donc
pas des services informatiques soutenant Il est donc crucial que les dirigeants exécutifs
l’activité de l’établissement de manière et les administrateurs comprennent les enjeux
appropriée. Il est donc important que les liés à l’évolution et la maîtrise de leur système
principes de gouvernance d’entreprise, d’information pour la bonne marche de leur
affirmant la responsabilité des dirigeants établissement. S’ils ne disposent pas de
et privilégiant des processus de décision connaissances en la matière, il est important
clairs et transparents, soient appliqués éga- qu’ils y consacrent par exemple des sessions
lement aux activités informatiques. Autrement de travail dédiées et entendent des spécia-
dit, les instances dirigeantes, responsables listes internes et externes sur ces sujets.
de la bonne marche de l’établissement,
doivent s’impliquer dans les décisions rela- Décisions inappropriées
tives au système d’information et veiller à
maîtriser les risques informatiques. La bonne implication des dirigeants suppose
qu’ils maîtrisent les décisions relatives aux
Les experts informatiques de l’ACPR dis- actions d’entretien et d’évolution du système
tinguent trois facteurs de risque d’un défaut d’information. À défaut, ces décisions
d’implication des instances dirigeantes. seraient inappropriées et il en résulterait une
inadaptation du système d’information.

IMPLICATION Sans devoir être partie prenante à toute déci-


DES INSTANCES DIRIGEANTES
sion, il importe que les instances dirigeantes
Mauvaise perception des enjeux procèdent aux arbitrages liés au système
d’information. Ces arbitrages devraient repo-
Décisions inappropriées
ser sur une solide analyse des risques, établie
Pilotage insuffisant en cohérence avec le dispositif de gestion
des risques et l’appétit au risque qu’ils ont
validé. Il paraît essentiel que les décisions
Mauvaise perception des enjeux majeures relatives au système d’information
qui engagent les métiers ou qui pourraient
Entretenir et faire évoluer un système d’in- générer un risque significatif, soient prises
21  Et plus largement sur la formation nécessitent d’anticiper sur les par la direction générale sous le contrôle de
direction des Systèmes
d’information (DSI). besoins futurs des métiers et des fonctions l’organe de surveillance.

ACPR – Le risque informatique 13


Organisation du système d’information et de sa sécurité

Pilotage insuffisant la bonne réalisation de ses objectifs com-


merciaux et financiers. Les facteurs de risque
Si les instances dirigeantes n’exercent pas identifiés sont les suivants :
de réel suivi du bon fonctionnement et de
la sécurité du système d’information de Manque d’anticipation
l’établissement, elles seront en difficulté des besoins métier et des évolutions/
pour agir de manière opportune en cas de enjeux/usages technologiques
dégradation de ceux-ci.
Les évolutions informatiques requièrent
Leur bonne information sur des indicateurs de souvent plusieurs années et doivent être
qualité, de performance, de calendrier des correctement anticipées. À défaut d’être
projets et de maintien de la sécurité est donc fondé sur une stratégie propre qui combine
tout à fait essentielle pour leur permettre d’exer- les différents besoins et prévoit les évolu-
cer leurs responsabilités. Le suivi de tels indi- tions technologiques, le développement
cateurs n’est pas l’apanage des seuls du système d’information risque d’être
responsables informatiques. Les instances diri- erratique, voire de ne pas être capable
geantes peuvent bien sûr se concentrer sur le de soutenir les besoins de l’établissement
suivi régulier de quelques indicateurs princi- au moment opportun.
paux, considérés comme pertinents au regard
de la stratégie définie, de la maîtrise des risques C’est pourquoi il est important que les res-
ou du suivi de telle ou telle prestation. ponsables informatiques formalisent, en
accord avec les métiers et sous la validation
2 Alignement de la stratégie informatique des instances dirigeantes, une véritable stra-
avec la stratégie métier tégie informatique qui s’intègre dans les
objectifs stratégiques de l’établissement. Pour
Les technologies de l’information évoluent être pertinente, la stratégie informatique anti-
sans cesse. Ces évolutions peuvent apporter cipe les besoins et les évolutions à moyen
de nouvelles opportunités aux établissements terme et fixe des objectifs concrets permettant
en même temps qu’elles peuvent créer de d’y conduire. Elle résulte normalement d’un
nouveaux risques. La stratégie informatique, processus formalisé, comprenant des consul-
y compris en matière de sécurité, s’inscrit tations des métiers et des fonctions sur leurs
dans la stratégie globale des établissements. besoins, ainsi qu’elle tient compte de la maî-
Elle vise à satisfaire les besoins des métiers trise des risques informatiques (par exemple
et des fonctions support, mais elle est éga- ceux relatifs à la complexité et la sécurité).
lement de plus en plus au cœur de la stratégie Sa mise en œuvre fait ensuite l’objet d’un
des établissements pour conserver, voire pilotage fin pour s’assurer de la réalisation
acquérir un avantage compétitif vis-à-vis de des objectifs fixés, anticiper toute difficulté
la concurrence, par le recours à des évolu- et procéder, le cas échéant, à des ajuste-
tions technologiques. Si l’établissement ne ments. Il importe aussi de procéder à une
définit pas de stratégie informatique ou si actualisation annuelle de la stratégie pour
celle-ci n’est pas alignée sur les besoins des tenir compte des besoins nouveaux. Lorsque
métiers, le système d’information risque à l’établissement appartient à un groupe, il
terme de ne pas répondre aux besoins de importe que sa stratégie soit cohérente avec
l’établissement, ce qui pourrait compromettre celle de son groupe de rattachement.

ACPR – Le risque informatique 14


Organisation du système d’information et de sa sécurité

Outils et niveaux de service inadéquats Alignement insuffisant


du budget avec la stratégie
S’il n’existe pas de stratégie informatique
ou si celle-ci n’est pas pertinente, le risque Le budget informatique doit permettre de
est que les besoins des utilisateurs soient mettre en œuvre la stratégie informatique
mal pris en compte par la DSI et que l’éta- validée par l’établissement. S’il est insuffi-
blissement ne puisse pas exercer son activité sant ou alloué trop tardivement, la stratégie
de manière optimale. risque de ne pas être mise en œuvre
ou retardée.
Il importe donc de tenir compte, dans les élé-
ments stratégiques, des besoins de fonction- Il convient donc de mettre en cohérence les
nement des utilisateurs, par exemple concernant deux processus pour ne pas créer de déca-
la disponibilité et la sécurité des environne- lage. Le plus souvent, les deux processus
ments. Le document de stratégie n’a évidem- se suivent ou sont associés. Les projets et
ment pas vocation à décrire dans le détail des la maintenance bénéficient chacun pour
niveaux de service à la manière des documents leur part d’une allocation budgétaire spé-
précis appelés « service level agreement » cifique et bien identifiée, de façon à éviter
(SLA). Toutefois, il importe de procéder à une les effets d’éviction. La disponibilité des
analyse globale des besoins de fonctionnement ressources doit également correspondre
de l’établissement, pour lui-même et pour ses aux étapes de déploiement prévues par la
clients et partenaires, de façon à ne pas risquer stratégie informatique.
de pénaliser son activité.
Allocation budgétaire absente
3 Pilotage budgétaire ou insuffisamment claire

Le processus budgétaire permet d’allouer Si les ressources ne sont pas correctement


les budgets nécessaires à la mise en œuvre allouées, la DSI ne pourra pas gérer cor-
de la stratégie informatique validée. Cela rectement le système d’information. Un
intègre les dépenses (matériel, licences, processus documenté, opposable à toutes
prestations, formation, etc.), les ressources les directions de l’établissement, y compris
humaines (ressources internes ou externes, en matière de sécurité de l’information,
y compris de maîtrise d’ouvrage). Un suivi apparaît essentiel pour encadrer l’exercice
de l’utilisation des enveloppes allouées est de préparation et d’allocation des
ensuite nécessaire pour les ajuster si budgets informatiques.
besoin, ou procéder aux recadrages qui
s’imposent. Si le processus d’allocation Ce processus inclut l’identification des
budgétaire n’est pas clairement défini ou besoins fonctionnels et techniques liés au
n’existe pas, si le budget n’est pas aligné parc applicatif, ainsi que ceux liés à l’ex-
sur la stratégie préalablement élaborée ploitation du système d’information et à la
et/ou si le suivi des dépenses est insuffi- sécurité de l’information. Compte tenu du
22  Un programme désigne ici samment rigoureux, les moyens financiers cycle de vie des programmes/projets infor-
un ensemble de projets faisant
l’objet d’un pilotage commun disponibles risquent de ne pas être utilisés matiques 22, il importe de combiner : i) une
compte tenu des fortes
adhérences entre eux, ce qui à bon escient pour mener les changements approche pluriannuelle permettant d’allouer
n’exclut pas un pilotage
individuel de chaque projet. informatiques attendus. des enveloppes globales pour les

ACPR – Le risque informatique 15


Organisation du système d’information et de sa sécurité

programmes de grande ampleur et, ii) une d’information et à sa sécurité, les dirigeants


approche annuelle pour définir le budget exécutifs ont besoin de s’appuyer sur des
de l’année à venir, constitué à la fois de la responsables informatiques et leurs équipes,
quote-part des grands programmes sur l’an- que l’on désigne dans ce document par les
née considérée et des projets de taille plus mots « fonction informatique » et « fonction
modeste, mais jugés prioritaires. Il importe sécurité de l’information ». La bonne orga-
que tous les acteurs concernés soient associés nisation du système d’information peut être
au processus et que les arbitrages ultimes altérée si ces rôles et responsabilités ne
soient opérés par la direction générale. sont pas clairement désignés et répartis,
mais aussi si les profils des responsables
Suivi des dépenses insuffisant ne sont pas adaptés et les moyens alloués
sont insuffisants.
Le suivi et la maîtrise des coûts informatiques
sont des éléments d’optimisation de la renta- Rôles et responsabilités mal définis,
bilité de l’établissement, nécessaires pour mal répartis ou mal communiqués
informer les instances dirigeantes de l’avan-
cement et des dépassements des projets et Une répartition claire des attributions de
pour procéder aux ajustements nécessaires. chaque responsable est de nature à faciliter
une prise en charge efficiente des activités
Une maîtrise des budgets repose sur un suivi et éviter les blocages. Comme ils l’ont fait
des dépenses global, normalement exercé précédemment pour d’autres domaines de
par la fonction financière, et un suivi par pro- l’activité de la banque et de l’assurance
gramme et par projet, tant sur une base (fonction risque, fonction conformité), les
annuelle par rapport à l’enveloppe allouée superviseurs attendent désormais de plus
sur l’exercice que sur une base pluriannuelle en plus de pouvoir dialoguer avec des res-
par rapport à l’enveloppe globale initialement ponsables informatiques disposant d’une
affectée, le cas échéant ajustée depuis le autorité pleine et entière sur leurs sujets.
démarrage du programme ou projet. Il importe
que les éventuels dépassements budgétaires Ainsi, la fonction informatique doit pouvoir
soient justifiés et validés par la direction géné- assurer un pilotage global du système d’in-
rale au-delà d’un certain seuil, ou soient com- formation de l’établissement. Habituellement,
pensés par des arbitrages. L’homogénéité des la DSI rassemble les équipes de dévelop-
dispositifs de pilotage des dépenses, de vali- pement et de maintenance des applications,
dation des dépassements, d’arbitrage et d’in- ainsi que l’exploitation des infrastructures
formation des instances exécutive et de systèmes et réseaux. Mais, dans certains
supervision est garantie par l’existence d’un cas, les métiers ou les fonctions support
cadre procédural précis et actualisé. disposent de leurs propres équipes de déve-
loppement et de maintenance, voire de
4 Rôles et responsabilités production, constituées elles-mêmes en DSI.
des fonctions informatiques Il importe alors qu’il y ait un responsable
et sécurité de l’information de la fonction informatique au sens large,
c’est‑à‑dire de l’ensemble des équipes,
Tout en exerçant pleinement leur responsa- qu’elles soient au sein de la DSI centrale
bilité sur les questions liées au système ou des métiers et fonctions. Ce responsable

ACPR – Le risque informatique 16


Organisation du système d’information et de sa sécurité

a toute autorité sur les orientations straté- Profils inadaptés ou insuffisants


giques de l’ensemble de la fonction infor-
matique, sur le budget global, sur les Le choix par les dirigeants exécutifs des prin-
normes et procédures destinées à assurer cipaux responsables au sein des fonctions
la bonne gestion et la maîtrise des risques informatique et de sécurité informatique est
du système d’information. Il convient que crucial pour la bonne organisation du système
le responsable de la fonction informatique d’information. Ces fonctions doivent égale-
soit positionné à un niveau suffisamment ment disposer d’effectifs en nombre suffisant,
élevé dans l’organigramme, idéalement au risque d’être dans l’incapacité de mener
avec un rattachement direct aux instances leurs actions, au détriment de la bonne
dirigeantes afin que les sujets informatiques marche et de la sécurité de l’établissement.
soient correctement pris en compte au sein
de l’établissement. Il importe que le choix des responsables
des fonctions informatique et de sécurité
La fonction de sécurité de l’information doit informatique repose sur des critères d’ex-
également être clairement identifiée et dis- périence et d’expertise professionnelle car
poser d’une autorité pleine et entière. Confiée ces métiers comportent une forte dimension
à un responsable de la sécurité des systèmes technique et managériale. Ces enjeux sont
d’information (RSSI), elle consistait initiale- valables également pour l’ensemble des
ment à définir la politique de sécurité de collaborateurs informatiques et il est sou-
l’information, à sensibiliser les équipes à la haitable de formaliser la politique de gestion
sécurité et contribuait à la maîtrise des des ressources humaines pour ce domaine,
risques, par exemple par la conduite d’études précisant la répartition cible des effectifs
de sécurité ou la réalisation de contrôles de internes et externes, ainsi que les fonctions
deuxième niveau. Dans ses contrôles, l’ACPR clés pour lesquelles il est nécessaire de
a pu observer que cette fonction est trop conserver en interne une expertise suffi-
souvent intégrée à la fonction informatique, sante, y compris pour la supervision de
alors qu’il est préférable qu’elle en soit indé- fonctions essentielles externalisées. Elle peut
pendante pour pouvoir donner des avis sur être complétée par une politique de gestion
la sécurité informatique en toute objectivité, des compétences définissant les objectifs
ainsi que pour alerter les instances diri- de formation du personnel, en particulier
geantes en cas de risque élevé. Avec l’inten- via des certifications professionnelles, com-
sification des risques cyber, le rôle du RSSI plétées par des formations aux évolutions
devient crucial et la fonction devrait être technologiques et métier.
positionnée à un niveau hiérarchique élevé.
Son rattachement à la fonction de gestion 5 Rationalisation
des risques peut être considéré comme pré- du système d’information
férable pour pouvoir délivrer ses avis de
façon indépendante et prépondérante vis-à- Au fil du temps, les systèmes d’information
vis de la fonction informatique et des métiers. se développent de manière significative par
Un tel positionnement serait plus cohérent la mise en place constante de nouveaux
pour réaliser des contrôles de deuxième outils et le maintien, parfois partiel, des
niveau, indépendants des contrôles de pre- anciens. Aujourd’hui, les systèmes d’infor-
mier niveau de la fonction informatique. mation des établissements des secteurs de

ACPR – Le risque informatique 17


Organisation du système d’information et de sa sécurité

la banque et de l’assurance sont constitués Incohérence des normes informatiques


de vastes ensembles d’applications, systèmes
et réseaux qui sont parfois difficiles à repré- Un développement non maîtrisé du sys-
senter en raison de leur complexité. Les fac- tème d’information peut apparaître lorsque
teurs de risque d’une perte de maîtrise du l’action des développeurs et des ingé-
système d’information sont variés. Il peut nieurs systèmes n’est pas suffisamment
s’agir d’un manque de maîtrise de l’archi- cadrée par des normes de conception,
tecture du système d’information, ou encore de développement et de production, voire
d’une incohérence des normes informatiques, aussi de sécurité. Ces normes visent à
d’un défaut de gestion de l’obsolescence. unifier les pratiques et à interdire le
recours à des solutions non approuvées
au sein de l’établissement. Il en existe
pour les différents domaines d’activité :
RATIONALISATION
DU SYSTÈME D’INFORMATION le développement d’applications, la pro-
Maîtrise de l’architecture du
duction et la mise en œuvre des solutions
système d’information (urbanisation) réseaux. Pour jouer pleinement leur rôle,
Cohérence des normes ces normes doivent être unifiées par la
informatiques fonction informatique centrale de façon
Maîtrise de l’obsolescence à éviter des pratiques hétérogènes ou
incohérentes entre les différentes entités
composant la fonction informatique (par
exemple entre les DSI de différentes filiales
au sein d’un groupe).
Manque de maîtrise de l’architecture
du système d’information (urbanisation) Défaut de maîtrise de l’obsolescence

Lorsque le système d’information devient très Les technologies informatiques évoluent


développé, une démarche d’architecture, vite et doivent constamment être mises
parfois appelée « urbanisation » s’impose à jour pour éviter de faire courir le risque
pour éviter une croissance anarchique non que le système d’information ne soit plus
maîtrisable. Le principe est similaire à celui maintenu. Cette contrainte est très forte
du développement des grandes villes. Les car elle requiert une attention élevée aux
applications et systèmes fonctionnant changements fréquents de versions de
ensemble sont regroupés de manière à sim- logiciels et de systèmes employés, ce qui
plifier et mieux maîtriser leurs interactions. suppose par exemple une gestion atten-
Ces travaux reposent généralement sur une tive d’inventaire. Plus fondamentalement,
cartographie et un inventaire des composants elle doit conduire les établissements à
du système d’information. Les architectes renouveler régulièrement les applications
applicatifs et système sont chargés de veiller qui utilisent des langages de program-
à ne pas multiplier les composants du système mation anciens qui ne seraient plus
d’information de manière désordonnée. Ils connus des développeurs. Les contraintes
peuvent identifier des zones de fragilité et de sécurité peuvent également justifier
préconiser une optimisation du système d’in- de mettre à jour régulièrement les tech-
formation et de son évolution. nologies utilisées.

ACPR – Le risque informatique 18


Organisation du système d’information et de sa sécurité

6 Maîtrise de l’externalisation ainsi que les rôles et responsabilités des


contractants, les interlocuteurs en charge
Parce que les établissements peuvent avoir du suivi courant de la prestation, les ins-
besoin d’un savoir-faire ou d’une main tances de pilotage de la relation et la nature
d’œuvre qu’ils n’ont pas, les activités infor- des informations devant faire l’objet d’une
matiques sont souvent confiées à des pres- information régulière de l’établissement. La
tataires, qui peuvent appartenir au même sous-traitance en chaîne doit être connue,
groupe que l’établissement, ou être des voire autorisée, par l’établissement qui doit
sociétés tierces. Des risques de maîtrise s’assurer qu’elle ne crée pas de risque. En
insuffisante des activités externalisées outre, ce dernier s’assure que le contrat
existent si le cadre contractuel est mal défini, inclut un droit d’audit de la prestation, et
si la dépendance vis-à-vis du fournisseur le cas échéant d’accès au site, et décrit les
n’est pas maîtrisée, si les niveaux de service dispositions réglementaires qui s’imposent
attendus ne sont pas rigoureusement suivis au prestataire. Ce droit d’audit ne doit pas
et si les changements de fournisseurs ne être contraint par des clauses restrictives
sont pas correctement anticipés pour activer (long préavis, limitations diverses). Le contrat
les dispositifs de réversibilité contractuels. doit prévoir également ce droit pour les
autorités de supervision de l’établissement.
Cadre contractuel inadapté Des clauses types, validées par les services
juridiques de l’établissement, peuvent uti-
Un cadre contractuel inadapté, c’est-à-dire lement être établies pour permettre à l’éta-
inexistant, incomplet ou invalide, déséqui- blissement de toujours disposer de contrats
libré ou imprécis, peut mettre l’établissement conformes à la réglementation sur l’exter-
en situation de ne pouvoir obtenir la pres- nalisation et préservant de manière équili-
tation attendue, et donc peut-être altérer le brée ses intérêts.
bon fonctionnement ou la sécurité de son
système d’information. Dépendance forte

Les instances dirigeantes valident les projets Lorsqu’un prestataire devient prépondérant
importants d’externalisation en s’appuyant par l’importance des activités informatiques
sur les avis des différentes fonctions de qu’il prend en charge pour un établissement,
contrôle, y compris de la fonction de sécurité ce dernier peut avoir des difficultés à impo-
informatique. Le contrat et ses documents ser ses conditions, même en cas de dégra-
liés font référence pour définir les droits et dation de la prestation. L’externalisation à
obligations de l’établissement et du presta- des prestataires situés à l’étranger, surtout
taire. Il est naturellement requis, même en hors du territoire européen, peut exposer
cas d’externalisation au sein du même un établissement à un environnement juri-
groupe. Il importe que le contrat détaille la dique mal maîtrisé.
nature de la prestation, les niveaux de ser-
vice attendus, les contrôles permanents à L’élaboration d’une politique d’externalisa-
effectuer, les modalités de traitement des tion, soumise à la validation des instances
incidents et de continuité d’activité, les dirigeantes, permet de définir les activités
besoins en matière de sécurité informatique, que l’établissement accepte d’externaliser
les conditions de réversibilité du contrat, et celles dont la sensibilité justifie un maintien

ACPR – Le risque informatique 19


Organisation du système d’information et de sa sécurité

en interne. Cette politique doit mesurer les souhaitable que le comité de pilotage soit
risques juridiques liés à l’externalisation présidé par un responsable dont le niveau
dans des juridictions étrangères, surtout hiérarchique est défini en fonction de la
hors Union européenne (par exemple quant sensibilité de l’activité externalisée. Pour
aux règles relatives à la protection des don- les activités les plus sensibles, il peut être
nées). La maîtrise du risque de dépendance utile que cette instance soit présidée par
vis-à-vis d’un ou de plusieurs fournisseurs le DSI, voire par la direction générale. En
suppose la mise en place d’un pilotage complément, la tenue de comités tech-
consolidé des contrats négociés avec les niques à un niveau hiérarchique suffisant
fournisseurs et l’implication de la direction peut s’avérer utile. Enfin, il est nécessaire
générale dans la validation des activités d’instaurer un processus d’escalade auprès
externalisées au-delà de seuils de dépen- de la DSI ou de la direction générale en
dance à définir. Il convient également que cas de dégradation de la qualité de service
la politique d’externalisation détaille les ou de la relation d’affaires.
conditions d’externalisation (rôles et respon-
sabilités, processus de recherche et de sélec- Dispositif de réversibilité insuffisant
tion d’un prestataire, cadre contractuel,
modalités de pilotage de la prestation). Le changement de fournisseur dans le
domaine informatique est relativement
Suivi insuffisant du respect complexe puisqu’il nécessite le plus souvent
des niveaux de service la reprise de l’existant, la garantie de
continuité d’activité pour les utilisateurs
Les niveaux de service correspondent à des avec des niveaux de service équivalents
engagements contractuels du prestataire et la reprise de l’archivage sur une
vis-à-vis de l’établissement concernant la période longue.
qualité et la sécurité des services informa-
tiques. S’ils ne sont pas fixés ou si les Il importe donc que ce processus soit cor-
niveaux de performance attendus sont trop rectement anticipé, en tenant compte des
bas, l’établissement ne sera pas en mesure contraintes budgétaires, en respectant le
d’exiger une prestation de bon niveau. calendrier d’activation de la clause de
réversibilité avec le fournisseur sortant et
Il est donc essentiel que les niveaux de en définissant avec précision les travaux à
service soient définis contractuellement et mener. Certains seront repris par un nou-
fassent l’objet d’un suivi permanent par veau fournisseur, ou par l’établissement en
une équipe dédiée de l’établissement, tant cas d’internalisation de la prestation, tandis
via l’analyse des tableaux de bord mis en que d’autres devront faire l’objet d’un trai-
place en accord avec le fournisseur que tement spécifique, par exemple sous la
par le traitement des événements enregis- forme d’un projet à budgéter et planifier.
trés, qui donnent le cas échéant lieu à la
définition de plans d’action. Ce dispositif 7 Respect des lois et règlements
est plus efficace lorsque des comités de
pilotage conjoints entre l’établissement et Comme toute entreprise, les établissements
le fournisseur permettent de veiller à la doivent se conformer au droit régissant leur
qualité de la prestation fournie. Il est activité. En termes d’organisation, les

ACPR – Le risque informatique 20


Organisation du système d’information et de sa sécurité

solutions informatiques qu’ils utilisent ne Non-conformité des développements


peuvent donc être réalisées par les infor- informatiques aux préconisations
maticiens de manière autonome et sans juridiques des métiers
considération de l’environnement juridique
auquel est soumis l’établissement. En effet, Les informaticiens doivent en principe se
celui-ci risquerait d’être en situation d’in- conformer aux besoins exprimés par les
fraction au droit applicable à ses activités, utilisateurs, et donc intégrer les dispositions
ce qui est inacceptable et peut en outre être juridiques applicables à l’activité si elles
très préjudiciable, à ses relations avec la ont été correctement formulées. S’ils ne le
clientèle. La conformité du système d’infor- font pas, l’établissement serait doté d’un
mation peut être altérée si l’expression des système d’information non conforme.
besoins des métiers ne respecte pas le droit De même, les prescriptions juridiques
applicable, ou si les développements infor- peuvent évoluer au fil du temps et rendre
matiques ne respectent pas les préconisa- le système d’information non conforme.
tions juridiques demandées par les métiers,
ou encore si les normes ou les techniques Il importe donc que les phases de recette
de production ne permettent pas de respec- et de tests par les utilisateurs incluent des
ter le droit applicable. vérifications de la conformité au droit appli-
cable à l’établissement, et que les manque-
Non-conformité des besoins des métiers ments éventuels soient identifiés et corrigés.
au droit applicable Les changements importants du droit appli-
cable doivent faire l’objet de demandes
Les utilisateurs ont la responsabilité de défi- d’évolution de la part des utilisateurs res-
nir leurs besoins en termes de système d’in- ponsables des traitements et être mis en
formation. S’ils ne veillent pas à se conformer œuvre par les informaticiens.
aux prescriptions juridiques applicables à
leur activité, l’expression de leurs besoins Les normes informatiques ne permettent pas
pourra comporter des éléments non de respecter le droit applicable
conformes qui seront ensuite mis en œuvre
dans le système d’information et placeront Les normes informatiques, qui gouvernent les
l’établissement dans une situation de règles de programmation et d’exploitation,
non-conformité juridique. pourraient comporter des éléments empêchant
un établissement de se conformer à ses obli-
La prévention d’un tel risque suppose gations, par exemple en termes de protection
que la méthodologie de conduite de des données personnelles ou de durée de
projet intègre une phase de vérification sauvegarde. Ces normes ne devraient pas
de la conformité de l’expression des empêcher de respecter les besoins exprimés
besoins des métiers aux prescriptions par les utilisateurs. Elles devraient être régu-
juridiques qui s’imposent à l’établisse- lièrement adaptées à ces obligations.
ment, ainsi qu’à ses procédures internes
lorsqu’elles sont par exemple plus strictes. Pour se prémunir contre de telles situations,
La direction juridique est normalement l’établissement doit vérifier régulièrement
consultée pour donner son accord aux la conformité de ses normes au droit appli-
besoins formulés. cable à son activité.

ACPR – Le risque informatique 21


Organisation du système d’information et de sa sécurité

8 Gestion des risques Cartographie des risques


inexistante ou partielle
Les instances dirigeantes doivent pouvoir
s’appuyer sur un dispositif de gestion L’identification des risques informatiques et
des risques opérationnels efficace et qui leur évaluation régulière sont un préalable
couvre l’ensemble des risques informa- à l’adoption de mesures de maîtrise des
tiques. Conformément à la réglementa- risques. À défaut, celles-ci peuvent manquer
tion, ce dispositif repose sur une ou se révéler inappropriées, plaçant dès
cartographie et une évaluation régulière lors l’établissement en situation d’imprépa-
des risques, mais aussi sur des mesures ration et donc en risque plus élevé.
de maîtrise et de suivi des risques. Au
titre de ces mesures de maîtrise, il inclut Il est essentiel que l’établissement identifie
un contrôle interne comportant plusieurs et définisse une cotation de ses risques
niveaux indépendants pour permettre informatiques inhérents et résiduels, tant
des contre-vérifications. Si le dispositif au sein des métiers que des fonctions
de gestion du risque opérationnel pre- support, y compris la direction informatique.
nait mal en compte les risques informa- Il apparaît nécessaire que ce recensement
tiques, il ne serait pas complet et porte sur l’ensemble des actifs physiques
conforme aux obligations réglemen- (centres informatiques, bureaux,
taires. Il ne refléterait pas l’entièreté des agences, etc.) et logiques (banque en ligne
risques auxquels l’établissement est ou sur smartphone, cloud, etc.), des
exposé et l’identification et la maîtrise activités (métier ou support), des publics
des risques informatiques ne seraient (salariés, clients, prestataires, partenaires)
pas correctement mises en œuvre. Cela et des outils (applications, réseaux, etc.),
pourrait se manifester par une cartogra- et soit cohérent avec l’appétit au risque
phie inexistante ou partielle, ou par un de l’établissement validé par les instances
dispositif de contrôle permanent insuf- d i r i g e a n t e s . L’ é l a b o r a t i o n d ’ u n e
fisant, ou une prise en compte imparfaite cartographie des processus des métiers et
des incidents, ou enfin par un contrôle des fonctions support constitue un préalable
périodique insuffisant. à l’identification et l’actualisation au moins
annuelle de ces risques. Il importe que la
cartographie des processus et des risques,
idéalement informatisée pour en faciliter
AMÉLIORER LA GESTION DES RISQUES la mise à jour, la consolidation et
l’exploitation, s’accompagne de la
Cartographie des risques définition de mesures de réduction des
risques, qu’elles soient organisationnelles,
Dispositif de contrôle permanent
techniques ou reposent sur des contrôles.
Recensement et gestion des incidents
En complément, il convient d’identifier les
de risque opérationnel risques de nature transversale et de les
inclure dans les cartographies de chaque
Dispositif de contrôle périodique
activité. La définition des responsabilités

ACPR – Le risque informatique 22


Organisation du système d’information et de sa sécurité

entre la fonction informatique et les autres établissement et à mettre en place des


activités est également essentielle dans la mesures palliatives. Les incidents informa-
mesure où certains risques informatiques tiques ont vocation à être recensés à ce
sont subis par les métiers ou fonctions titre s’ils rentrent dans les critères de défi-
support, alors que leur traitement relève nition du risque opérationnel 23. Si les
de la direction informatique. incidents informatiques, y compris de sécu-
rité, ne sont pas inclus dans le suivi du
Dispositif de contrôle permanent insuffisant risque opérationnel, celui-ci sera évalué
de manière incomplète. Ceci pourrait alté-
Un dispositif de contrôle permanent com- rer la qualité des mesures de réduction du
portant deux niveaux indépendants de risque et fausser le montant des fonds
contrôle est destiné à éviter des situations propres retenus pour y faire face.
de risque. Ce contrôle permanent a vocation
à englober les différents processus de mise Ainsi, il est attendu d’intégrer dans la base
en œuvre et de gestion du système d’infor- des incidents opérationnels tous les incidents
mation pour éviter que ceux-ci fassent l’objet informatiques qui en respectent les critères.
de défaillances qui ne seraient pas détectées Si besoin, un seuil de déclaration des inci-
à temps. dents peut être défini, mais il importe qu’il
soit suffisamment bas pour pouvoir recenser
Il importe que le contrôle permanent des les incidents significatifs. Le recensement
risques informatiques, y compris de sécurité agrégé d’incidents similaires multiples de
de l’information, s’insère dans le plan de faible ampleur est une bonne pratique per-
contrôle permanent de l’entreprise. Ce plan mettant d’identifier et de corriger certains
doit couvrir l’ensemble des risques identifiés dysfonctionnements avant la survenance
et être actualisé périodiquement. Le contrôle d’un incident majeur. De plus, il importe
de premier niveau est assuré par les opé- que ces incidents donnent lieu à des plans
rationnels et le contrôle de deuxième niveau d’action et qu’une information sur les inci-
est réalisé par des équipes indépendantes dents les plus significatifs et les plans d’ac-
de la fonction informatique. La périodicité tion associés soit adressée régulièrement
des contrôles, a minima annuelle, est adap- aux instances dirigeantes.
tée au niveau de risque. Des plans d’action
sont initiés pour pallier les insuffisances Dispositif de contrôle périodique insuffisant
relevées lors des contrôles. Un outil recense
le plan de contrôles et les résultats des Le contrôle périodique de l’établissement
contrôles afin d’en faciliter le suivi et l’in- agit comme troisième niveau de contrôle
formation des instances dirigeantes. sur l’ensemble des processus mis en œuvre.
S’il n’inclut pas complètement les processus
Recensement et gestion insuffisants relatifs au système d’information, les ins-
23  Générer un gain ou une perte des incidents de risque opérationnel tances dirigeantes pourraient ne pas dis-
financière, matérialisé(e) ou non
(manque à gagner, quasi-perte), poser d’informations indépendantes sur
ou non financière (par exemple,
jours/hommes consacrés au Le suivi des incidents de risque opération- l’état des risques et des mesures de remé-
rétablissement du service après
une panne informatique). nel sert à mesurer les pertes d’un diation mises en œuvre en la matière.

ACPR – Le risque informatique 23


Organisation du système d’information et de sa sécurité

Il est donc essentiel que les risques infor-


matiques, y compris en matière de sécurité QUESTION N° 4
de l’information, soient couverts par le Les facteurs de risque indiqués pour le
plan d’audit de l’établissement et traités macro-processus d’organisation du
par des auditeurs spécifiquement formés, système d’information vous paraissent-ils
soit dans le cadre de missions générales, correctement identifiés ? Sinon, quelles
soit à l’occasion de missions dédiées. Il sont vos propositions d’amélioration ?
convient également que les constats
donnent lieu à l’émission de recomman- QUESTION N° 5
dations suivies de plans d’action, dont les Les mesures de maîtrise des risques qui
plus critiques sont validés et suivis par la sont indiquées vous paraissent-elles
direction générale. Les instances diri- appropriées ? Sinon, quelles sont vos
geantes doivent disposer des informations propositions d’amélioration ?
suffisantes, régulièrement actualisées, sur
les risques informatiques évalués par le QUESTION N° 6
contrôle périodique. En particulier, partagez-vous le point de
vue exprimé au sujet du positionnement
et des responsabilités du responsable
de la sécurité du système d’information ?

ACPR – Le risque informatique 24


Fonctionnement du système d’information

C
ette partie traite des risques portant le fait de rendre le service attendu par
sur le macro-processus « fonction- les utilisateurs, notamment en termes de
nement du système d’informa- qualité, de fiabilité et de disponibilité.
tion », qui comprend l’ensemble des actions Les mêmes enjeux s’appliquent aux
d’utilisation et d’exploitation du système en actions de « change », pour lesquelles
place, mais aussi les actions d’évolution le risque est de ne pas réussir à fournir
pour des nouveaux services ou équipements correctement les services attendus. Une
(projets), ou plus simplement pour des cor- attention particulière est également
rections ou des changements modérés apportée depuis quelques années à la
(maintenance corrective et évolutive). La qualité des données.
conduite opérationnelle des services exis-
tants est parfois appelée « run » et la déli- Les paragraphes suivants expliquent les
vrance de nouveaux services (projet facteurs de risque principaux et secondaires
applicatif, installation d’infrastructures) susceptibles de créer des perturbations dans
parfois appelée « change ». les processus d’exploitation, de gestion de
la continuité, de gestion des changements
Dans l’ensemble de ces actions, c’est le et de qualité des données. Les principales
bon fonctionnement du système d’infor- mesures de maîtrise de ces risques sont
mation installé qui est en jeu, c’est-à-dire également indiquées.

FAIRE FONCTIONNER LE SI

Gestion
Gestion
Gestion des changements
de l’exploitation Qualité
de la continuité (projets,
(systèmes des données
d’exploitation évolutions,
et réseaux)
corrections)

25
Fonctionnement du système d’information

1 Gestion de l’exploitation de mettre en production des nouvelles


(systèmes et réseaux) solutions. Les caractéristiques techniques
et notamment la puissance du matériel
L’exploitation informatique, encore appelée doivent être adaptées aux besoins de
« production », consiste à faire fonctionner fonctionnement dictés par les niveaux
les ordinateurs sur lesquels sont installées les de service attendus par les utilisateurs.
applications. Ces ordinateurs, ainsi que leurs Ensuite, la capacité des ressources utili-
équipements de connexion, sont appelés envi- sées doit être surveillée pour permettre
ronnements systèmes et réseaux. Une gestion leur augmentation suffisamment à
déficiente de l’exploitation de ces systèmes l’avance et ne pas compromettre la crois-
et réseaux peut causer des perturbations plus sance de l’usage du système d’informa-
ou moins graves, susceptibles d’altérer la tion (nombre d’utilisateurs pouvant se
qualité du service rendu aux utilisateurs. connecter, puissance de calcul, espace
de stockage par exemple).
Les experts informatiques de l’ACPR dis-
tinguent plusieurs facteurs de risques pou- La bonne gestion des moyens de production
vant entraîner une mauvaise gestion de repose sur des inventaires à jour. La gestion
l’exploitation. Il peut s’agir d’insuffisances des inventaires consiste à référencer et à
affectant les moyens de production, le pro- centraliser l’ensemble des matériels et logi-
cessus de détection des erreurs et anoma- ciels du système d’information, pour dispo-
lies, ou de résolution des incidents et des ser d’une vision complète et vérifier
problèmes. Il s’agit aussi du risque de l’adéquation des équipements installés avec
non-respect des niveaux de service attendus les besoins identifiés. Les détails associés
par les utilisateurs. à chaque équipement sont décrits, notam-
ment les numéros de version, les licences
Insuffisance des moyens de production installées, les spécificités techniques des
différents composants. Ainsi, la conformité
Les moyens de production fournissent les aux standards techniques est facilitée et la
ressources nécessaires au bon fonctionne- gestion de l’obsolescence des composants
ment du système d’information. S’ils ne sont en fin de vie est optimisée.
pas correctement dimensionnés, par
exemple avec des équipements suffisants Insuffisance dans la détection
en nombre et en puissance, le système d’in- des erreurs ou anomalies
formation risque de ne pas pouvoir bien
fonctionner, notamment en période de pic Les erreurs ou anomalies de traitement per-
d’activité. De même, si les configurations turbent le bon fonctionnement du système
de ces équipements ne sont pas à jour ou d’information en altérant sa disponibilité
ne sont pas adaptées aux besoins, des (retards, arrêts) ou la qualité des données.
perturbations peuvent apparaître ou la Leur détection rapide est donc cruciale.
sécurité être altérée.
Les actions de détection sont une des tâches
Il importe donc que le choix des matériels premières du personnel d’exploitation en
pour constituer l’environnement d’exploi- charge du suivi de la production. Ils peuvent
tation soit correctement apprécié avant de plus en plus s’appuyer sur des outils de

ACPR – Le risque informatique 26


Fonctionnement du système d’information

détection afin de bénéficier d’une surveil- catégorisation et de priorité similaires. La


lance plus automatique. Des équipes spé- résolution est généralement facilitée par
cialisées peuvent également être en charge l’existence de cartographies et d’inventaires
de ces actions pour une meilleure capacité des installations, des flux d’informations et
de réaction. Il est préférable que les outils des services critiques. La résolution des
de détection des erreurs soient installés à incidents et problèmes est suivie par des
différents niveaux du système d’information comités chargés de surveiller la qualité du
pour permettent d’identifier tous types de service. Elle fait l’objet de rapports synthé-
dysfonctionnements techniques, avant même tiques aux instances dirigeantes pour per-
la survenance d’un incident. Ainsi, repérer mettre la bonne mobilisation des équipes
des temps de réponse anormalement longs et l’allocation de moyens suffisants.
permet d’anticiper une interruption du sys-
tème d’information. Les outils de détection Non-respect des niveaux de service
doivent couvrir l’ensemble des équipements
afin de garantir un pilotage exhaustif. Les niveaux de service définissent les attentes
des utilisateurs en termes de fonctionnement
Insuffisance dans la gestion du système d’information (plages d’ouver-
des incidents et des problèmes ture, délais d’interruption possible, rythme
des sauvegardes, passage en secours
Une fois détectés, les incidents 24 sont gérés notamment). Il en existe pour les conditions
afin de restaurer aussi vite que possible le bon d’exploitation et, plus largement, pour la
fonctionnement du système d’information et per formance globale du ser vice.
minimiser les interruptions de service. Indépendamment de tout incident ou pro-
Complémentaire à la gestion des incidents, la blème, ou même d’une mauvaise configu-
gestion des problèmes 25 consiste à diagnosti- ration du matériel, une mauvaise gestion
quer la cause d’incidents répétitifs ou difficiles de l’exploitation peut se caractériser par
à résoudre, à mettre en place les mesures pour l’incapacité des administrateurs des sys-
éviter leur réapparition et à minimiser l’incidence tèmes et réseaux à tenir les engagements
de ceux qui ne peuvent être évités. L’efficacité envers les utilisateurs.
de ces deux processus est donc essentielle pour
minimiser les dégradations de service et la Les traitements d’exploitation des systèmes
perte de confiance des utilisateurs. et réseau sont normalement formalisés par
des procédures opérationnelles permettant
Ces processus gagnent à être formalisés aux administrateurs des plates-formes de
par des procédures opérationnelles. Les suivre de manière rigoureuse les différentes
différentes étapes de traitement des inci- opérations en situation de service normal
dents et des problèmes, depuis leur identi- et de service dégradé. Par ailleurs, il importe
24  Au sens du référentiel ITIL fication à leur résolution, font appel à des que les niveaux de service soient formalisés
(Information Technology
Infrastructure Library), un équipes spécialisées et sont tracées pour dans des conventions de service avec les
incident est compris comme
« une interruption non prévue vérifier leur bon achèvement. Un échelon- métiers utilisateurs. Celles-ci précisent les
d’un service des technologies de
l’information (TI) ou une nage selon le niveau de sensibilité permet critères de suivi et le niveau de satisfaction
réduction de la qualité d’un
service des TI ». d’affecter des priorités. La gestion des pro- attendu pour ces services, à la fois pour la
25  Au sens du référentiel ITIL, blèmes est étroitement liée à la gestion des qualité du service et sa disponibilité. La
un problème est la cause
d’un incident. incidents, avec des outils, des critères de contractualisation des niveaux de service

ACPR – Le risque informatique 27


Fonctionnement du système d’information

attendus est utile pour mesurer l’atteinte des dispositif est double et comprend un volet
besoins des utilisateurs. Des indicateurs propre à la poursuite de l’activité des utilisateurs
permettent de suivre les engagements et de (locaux de repli) et un volet de secours infor-
prendre des actions de correction. matique (passage sur site de secours). Ce dis-
positif comporte une description des actions à
2 Gestion de la continuité mener pour assurer la continuité des processus
d’exploitation métiers considérés comme essentiels, et les
moyens nécessaires à mettre en œuvre en cas
La continuité d’exploitation désigne les de crise. Cela permet de réduire le risque
mesures et moyens mis en œuvre pour d’interruption d’activité ou de dysfonctionne-
garantir la disponibilité du système d’infor- ments du système d’information à un niveau
mation selon les besoins exprimés par les acceptable pour l’établissement. Si l’organisa-
utilisateurs. Les services fonctionnent géné- tion mise en œuvre n’est pas adéquate, l’éta-
ralement selon des plages d’ouverture qui blissement risque de ne pas pouvoir réellement
varient selon la nature des activités, sauf disposer de moyens de secours en cas de
dans certains cas où aucune interruption panne de ses équipements principaux.
n’est tolérée. En tout état de cause, l’exploi-
tation doit garantir une disponibilité parfaite Il importe donc que l’organisation mise en
des systèmes et réseaux pendant les plages œuvre pour gérer la continuité de service
d’ouverture pour que les applications s’appuie sur des politiques et des procé-
puissent fonctionner et disposer de bons dures formalisées de coordination, de pilo-
temps de réponse. À défaut, le système est tage et de prise de décision. Cela suppose
indisponible ou sujet à des ralentissements que les rôles et les responsabilités pour les
et l’activité des utilisateurs est perturbée. situations de gestion de crise soient claire-
ment définis. L’implication et la validation
Les risques d’indisponibilité du système d’in- des dirigeants garantissent l’alignement de
formation peuvent survenir lorsque l’établis- la continuité avec la stratégie, la mise à
sement n’a pas une bonne organisation en disposition de moyens budgétaires et
place pour gérer son dispositif de continuité humains suffisants, l’engagement des sala-
d’activité, ou lorsqu’il n’a pas correctement riés et de leur encadrement. Une méthodo-
identifié les différents scénarios d’indisponi- logie, une structure de gestion de crise
bilité, lorsque les moyens de production ou efficace et une politique de communication
de secours sont insuffisamment protégés adaptée complètent normalement le dispo-
contre les accidents, ou lorsque son dispositif sitif. L’établissement dispose d’un plan de
de continuité d’activité informatique est insuf- continuité qui comporte un plan de secours
fisant ou ne correspond pas avec celui prévu informatique (PSI).
pour les utilisateurs, ou enfin lorsqu’il n’est
pas suffisamment testé. Insuffisance dans l’identification
des scénarios d’indisponibilité
Mauvaise organisation de la continuité
Les plans de continuité sont normalement
Les établissements doivent s’être organisés pour fondés sur des scénarios de perte de res-
gérer leur dispositif de continuité d’activité, qui sources, comprenant des dysfonctionne-
répond à des obligations réglementaires. Ce ments de systèmes et de réseaux pour des

ACPR – Le risque informatique 28


Fonctionnement du système d’information

durées plus ou moins longues. Le PSI a la continuité des applications essentielles


vocation à décrire les modalités d’activation ou critiques.
des moyens de secours selon ces différents
scénarios. Si les scénarios définis n’identi- Pour éviter tout écart conduisant à une ina-
fient pas l’ensemble des perturbations pos- déquation des moyens de secours informa-
sibles ou en évaluent mal les conséquences, tiques, le PSI doit découler d’analyses
le dispositif de gestion de la continuité risque d’impact sur les métiers utilisateurs, et les
de mal répondre à une situation de panne délais de rétablissement du service (expri-
imprévue, ce qui empêchera les utilisateurs més en RTO et RPO) doivent correspondre
de pouvoir continuer leur activité. aux DMIA et PDMA définis par eux. Les
écarts qui résulteraient d’une incapacité
Pour s’en prémunir, il convient de réaliser connue des moyens de secours doivent être
des analyses d’impact pour les métiers uti- portés à la connaissance des instances
lisateurs (notamment sur les plans réglemen- dirigeantes pour un éventuel arbitrage sur
taire, juridique, commercial, financier ou les besoins utilisateurs ou l’allocation de
de réputation) selon différents scénarios moyens supplémentaires.
d’indisponibilité des locaux, des systèmes
d’information, du personnel, de l’énergie Protection insuffisante des moyens
et des télécommunications et des fournis- de production et de secours
seurs clés. Les besoins de continuité d’ac- contre les accidents
tivité sont normalement définis selon
des DMIA (« durée maximale d’interruption Les centres informatiques sont particulière-
admissible ») et des PDMA (durée de « perte ment exposés aux accidents et détériorations
de données maximale admissible »). La pouvant affecter le matériel et ainsi provoquer
DMIA se traduit ensuite pour les équipes des perturbations pour le bon fonctionnement
de production en un « recovery time objec- du système d’information. Ces sites sont très
tive » – RTO qui définit le délai maximal dépendants en électricité pour alimenter les
de reprise. La PDMA se définit au travers matériels, et aussi en eau pour la climatisa-
d’un « recovery point objective » – RPO, tion. Toutes sortes d’accidents ou d’évène-
qui exprime la durée maximale admise ments naturels peuvent sévèrement les affecter
entre un incident et la date de sauvegarde (incendie, inondation, tremblement de terre,
des données la plus récente. écrasement d’un avion, pollution chimique,
pollution électromagnétique, etc.).
Non‑alignement de la continuité
informatique avec la continuité métier Il importe ainsi que les établissements soient
rigoureux dans le choix des emplacements
Le plan de secours informatique décrit les pour leurs centres informatiques, en évitant
modalités de continuité pour la production toute zone exposée à des risques naturels
informatique. Il s’insère dans le plan de (zone inondable ou sismique par exemple)
continuité global de l’établissement qui ou de voisinage (aéroport, site chimique, etc.).
décrit par ailleurs les moyens de repli pour Il convient également qu’ils équipent leurs
les utilisateurs. Le PSI doit donc être cohérent centres de dispositifs visant à détecter les
avec le plan de continuité sinon le risque accidents et à atténuer au maximum les
est qu’il ne soit pas suffisant pour permettre détériorations potentielles. Cela vaut

ACPR – Le risque informatique 29


Fonctionnement du système d’information

particulièrement pour le risque d’incendie d’information, soit par partie ou application.


(détection, extinction) et pour le risque de De plus, les désastres régionaux doivent être
fuite d’eau dans le circuit de climatisation. pris en compte, en particulier par des dis-
Ces dispositifs doivent être correctement tances suffisantes entre environnement de
dimensionnés, régulièrement testés et main- production et environnement de secours. À
tenus en bon état de marche. Ces protections cet égard, il importe tout particulièrement
sont non seulement nécessaires dans les que le site de secours dispose d’approvi-
plateaux hébergeant le matériel informatique sionnements électriques provenant d’une
mais aussi dans les pièces dédiées au maté- source de production différente de celle qui
riel électrique et aux serveurs de télécom- dessert le site principal et qu’il ne soit pas
munication. Il est également préférable de exposé aux mêmes risques naturels que le
concevoir une politique globale de sécurité site principal (crue fluviale, proximité avec
prévoyant par exemple d’éviter d’entreposer un même aéroport ou site industria-
des matières inflammables comme des car- lo-chimique, etc.). Si tel est le cas, un troi-
tons dans les salles de machines ou les sième site est nécessaire pour permettre de
locaux alentours. disposer de réelles capacités de production
dans tous les scénarios d’indisponibilité.
Insuffisance des dispositifs de continuité
Tests insuffisants
Conformément au plan de secours informa-
tique, l’établissement doit pouvoir basculer L’efficacité et la pertinence des PCA et des
l’exploitation de son système d’information PSI dépendent de tests de mise en œuvre
sur une infrastructure de secours lorsque suffisamment réguliers. Les tests des dispo-
son système principal est indisponible. S’il sitifs techniques et organisationnels per-
a mal dimensionné ses équipements de mettent d’évaluer la solidité des solutions
secours, il risque de ne pas pouvoir faire prévues, conformément aux niveaux de
fonctionner des applications dont il a pour- service validés par les utilisateurs.
tant besoin. Si ses sauvegardes sont trop
anciennes, il risque de perdre beaucoup Il importe que les plans de continuité soient
de données importantes. testés sur un périmètre exhaustif à l’aide
d’une méthodologie éprouvée, donnant une
C’est pourquoi les équipements des infrastruc- assurance raisonnable sur leur qualité et leur
tures de secours doivent être correctement efficacité, notamment quant au respect des
dimensionnés pour pouvoir faire fonctionner exigences des utilisateurs. La pertinence des
les applications et fonctionnalités identifiées tests de secours n’est démontrée que lorsque
comme essentielles et critiques par le plan ceux-ci incluent le basculement de la pro-
de continuité. Ces infrastructures doivent être duction de l’environnement principal vers
opérationnelles pour faciliter le basculement l’environnement de secours. Cet environne-
de la production dans des délais réduits ment de secours doit ainsi être utilisé en
correspondants aux exigences des utilisateurs situation réelle par les équipes métiers pen-
(RTO et RPO). Les sauvegardes doivent être dant une période suffisamment significative
suffisamment fréquentes et protégées. Les et sur un périmètre représentatif de leurs
bascules doivent pouvoir être déclenchées, activités (notamment pour permettre le dérou-
soit en totalité pour l’ensemble du système lement des travaux de fins de période comme

ACPR – Le risque informatique 30


Fonctionnement du système d’information

une fin de semaine ou de mois). Les envi- Des politiques et procédures complètes et
ronnements de secours doivent permettre adaptées sont donc recommandées. Elles
une production alternée sur au moins un des sont mises en œuvre par des équipes spé-
sites de secours. Les résultats sont suivis au cialisées et formées à cet effet au sein des
niveau adéquat et font l’objet des mesures entités. Les différentes typologies de chan-
correctives nécessaires. gements sont définies, dont les changements
standards et les changements urgents, pour
3 Gestion des changements corriger les anomalies graves de fonction-
(projets, évolutions, corrections) nement. La description des traitements dis-
tingue les différentes phases, notamment
On appelle « changements » en informatique l’enregistrement, l’évaluation des impacts,
l’ensemble des modifications effectuées sur la classification, la priorisation, les étapes
un système, soit pour le corriger ou le faire de validation, la planification, les tests, les
évoluer (maintenance), soit pour le changer conditions de retour arrière. La gestion des
ou le compléter (projet). Cela peut concerner versions (« releases ») est également com-
les logiciels et les équipements. Il s’agit évi- prise dans ces processus.
demment de processus délicats puisque devant
s’insérer dans une production existante. Une Mauvaise organisation
mauvaise gestion des changements entraîne dans la conduite de projets
des dysfonctionnements. En la matière, les
facteurs de risques à prendre en compte sont La réussite des processus de gestion de chan-
que les normes relatives à la gestion des chan- gements, et tout particulièrement de conduite
gements soient inappropriées, que les chan- de projet, dépend largement de la mise en
gements ou les projets soient mal organisés œuvre d’une organisation solide et de la
ou gérés avec incompétence, que les exi- compétence des équipes en charge.
gences fonctionnelles et techniques soient mal L’utilisation d’une méthodologie de travail
prises en compte, que les nouveaux éléments aide également à encadrer le processus. Le
soient insuffisamment testés, ou encore que défaut de maîtrise des travaux peut conduire
le changement soit mal exécuté. à des retards ou des surcoûts, voire à une
réduction des fonctionnalités attendues.
Insuffisance dans la définition
ou l’application des normes relatives Il convient notamment de définir clairement
à la gestion des changements les rôles et les responsabilités de chacun des
participants pour disposer d’une organisation
Étant un processus délicat, la gestion des solide. Des comités assurant le suivi des tra-
changements est habituellement un proces- vaux et favorisant la coordination des acteurs
sus normé par des politiques et des procé- facilitent le suivi des délais, des coûts et de
dures opérationnelles. De telles politiques la qualité ainsi que la prise de décision. Les
prévoient par exemple que les mises en projets importants sont suivis par un sponsor
production sont regroupées en lot plutôt chargé de veiller à leur bon déroulement.
qu’exécutées unitairement. Une mise en Un dispositif de communication auprès des
production qui ne serait pas correctement différents acteurs réduit les incompréhensions
normée serait plus exposée au risque de qui peuvent être source d’erreurs ou de
mauvaises manipulations. retards. L’utilisation d’une méthodologie de

ACPR – Le risque informatique 31


Fonctionnement du système d’information

conduite de projets est bénéfique car elle des comptes rendus partagés entre les parties
permet de garantir le bon enchaînement des prenantes. Des actions correctives sont mises
différentes étapes de réalisation après véri- en place si des anomalies importantes sont
fication de la qualité des livrables. Enfin, le détectées. Les anomalies mineures peuvent
choix des collaborateurs est crucial et il être déclarées non bloquantes pour le démar-
convient de vérifier leur compétence pour rage et faire l’objet de corrections ultérieures.
l’exercice des différentes tâches. Des tests de non-régression sont systématique-
ment réalisés pour éviter les effets de bords
Mauvaise prise en compte non désirés. Un environnement de pré-pro-
des exigences fonctionnelles et techniques duction, très similaire à celui de production,
permet de vérifier l’adéquation des nouveaux
Les changements répondent à des besoins composants (fonctionnalités, performance).
d’évolution du système d’information expri-
més par les utilisateurs. Il est donc crucial Défauts dans l’exécution des changements
que les changements répondent à ces
besoins. Par ailleurs, il existe aussi des La mise en production des changements est
exigences techniques imposées par les tout particulièrement délicate car si elle
normes techniques de sécurité, de produc- n’est pas correctement réalisée, elle peut
tion ou d’exploitation réseau. causer des perturbations sur le système en
place, avec potentiellement des consé-
Il convient de suivre une méthodologie parta- quences très dommageables lorsqu’il est
gée par l’ensemble des parties prenantes pour difficile de faire un retour arrière.
recueillir et valider les exigences fonctionnelles
formulées par les utilisateurs. Les exigences Il importe donc de suivre un processus de
techniques qui imposent des contraintes à la mise en production très rigoureux. Ainsi, la
prise en compte des besoins fonctionnels planification des déploiements logiciels et
doivent être connues des utilisateurs et admises matériels s’appuie sur des procédures forma-
par eux. Les exigences techniques propres à lisées qui visent à garantir un niveau satisfai-
l’exploitation des systèmes et réseaux doivent sant de disponibilité. Ces procédures incluent
être prises en compte par les administrateurs des méthodes de retour arrière en cas de
techniques au plus tôt dans la conception et défaut. Un calendrier de changement est
la réalisation de nouveaux équipements. normalement mis en œuvre avec l’objectif de
les regrouper sur des périodes où le personnel
Insuffisance des tests expérimenté est présent et en dehors des
périodes normales de services (week-end par
Les tests permettent de s’assurer de la confor- exemple). Le cas échéant, des experts qualifiés
mité des changements avec les besoins sont mobilisables en astreinte et des respon-
validés, aussi bien en termes fonctionnels sables sont joignables en cas d’anomalie.
que techniques.
4 Qualité des données
Des recettes fonctionnelles et techniques sont
destinées à vérifier l’adéquation des change- Une des exigences primordiales qui s’impose
ments. Il importe qu’elles soient exhaustives à un système d’information est que ses don-
et formalisées, ainsi qu’elles donnent lieu à nées soient justes, c’est-à-dire qu’elles

ACPR – Le risque informatique 32


Fonctionnement du système d’information

correspondent aux données attendues en des données consiste à rapprocher et même


entrée et/ou que leurs transformations tout unifier lorsque c’est possible, les définitions
au long des calculs réalisés par le système de notions similaires utilisées dans l’en-
d’information ne créent pas d’erreurs. Cela semble du système d’information. Si l’éta-
s’impose tout particulièrement aux systèmes blissement ne recourt pas à des référentiels
d’information des établissements des secteurs pour ses données les plus partagées, ou
de la banque et de l’assurance qui tiennent s’il n’a pas engagé de démarche de nor-
notamment des données personnelles et des malisation, ses différentes composantes de
avoirs financiers. L’exigence prend également son système d’information risquent d’utiliser
de l’importance concernant les données de des données non comparables ni cumu-
calcul des risques, qui sont utilisées par les lables, au détriment d’une vision consolidée
instances dirigeantes pour piloter l’activité et de son activité et de ses risques.
par les superviseurs pour la surveiller. Ainsi,
la mauvaise qualité des données peut être C’est pourquoi il convient de privilégier
particulièrement dommageable, à la fois pour l’élaboration de référentiels de données
la conduite de l’activité si l’établissement n’uti- pour les notions les plus couramment utili-
lise pas des données fiables, et pour le suivi sées par l’entreprise. Les différentes appli-
des risques si les indicateurs en la matière cations utilisatrices de ces données peuvent
sont erronés. La qualité des données peut être ainsi disposer d’une source unique et fia-
en défaut lorsque la normalisation des don- bilisée. Une fonction ou un métier est dési-
nées et des référentiels est insuffisante, ou gné comme responsable de ces référentiels
lorsque le système d’information utilise ou et en assure la mise à jour et la pertinence
produit des données erronées. Un défaut de des définitions des données. De même,
contrôle peut encore expliquer un problème pour réduire l’hétérogénéité entre les diffé-
de qualité des données. rentes applications qui utilisent des données
approchantes et faciliter leur agrégation,
Insuffisance de normalisation l’établissement a intérêt à engager une
des données démarche de normalisation des données.
Cette démarche concerne les métiers et
Les systèmes d’information des établisse- fonctions utilisateurs, mais aussi la fonction
ments des secteurs de la banque et de l’as- informatique, qui est gardienne de la ratio-
surance sont souvent composés de multiples nalisation du système d’information dans
applications. Si elles ont été conçues à des son ensemble. Cette normalisation peut
périodes différentes et pour des besoins utilement s’appuyer sur des dictionnaires
chaque fois nouveaux, les notions qu’elles de données, donnant leur définition et leur
utilisent (« emprunteur », « assuré » par syntaxe, et s’imposant à l’ensemble des
exemple) peuvent ne pas toujours être défi- entités utilisatrices.
nies de la même manière, de sorte qu’il est
difficile de les comparer ou de les agréger. Utilisation ou production par le système
Normalement, les notions les plus utilisées d’information de données erronées
sont gérées sous forme de « référentiels »
uniques, pour l’usage commun des diffé- Si le système d’information utilise des
rentes composantes de l’établissement. De données fausses en entrée, il est probable
même, une démarche de « normalisation » qu’il produira des données inexactes en

ACPR – Le risque informatique 33


Fonctionnement du système d’information

sortie. Mais indépendamment de la qualité Défaut de contrôle de qualité


des données source, s’il existe dans le des données
système des erreurs de calcul, les données
produites seront erronées. Les erreurs de La qualité des données doit faire l’objet de
données ne sont pas seulement liées à contrôles réguliers et approfondis par les
des problèmes d’exactitude. Elles peuvent utilisateurs et les fonctions de contrôle.
également résulter de données inappro- À défaut, l’établissement pourrait ne pas
priées ou incomplètes, ou tout simplement détecter une situation d’utilisation ou de
indisponibles au moment du calcul. Le production de données erronées.
risque d’erreurs est aussi plus grand lors-
qu’un processus automatisé fait l’objet de Ainsi, la vérification des données de produc-
retraitements manuels. tion et des rapports d’activité ou de suivi du
risque doit s’appuyer sur des contrôles auto-
Le caractère approprié de la donnée est matisés et manuels, permettant d’identifier les
testé par les utilisateurs avant la mise en éventuelles anomalies et de mettre en place
production, puis régulièrement vérifié. Des les plans d’actions pour les corriger.
pistes d’audit permettent de restituer les
traitements et les étapes de modifications
apportées, pour une compréhension de la
transformation de l’information de son
origine à sa forme finale. Les traitements QUESTION N° 7
manuels sont limités au maximum et font Les facteurs de risque indiqués pour le
l’objet de vérifications approfondies et macro-processus relatif au fonctionnement
régulières. Les incidents de production sont du système d’information vous paraissent-
analysés pour vérifier leur incidence sur ils correctement identifiés ? Sinon, quelles
la qualité des données produites. Les indi- sont vos propositions d’amélioration ?
cateurs de risque produits pour les ins-
tances dirigeantes et les superviseurs sont QUESTION N° 8
fondées le plus possibles sur des indicateurs Les mesures de maîtrise des risques
calculés automatiquement plutôt que sur qui sont indiquées vous paraissent-elles
des valeurs d’approximation. Enfin, il appropriées ? Sinon, quelles sont vos
importe que les données soient disponibles propositions d’amélioration ?
avec des niveaux de détail suffisants et
avec les critères d’agrégation demandés, QUESTION N° 9
pour couvrir tous les besoins significatifs En particulier, partagez-vous le point
des utilisateurs. de vue exprimé au sujet du mode de
test de passage sur le site informatique
de secours ?

ACPR – Le risque informatique 34


Sécurité du système d’information

C
ette partie traite des risques pou- « fonctionnement du système d’information »
vant affecter le macro-processus comme cela a été fait ci-dessus, et de recen-
« sécurité du système d’informa- trer celui de « sécurité du système d’infor-
tion », qui rassemble les différentes actions mation » sur la prévention et la réaction
de prévention et de réaction destinées à face aux attaques malveillantes.
contrecarrer les atteintes à la sécurité. Il est
habituel de présenter ces atteintes comme Les paragraphes suivants présentent les prin-
étant celles faites à la disponibilité, à l’in- cipaux facteurs de risques pouvant affecter
tégrité, à la confidentialité, et à la preuve la sécurité des systèmes d’information et,
ou à la traçabilité des données et pour chacun d’eux, des exemples de mesures
des opérations. de réduction du risque pouvant être mises
en œuvre. Les facteurs de risque retenus sont
La sécurité du système d’information a pris ceux qui résulteraient d’insuffisances affectant
une importance croissante face aux la protection physique des installations et
cyber-menaces mais il s’agit en réalité d’une facilitant une intrusion, l’identification des
préoccupation ancienne. À l’origine, elle actifs informatiques (c’est-à-dire les différents
englobait à la fois les menaces d’origine biens qui constituent le système d’information
accidentelle (pannes, évènements naturels) comme les équipements matériels, les logi-
ou malveillante. Aujourd’hui, il est plus aisé ciels et les données), la protection de ces
de prendre en compte les menaces acci- actifs, la détection des attaques, ou encore
dentelles au titre du macro-processus de la réaction à ces attaques.

SÉCURISER LE SI

Protection Protection Dispositif


Identification Détection
physique logique de réaction
des actifs des attaques
des installations des actifs aux attaques

35
Sécurité du système d’information

1 Protection physique identifiées et accréditées. La protection des


des installations locaux repose généralement sur des dispo-
sitifs de protection périmétrique (clôtures,
La protection des bâtiments contre l’intrusion barrières, sas d’entrée, contrôle par badge,
malveillante a pris un tour plus important ces etc.) et de détection d’intrusion (vidéo-sur-
dernières années pour tenir compte de nou- veillance, alarmes, etc.). Ces équipements
veaux types d’attaques, soit violentes, soit doivent être régulièrement testés et mainte-
discrètes. Une intrusion dans les locaux peut nus en capacité. Des mesures de zonage
conduire au vol et à la destruction d’actifs complètent utilement le dispositif à l’intérieur
physiques, voire à faciliter une intrusion de l’enceinte en segmentant l’accès aux
logique dans le système d’information en locaux en fonction du « besoin d’en
permettant l’introduction de programmes connaître ». Les dispositifs de sécurité sont
malveillants (« malwares ») qui peuvent synchronisés pour permettre la corrélation
espionner, saboter ou substituer des informa- d’évènements. Les journaux d’évènements
tions appartenant à l’institution, à ses clients de ces dispositifs sont conservés pendant
ou à ses partenaires. De telles intrusions sont une durée suffisante pour pouvoir mener à
possibles si les mesures de protection des bien toutes les investigations utiles.
bâtiments ou d’accès aux équipements infor-
matiques sont insuffisantes. Protections insuffisantes
des équipements informatiques
Protections insuffisantes
contre l’intrusion dans les bâtiments Les mesures de protection du matériel complètent
celles destinées à empêcher les intrusions.
Des mesures de protection sont cruciales
pour les locaux hébergeant les infrastructures Les actifs physiques critiques, tels que les
systèmes et réseaux (centres informatiques). serveurs, les consoles d’administration, les
Elles peuvent également être nécessaires équipements réseaux, les équipements élec-
pour les locaux commerciaux ou adminis- triques, les clés, etc., requièrent une pro-
tratifs qui, même s’ils ne présentent pas la tection renforcée par des dispositifs de
même criticité, hébergent néanmoins les sécurité complémentaires et spécifiques
postes de travail, les accès réseaux et la (ex : cage autour des serveurs, fermeture
documentation de l’établissement. des baies, vidéo-surveillance spécifique).

Il est préférable de ne pas identifier les 2 Identification des actifs


centres informatiques par des signes visuels
pouvant révéler la finalité et l’appartenance Une mauvaise connaissance des actifs infor-
des locaux. Leur accès est aussi limité à un matiques est de nature à entraver la gestion
nombre réduit de personnes afin de limiter de la sécurité du système d’information car
les risques. Des procédures strictes enca- elle peut aboutir à ne pas appliquer pré-
drent les conditions d’accès aux installa- ventivement des mesures de sécurité homo-
tions, y compris pour les prestataires en gènes et appropriées ou à entraver les
charge de la maintenance des équipements. actions de riposte à une attaque. Les facteurs
Ces procédures restreignent les accès aux de risque sont des défaillances dans l’in-
seules personnes dûment annoncées, ventaire ou dans la classification des actifs.

ACPR – Le risque informatique 36


Sécurité du système d’information

Défaillances dans l’inventaire des actifs L’évaluation de la sensibilité des actifs est réa-
lisée selon les axes suivants : disponibilité,
Le recensement des actifs informatiques est intégrité, confidentialité, traçabilité, contraintes
nécessaire pour identifier les actifs les plus légales ou réglementaires. L’impact financier
critiques pour les métiers utilisateurs ou les ou en matière de réputation peut également
plus exposés aux cyberattaques. Ce recense- compléter l’exercice d’évaluation.
ment prend la forme d’un inventaire qui com-
prend les actifs « métiers » (ex. : applications, 3 Protection logique des actifs
données) et « support » (ex. : locaux, équipe-
ments). Cet inventaire est tenu à jour. Il contient La sécurité des actifs repose en premier lieu
tous les éléments utiles à l’identification, la sur un ensemble de mesures de protection
localisation, la fonction et la propriété de informatiques (dites « logiques »), destinées à
chaque actif. Il permet également de mettre prévenir toute compromission du système d’in-
en relation les actifs pour identifier rapidement formation. Les motivations des attaquants sont
les interactions et interdépendances, informa- de tous ordres, qu’elles visent à tirer un bénéfice
tions utiles en cas de gestion crise. direct (fraude, vol, rançon, espionnage), ou à
nuire (perturbation du bon fonctionnement,
Défaillances dans la classification sabotage, atteinte à la réputation). Mais quelles
des actifs que soient ces motivations, les perturbations
qu’elles provoquent porteront sur la disponibilité
La classification consiste à définir le niveau (ex : blocage d’un système), l’intégrité (mani-
de sensibilité des actifs, ce qui sert, d’une pulation d’un actif), la confidentialité (lecture
part, à déterminer les mesures de protec- ou vol d’une donnée par exemple), ou l’alté-
tion à implémenter et, d’autre part, à ration du système de traçabilité (effacement
identifier rapidement les actifs à isoler et des changements de droits par exemple). Les
à préserver en cas d’attaque. La classifi- mesures de protection doivent donc couvrir
cation vise en premier lieu les données ces différents types de perturbations et être
et les applications qui les gèrent. Cela adaptées à la sensibilité de chaque actif. Ces
permet ensuite d’accorder un niveau de mesures ne se conçoivent plus isolément. Il est
sensibilité correspondant aux équipements de bonne pratique désormais de les multiplier
systèmes et réseaux utilisés pour ces appli- à différents niveaux du système d’information
cations, ainsi qu’aux sites sur lesquels ils (par exemple en filtrant les communications
sont installés. Il en résulte une vision glo- non seulement à l’entrée mais aussi plus avant
bale, à la fois aux plans logique et phy- dans le système) de façon à ralentir la progres-
sique, de ce que l’établissement doit sion d’un attaquant. C’est le concept de
protéger en priorité. « défense en profondeur ». Si la protection
logique des actifs est insuffisante, le risque est
Pour que la classification soit complète et per- qu’un attaquant puisse pénétrer dans le système
tinente, elle doit couvrir l’ensemble des actifs d’information et le compromettre. Cela peut
logiques et être déduite de manière complète être en raison de défaillances dans les dispo-
pour les actifs physiques. Elle doit en outre sitifs de sécurité périmétrique, de protection
résulter d’une analyse formalisée et validée contre les logiciels malveillants, de gestion des
par le propriétaire de l’actif concerné. Il importe identités et des droits d’accès, d’authentification
qu’elle soit périodiquement réexaminée. des collaborateurs, de protection de l’intégrité

ACPR – Le risque informatique 37


Sécurité du système d’information

et de la confidentialité des systèmes et données, Défaillances dans les dispositifs de protection


de protection de leur disponibilité, de gestion contre les logiciels malveillants
des correctifs de sécurité, de revue de la sécu-
rité, de sécurisation des solutions externalisées Les logiciels malveillants sont le plus souvent
ou de sensibilisation à la sécurité des le vecteur des cyberattaques. Ils peuvent
systèmes d’information. servir à capter des informations pouvant
faciliter une intrusion future (collecte d’in-
Défaillances dans les dispositifs formations techniques, organisationnelles
de sécurité périmétrique ou procédurales), compromettre l’intégrité
des systèmes ou données (défiguration de
La sécurité périmétrique consiste à protéger sites, chiffrement de données suivi d’une
le système d’information vis-à-vis de l’extérieur demande de rançon), perturber la dispo-
ou à isoler des zones internes. Comme il nibilité des applications (sabotage), ou plus
existe de nombreuses communications avec directement pour dérober des informations
des contreparties externes, la sécurité péri- confidentielles (espionnage). Si l’établisse-
métrique va consister à rassembler les flux ment ne met pas en œuvre des mesures de
de communication sur un nombre limité de protection contre ces logiciels, la sécurité
points de passage, puis à filtrer et analyser de son système d’information peut être gra-
les flux entrants et sortants pour en vérifier le vement compromise.
contenu. Ces dernières années, cette protec-
tion a pu être décriée au motif qu’elle devenait Il importe donc de déployer des dispositifs
quasiment impossible face à la multiplication anti-malwares sur l’ensemble des équipe-
des canaux et flux d’échange. Pourtant, la ments matériels, voire logiciels : passerelles
sécurité périmétrique reste un atout primordial de messagerie (analyse des pièces jointes,
pour une protection efficace du système d’in- détection de fichiers exécutables), passerelles
formation, même s’il convient par ailleurs de d’accès à Internet, points d’accès réseau
la compléter par d’autres mesures, notamment avec les partenaires, etc. Ces dispositifs
de détection à l’intérieur du système. doivent être activés et tenus à jour. S’il existe
des dérogations, elles doivent être formali-
Il est donc attendu que des dispositifs assu- sées et validées. Les dispositifs de protection
rant la sécurité périmétrique du système sont protégés contre toute tentative de désac-
d’information soient mis en œuvre pour tivation ou de désinstallation par les utilisa-
empêcher toute tentative d’accès illégitime teurs. L’emploi de plusieurs suites de sécurité
au système d’information, ou à tout le moins distinctes au sein du système d’information
aux applications et données identifiées permet d’éviter l’exploitation d’une faiblesse
comme sensibles. Des mécanismes de fil- ou d’une faille d’un outil particulier.
trage du trafic réseau (pare-feu par exemple),
comportant des règles d’analyse et de blo- Défaillances dans les dispositifs de gestion
cage sont déployés, et les actifs les plus des identités et des droits d’accès
sensibles sont logiquement isolés au sein
du système d’information, ou même coupés Les droits d’accès au système d’information
de celui-ci. L’efficacité des dispositifs de sont normalement accordés aux utilisateurs
protection périmétrique est régulièrement selon le principe du « besoin d’en connaître ».
réévaluée et adaptée. Ils protègent l’usage légitime du système. Ils

ACPR – Le risque informatique 38


Sécurité du système d’information

sont liés à la gestion de l’identification des raisonnablement court. Les meilleures pra-
utilisateurs. C’est la reconnaissance par l’en- tiques en la matière consistent à réaliser
treprise du statut et de la fonction de ses une synchronisation entre les systèmes de
collaborateurs qui doit guider l’attribution gestion des droits d’accès et des systèmes
de droits d’accès. Ainsi, l’embauche, le de gestion des ressources humaines (ou des
départ ou le changement d’affectation du contrats de prestation le cas échéant). Les
collaborateur doivent normalement déclen- droits accordés font l’objet de réexamens
cher une mise à jour des droits d’accès. Des réguliers pour s’assurer de leur légitimité.
principes analogues devraient prévaloir pour De la même façon, la définition des profils
les composants du système d’information est revue périodiquement pour en évaluer
gérés par des prestataires externes. Si tel la pertinence.
n’est pas le cas, ou si les droits sont tout
simplement trop largement attribués ou mal Défaillances dans les dispositifs
mis à jour, un attaquant pourra plus facile- d’authentification des collaborateurs
ment les usurper et évoluer dans le
système d’information. L’authentification consiste à apporter la preuve
de son identité, par exemple pour accéder
Pour permettre l’imputation de toute action à un équipement ou une application. En infor-
sur le système d’information à une personne matique, le mécanisme le plus fréquent est le
donnée, l’identification des collaborateurs mot de passe mais sa sécurité peut être insuf-
internes et externes est nominative. fisante pour empêcher une usurpation.
L’utilisation de comptes génériques pour
accéder aux serveurs, applications et don- Il importe donc que des mécanismes d’authen-
nées est restreinte et formellement encadrée. tification adaptés à la sensibilité des actifs
Les collaborateurs disposant de comptes à accédés soient en place. Des moyens d’au-
privilèges (administrateurs par exemple) thentification à double facteur et/ou dyna-
disposent également de comptes ordinaires miques sont à privilégier pour l’accès aux
pour effectuer leurs tâches courantes (accès actifs les plus critiques. Le cas échéant, des
à la messagerie d’entreprise, navigation règles de complexité des secrets d’authentifi-
sur Internet, etc.). Une gestion efficace des cation choisis par les collaborateurs sont nor-
droits d’accès suppose l’utilisation de profils mées et adaptées à leur fonction. Le respect
(métiers et techniques) pour uniformiser et de ces règles est régulièrement contrôlé.
faciliter l’attribution de droits unitaires. Toute L’attribution de facteurs d’authentification tem-
attribution d’un droit d’accès unitaire com- poraires est formellement encadrée et sécurisée
plémentaire, hors profil, doit ainsi être jus- (changement du mot de passe à la première
tifiée, formalisée et validée. De façon connexion par exemple). Lorsqu’ils sont sta-
générale, les droits d’accès à un actif sont tiques, les facteurs d’authentification (mots de
validés par le propriétaire de cet actif, passe, tokens, etc.) doivent être renouvelés
directement ou par délégation. Il importe périodiquement. Tout accès au système d’in-
que les droits d’accès soient en adéquation formation réalisé hors des locaux fait norma-
constante avec les fonctions occupées. En lement l’objet de procédures d’authentification
particulier, toute mutation ou départ d’un renforcées (collaborateur ou prestataire
collaborateur se traduit par une suppression externe). Les secrets d’authentification doivent
des habilitations accordées dans un délai enfin être correctement protégés.

ACPR – Le risque informatique 39


Sécurité du système d’information

Défaillances dans les dispositifs à comporter une double validation (principe


de protection de l’intégrité des « quatre-yeux ») pour les opérations
des systèmes et des données importantes (validation d’un paiement par
exemple). Lors du transport et du stockage
Des mesures de protection de l’intégrité des des données, leur intégrité peut être proté-
systèmes et des données sont nécessaires gée par des mécanismes techniques et
pour empêcher qu’un attaquant puisse réa- applicatifs de « scellement » permettant de
liser des modifications des composants du vérifier qu’elles n’ont pas été altérées. Le
système d’information qui en altéreraient sceau est classiquement calculé par une
son bon fonctionnement (y compris sa fia- fonction dite de « hachage » après ajout
bilité) ou sa sécurité. Il pourrait s’agir par éventuel d’un « sel » pour éviter les attaques
exemple de modification des configurations par « dictionnaire » (« rainbow tables »).
d’un système, ou de ses droits d’accès, afin Ces mécanismes, s’ils sont mis en œuvre,
de réaliser une attaque. Il pourrait aussi doivent toutefois être conformes aux recom-
s’agir d’une modification de données au mandations en vigueur de l’ANSSI  26 pour
profit de l’attaquant. être pleinement efficaces et sûrs. Enfin, et
de façon spécifique aux services offerts par
Pour renforcer la sécurité des systèmes et une entité sur Internet, des mécanismes de
pouvoir détecter toute altération de confi- protection spécifiques au risque de défigu-
guration, qu’il s’agisse de l’ajout d’un pro- ration – « web defacement » – peuvent être
gramme ou de la modification de paramètres appliqués aux sites Internet.
systèmes ou applicatifs, il est d’usage de
limiter strictement les droits d’exécution de Défaillances dans les dispositifs
logiciels sur les machines – serveurs et de protection de la confidentialité
postes de travail – et de faire une prise des systèmes et des données
d’empreinte des fichiers « clés » des ser-
veurs. De plus, une manière de réduire le Les mesures de protection de la confiden-
risque de compromission d’un matériel tialité des données, qu’elles soient relatives
consiste à réduire au strict nécessaire les aux applications (base de données des
logiciels qui l’équipent ainsi que ses fonc- clients par exemple) ou aux matériels (don-
tionnalités. Cette technique appelée « dur- nées de configuration par exemple), visent
c i s s e m e n t  » p e r m e t d e r é d u i r e à empêcher une prise de connaissance
mécaniquement le nombre de failles logi- illégitime (lecture) ou un vol (copie). Dans
cielles qui pourraient être exploitées par les deux cas, les conséquences peuvent être
un attaquant. Concernant les données, mais désastreuses pour l’établissement, notam-
aussi les applications qui les utilisent, la ment aux plans juridique (manquement aux
protection contre toute tentative d’altération obligations réglementaires) et financier
peut recouvrir plusieurs formes distinctes. (réparation des dommages, sanction), ainsi
Il est ainsi préférable que les applications qu’en termes de réputation.
soient conçues de manière sécurisée en
incluant des contrôles automatiques pour Pour éviter toute divulgation ou vol de
26  Voir annexe B1 du Référentiel la création, la modification et la suppression données, il convient de protéger les don-
Général de Sécurité de l’ANSSI
(https://www.ssi.gouv.fr/entreprise/ des données sensibles. De même, les appli- nées de production et de limiter leur dis-
reglementation/confiance-numerique/
le-referentiel-general-de-securite-rgs/). cations peuvent être organisées de façon sémination sur d’autres environnements.

ACPR – Le risque informatique 40


Sécurité du système d’information

Ainsi, les environnements de production appliquer des mesures spécifiques telles que
peuvent être ségrégués ou isolés logique- le chiffrement des supports internes de stoc-
ment des autres environnements pour kage ou, quand c’est possible, la mise en
réduire tout accès incontrôlé depuis un place d’un mot de passe pouvant empêcher
environnement de développement ou de le démarrage du matériel et l’accès à son
test, généralement moins protégé. De façon contenu. De façon plus générale, en fin de
similaire, les données accessibles depuis cycle de vie, une bonne pratique est d’avoir
les environnements de tests ou de déve- des procédures de mise au rebut des équi-
loppement peuvent être rendues anonymes pements qui consistent à détruire logiquement
ou, mieux encore, être purement fictives et/ou physiquement toute information en
pour réduire tout risque de divulgation de mémoire. Enfin, au niveau applicatif, les
données réelles. Pour minimiser les risques applications disponibles publiquement (appli-
d’accès aux données à des tiers non auto- cations et services Internet, applications
risés, la possibilité de consulter ou de mobiles, etc.) peuvent utilement bénéficier de
manipuler des données de production doit mesures visant à empêcher toute tentative de
être encadrée et les accès tracés. Cette rétro-ingénierie. Cette pratique vise à récu-
mesure concerne notamment les presta- pérer sous une forme exploitable le code
taires tels que les hébergeurs, info-gérants, source d’un logiciel dans le but de le contre-
éditeurs de solutions logicielles, qui peuvent faire (atteinte à la propriété intellectuelle) ou
disposer de droits étendus sur les environ- d’en comprendre le fonctionnement (par
nements de production sans que l’entité exemple pour ensuite l’attaquer).
ne sache précisément qui a accès à ses
données. Par ailleurs, les données les plus Défaillances dans les dispositifs
sensibles doivent être protégées tout au de protection de la disponibilité
long de leur cycle de vie : lors de la saisie
et de l’affichage (en étant par exemple Des attaques externes peuvent rendre le
masquées partiellement ou en totalité), système d’information indisponible, soit en
mais aussi lors du stockage et du transport empêchant totalement d’y accéder, soit
(en étant chiffrées). Il peut également être simplement en le ralentissant. Des cyberat-
pertinent de chiffrer de bout en bout les taques de ce type, appelées « Denial of
communications réseau, c’est-à-dire à la Service » – DoS  27, consistant à saturer les
fois sur les réseaux publics et les réseaux accès externes à un système, ont été très
internes (entre applications). Dans tous les nombreuses ces dernières années.
cas, les différents mécanismes cryptogra- Immédiatement pénalisantes pour les utili-
phiques mis en œuvre doivent, là encore, sateurs, ces attaques peuvent porter atteinte
être conformes aux recommandations en à la réputation des établissements des sec-
vigueur de l’ANSSI pour être totalement teurs de la banque et de l’assurance.
efficaces et sûrs.
La protection du système d’information
Le matériel hébergeant les données ou per- contre les atteintes à sa disponibilité repose
mettant un accès à ces données doit lui aussi en premier lieu sur les mêmes dispositifs de
27  Lorsque l’attaquant parvient
à utiliser un grand nombre être protégé. C’est notamment le cas des gestion de la continuité que ceux évoqués
d’appareils tentant de se
connecter au système, l’attaque dispositifs nomades (ordinateurs) et mobiles à propos du maintien du bon fonctionnement
est appelée « Distributed Denial
of Service » – DDoS. (téléphones, tablettes) qui peuvent se voir du système d’information (cf. Fonctionnement

ACPR – Le risque informatique 41


Sécurité du système d’information

du système d’exploitation, 2). De manière Défaillances dans les dispositifs


spécifique pour les attaques DDoS, l’éta- de revues de sécurité
blissement peut utilement recourir à des
solutions de filtrage permettant de recon- On désigne par revues de sécurité les mesures
naitre les flux légitimes. En cas d’attaque consistant à tester l’efficacité des défenses
d’un site web utilisé par la clientèle, il peut mises en œuvre (« test d’intrusion ») ou à véri-
également être utile de pouvoir activer un fier l’existence de vulnérabilités en observant
site distinct, copie du premier ou destiné les configurations du matériel et des logiciels
seulement à diffuser de l’information, et qui (« scans de vulnérabilités » et « revues de
est accessible à une autre adresse que celle code applicatif »). Les établissements ont de
faisant l’objet de l’attaque. plus en plus recours à ces techniques pour
compléter leurs mesures de protection. Cela
Défaillances dans les dispositifs offre l’avantage de tester les possibilités qu’au-
de gestion des correctifs de sécurité rait un attaquant à contourner les défenses.
À défaut, l’établissement pourrait considérer
Les cyberattaques consistent souvent à exploi- à tort que les mesures qu’il a mises en œuvre
ter des failles de sécurité sur les logiciels ou sont suffisantes.
les matériels. Les éditeurs mettent normale-
ment très rapidement à niveau leurs solutions Il est donc recommandé de procéder à la
informatiques lorsque des failles de sécurité réalisation régulière de revues de sécurité afin
sont découvertes. Si l’établissement n’est pas de vérifier l’absence de failles exploitables
lui aussi rapide à changer ses versions pour sur les actifs informatiques. Cela devrait com-
bénéficier des correctifs de sécurité, il reste porter des campagnes de scans de vulnéra-
exposé à des attaques. Cette démarche est bilités périodiques sur les équipements
facilitée par l’existence d’un inventaire des connectés à Internet, par définition plus expo-
actifs à jour (cf. ce chapitre, 2). sés, mais également sur les équipements
internes (serveurs). Des tests d’intrusion ciblés
La protection du système d’information contre viennent compléter ces scans pour éprouver
les attaques logiques requiert une mise à la sécurité des équipements et des applications
jour rapide des correctifs de sécurité, pour nouvellement installés ou faisant l’objet d’évo-
l’ensemble des actifs concernés. Une veille lutions. Pour obtenir des résultats objectifs et
est organisée pour identifier les vulnérabilités fiables, ces campagnes sont conduites par
pouvant affecter le système d’information et des experts externes ou des tiers indépendants,
apporter au plus vite les correctifs. Elle s’ap- en utilisant des approches et des méthodolo-
puie sur les informations de configuration gies variées. Enfin, des audits de code axés
disponibles dans l’inventaire des actifs pour sur la sécurité sont menés pour identifier et
vérifier l’ampleur des vulnérabilités et déter- corriger au plus tôt toute faille potentielle.
miner un plan de mise à jour. Ce plan tient
compte du niveau de sensibilité des actifs. Défaillances dans les dispositifs
Pour éviter de créer toute nouvelle vulnéra- de sécurité des solutions externalisées
bilité, les nouveaux équipements à installer
le sont dans des versions supportées par Il est fréquent qu’une partie, voire la totalité
leurs constructeurs ou éditeurs, et à jour des parfois, d’un système d’information soit gérée
correctifs de sécurité. par un ou plusieurs prestataires pour

ACPR – Le risque informatique 42


Sécurité du système d’information

l’établissement. Ces prestataires peuvent Défaillances dans les dispositifs


appartenir au même groupe que l’établisse- de sensibilisation à la sécurité
ment ou ne pas lui être liés. Dans tous les cas, des systèmes d’information
les prestataires agissent au nom et pour le
compte de l’établissement et celui-ci reste res- La sensibilisation du personnel et des ins-
ponsable de la gestion de son système d’in- tances dirigeantes à la sécurité des systèmes
formation, ce qui inclut donc sa sécurité. d’information est une action nécessaire
pour faciliter l’émergence d’une culture du
La protection de la sécurité du système d’in- risque sur ces sujets. Elle peut contribuer à
formation suppose donc que les parties exter- lutter efficacement contre les attaques mal-
nalisées soient protégées à l’égal du reste. veillantes, qui visent souvent des collabo-
Pour cela, avant la mise en œuvre de la rateurs, voire des dirigeants, pour les
sous-traitance, l’entité cliente mène une ana- manipuler en vue de s’introduire dans le
lyse de risques à laquelle prennent part les système (clé USB ou message électronique
fonctions de contrôle, dont la fonction de infecté par exemple) ou de réaliser une
sécurité de l’information. Les instances diri- fraude (ingénierie sociale).
geantes se prononcent sur les projets d’ex-
ternalisation en tenant compte des conditions Pour s’en prémunir, des actions de sensibi-
de sécurité. L’analyse de risque identifie le lisation sont souhaitables. Elles complètent
caractère sensible des activités concernées, les procédures en vigueur en informant sur
et s’assure de l’existence de solutions garan- les risques et en diffusant les bonnes pra-
tissant la confidentialité des informations (par tiques en matière d’utilisation et de protection
exemple, en ayant recours au chiffrement) et du système d’information. Des campagnes
de capacités de repli. Une fois en place, les de formation spécifiques aux collaborateurs
services externalisés répondent aux mêmes disposant de privilèges élevés (administra-
exigences de sécurité que s’ils étaient conduits teurs) ou exerçant des fonctions sensibles
en propre par l’établissement : les dispositions (développeurs) sont régulièrement organisées
contractuelles relatives à l’externalisation par ailleurs. Les actions de sensibilisation
impliquent que les conditions de sécurité sont, dans la mesure du possible, étendues
appliquées par le prestataire respectent les aux collaborateurs externes, partenaires et
politiques de sécurité de l’établissement. Ce clients. L’efficacité de chaque action conduite
dernier suit dans le temps la performance est évaluée et ajustée si nécessaire.
des services sous-traités, y compris les éven-
tuels incidents. L’établissement dispose d’un 4 Détection des attaques
28  ACPR (2013) : « Les risques droit d’audit contractuel et celui-ci n’est pas
associés au Cloud computing », juillet.
https://acpr.banque-france.fr/ affecté par des conditions restrictives (préavis La sécurité ne peut plus reposer uniquement
search-es?term=201307+Risques+ass
ocies+au+Cloud+computing long). Dans le cas d’une externalisation sous sur des mesures de protection. La surve-
29  https://www.eba.europa.eu/ la forme d’une prestation de Cloud computing, nance de cyberattaques « silencieuses »  30
documents/10180/1712868/
Final+draft+Recommendations+o l’ACPR a présenté en juillet 2013 un certain montre à quel point les attaquants peuvent
n+Cloud+Outsourcing+%28EBA-
Rec-2017-03%29.pdf nombre de bonnes pratiques liées à la sécurité réussir à s’introduire de manière discrète
30  On désigne ainsi les des données et des systèmes, que les établis- dans un système d’information pour en
attaques qui ne provoquent pas
immédiatement de perturbation, sements sont appelés à respecter  28, de même comprendre l’organisation et causer des
mais qui consistent à progresser
discrètement dans le système que les recommandations de l’ABE publiées dommages sérieux. La protection peut donc
d’information pour mieux
l’attaquer. en décembre 2017 29. ne pas suffire et doit se doubler d’une

ACPR – Le risque informatique 43


Sécurité du système d’information

détection. Cette détection comporte habi- modalités d’attaque ou failles exploitées  32.
tuellement deux grands axes. L’un consiste L’organisation en place permet le partage
à collecter et analyser les événements d’informations sur les incidents rencontrés
(« traces ») enregistrés par les matériels, et par les différentes unités internes. Des
l’autre consiste à repérer des comportements échanges avec les établissements pairs et
anormaux d’utilisateurs. En l’absence de les autorités sont également institués.
tels outils de détection, ou lorsque ceux-ci
sont incomplets, l’établissement risque de Défaillances dans les dispositifs
ne pas détecter ni bloquer des intrusions de surveillance des comportements
dans son système d’information. anormaux des utilisateurs

Défaillances dans les dispositifs Les utilisateurs externes (clients se connectant


de recueil et d’analyse des traces en ligne par exemple) et internes (collabo-
rateurs réalisant des opérations, personnels
Il existe des outils  31 de collecte, de centra- informatiques) mettent en œuvre les fonc-
lisation et de corrélation des événements tionnalités du système d’information qui
(« traces ») enregistrés par les différents sont prévues pour leur usage. Un compor-
équipements matériels du système d’infor- tement malintentionné de leur part, ou de
mation (particulièrement les pare-feux, les la part d’attaquants usurpant leurs droits,
routeurs réseau, les sondes de détection, va se traduire par un usage anormal des
mais aussi les systèmes de production) qui fonctionnalités. Si des dispositifs de surveil-
sont utilisés pour surveiller ces équipements. lance des comportements anormaux des
Cette surveillance permet de repérer des utilisateurs ne sont pas mis en place, le
intrusions ou simplement des tentatives d’in- système d’information de l’établissement
trusion dans le système d’information et risque d’être détourné à l’insu de celui-ci.
ainsi d’alerter le plus tôt possible.
Les bonnes pratiques consistent à mettre en
Les bonnes pratiques, notamment à des fins œuvre une surveillance des transactions
de cybersécurité, requièrent aujourd’hui de suspectes dans les applications, les outils
disposer d’outils automatiques de recueil et d’administration, les bases de données ou
d’analyse de traces ainsi que d’une équipe tout autre environnement sensible au sein
de surveillance pour les exploiter (tel un de l’organisation. Cette surveillance mérite
« Security Operating Centre » – SOC), idéa- d’être réalisée en temps réel pour permettre
lement mobilisée 24 heures sur 24 et 7 jours une plus grande réactivité face aux attaques.
sur 7, toute l’année. Ces systèmes de type Les connexions inhabituelles au système
SIEM couvrent au mieux la totalité du système d’information sont surveillées (connexions
d’information, ou du moins ses éléments à des horaires ou dates inhabituels comme
communiquant avec Internet et ses compo- des vacances, ubiquité des connexions,
sants classés comme sensibles. Les traces accès depuis des machines ou des adresses
recueillies sont horodatées, archivées, et internet nouvelles, etc.). Les anomalies lors
protégées contre toute tentative de modifi- de l’authentification des utilisateurs externes
31  Ex. : outils de type SIEM
(Security Incident Event cation. Les alertes les plus graves sont prises (clients, prestataires) et internes sont tracées
Management).
en charge par une équipe de veille, qui se et analysées (tentatives répétées par
32  Cette fonction peut être prise
en charge par le SOC. tient en permanence informée des nouvelles exemple). Les comportements anormaux

ACPR – Le risque informatique 44


Sécurité du système d’information

des clients utilisant des sites transactionnels scénarios affectant le bon fonctionnement
(gestion de compte en ligne par exemple) de l’établissement, les modes opératoires à
sont détectés. Les opérations de décaisse- mettre en œuvre pour en contenir les impacts
ment de valeurs sont surveillées et des méca- et rétablir l’activité. Les rôles et responsabi-
nismes de blocage peuvent éventuellement lités des décideurs et des personnels clés
être activés pour éviter des sorties de valeurs sont précisés et ceux-ci ont les moyens
en nombre ou en montant élevés. Les fonc- (locaux, matériels, communications) de se
tions de copie ou de suppression de masse rassembler pour diriger les opérations. Ce
sur les bases de données sensibles sont type d’organisation est requis dans les éta-
surveillées, voire bloquées, de même que blissements de la banque et de l’assurance,
les fonctions d’élévation de privilèges sur notamment pour faire face à des pertes de
les systèmes et bases. ressources (bâtiments, collaborateurs, sys-
tèmes informatiques, prestataires externes).
5  Dispositif de réaction aux attaques Si l’organisation de gestion de crise n’est
pas étendue aux différents scénarios d’at-
Comme l’indiquent les principes de gestion teinte à la sécurité du système d’information,
de la cybersécurité, la sécurisation du sys- les établissements pourraient ne pas être en
tème d’information suppose, outre des mesure de les gérer efficacement.
mesures de protection et de détection, de
mettre en place également une organisation C’est pourquoi, il importe que des pro-
et une démarche de réaction aux attaques cédures de gestion de crise adaptées au
et de rétablissement du système d’informa- risque cyber existent et soient régulière-
tion. Plusieurs étapes sont nécessaires, ment testées et ajustées. Ces procédures
depuis le contingentement des composants couvrent les différents scénarios de cybe-
du système qui ont été touchés, puis l’éra- rattaques et leurs conséquences en dis-
dication des logiciels malveillants, avant la ponibilité, confidentialité, intégrité et
remise en service en mode dégradé, et traçabilité. Elles prévoient des actions
ensuite la reconstitution d’un système d’in- coordonnées avec les parties prenantes
formation sain et complètement opération- externes (partenaires, clients) et, le cas
nel. Ces différentes opérations requièrent échéant, les autorités compétentes. Elles
une organisation de gestion de crise, qu’il incluent un volet communication (médias,
est bien sûr utile d’avoir préconstituée. Les partenaires, clients) et information (ins-
facteurs de risque pouvant empêcher une tances dirigeantes, superviseurs).
bonne réaction aux attaques sont donc liés
à des défaillances de ces différents proces- Défaillances dans les dispositifs
sus, soit de gestion de crise, soit de de contingentement des attaques
contingentement des attaques, ou de reprise
des opérations. Le contingentement des attaques consiste
à en stopper la propagation, puis d’éradi-
Défaillances dans les dispositifs quer les vecteurs d’attaque comme les
de gestion de crise malwares utilisés par l’attaquant. Cette
démarche est un préalable à la reprise des
Une organisation de gestion de crise repose opérations afin d’éviter une propagation
sur des procédures indiquant, selon différents incontrôlée de l’attaque.

ACPR – Le risque informatique 45


Sécurité du système d’information

Des équipes opérationnelles et dédiées sont permettre un fonctionnement plein et normal


en charge de la réponse aux incidents, du système d’information.
telles les Computer Security Incident
Response Team – CSIRT. Elles ont la respon- Le rétablissement du système d’information
sabilité d’endiguer les attaques et d’en affecté par une attaque repose sur des pro-
éradiquer les effets. Elles disposent de l’ex- cédures préparées à l’avance, régulièrement
pertise et de l’autorité requises pour, le cas testées et revues. Ces procédures permettent
échéant, identifier les applications à arrêter de prioriser les actions de reprise et de
et les réseaux à déconnecter. Ces équipes garantir l’intégrité des systèmes et
s’appuient en cas de besoin sur une exper- données restaurés.
tise externe complémentaire et contractua-
lisée. Idéalement, ces équipes sont capables
de mettre en place des leurres pour détour-
ner l’attention ou affaiblir l’attaquant durant QUESTION N° 10
les opérations de sécurisation du Les facteurs de risque indiqués pour le
système d’information. macro-processus relatif à la sécurité du
système d’information vous paraissent-ils
Défaillances dans les dispositifs correctement identifiés ? Sinon, quelles
de reprise des opérations sont vos propositions d’amélioration ?

Le rétablissement du système d’information QUESTION N° 11


consiste à le remettre en ser vice. Les mesures de maîtrise des risques
Généralement, cette démarche est progres- qui sont indiquées vous paraissent-elles
sive. Les opérations peuvent d’ailleurs, le appropriées ? Sinon, quelles sont vos
cas échéant, être réalisées par des procé- propositions d’amélioration ?
dures manuelles dégradées le temps de
l’attaque, c’est-à-dire sans recourir à l’in- QUESTION N° 12
formatique. Lorsque les vecteurs d’attaque En particulier, partagez-vous le point de
sont éradiqués, une reprise partielle du vue exprimé au sujet des mesures de
système d’information est possible, en uti- protection de l’intégrité et de la confidentialité
lisant les composants non atteints. Ensuite, des données et des systèmes ?
l’intégrité du système est reconstruite pour

ACPR – Le risque informatique 46


Annexe : catégorisation du risque informatique

Facteurs principaux Facteurs secondaires


Macro processus
de risque informatique de risque informatique

• Mauvaise perception des enjeux


Implication insuffisante
• Décisions inappropriées
des instances dirigeantes
• Pilotage insuffisant

• Manque d’anticipation des besoins métier,


Stratégie IT insuffisamment définie et des évolutions/enjeux/usages technologiques
ou alignée avec la stratégie métier
• Outils et niveaux de service inadéquats

• Allocation budgétaire insuffisamment alignée avec la stratégie


Pilotage budgétaire défaillant • Allocation budgétaire absente ou insuffisamment claire
• Suivi des dépenses insuffisant

Rôles et responsabilités
de la fonction informatique • Rôles et responsabilités mal définis, mal répartis ou mal communiqués
et de la fonction de sécurité • Profils inadaptés ou insuffisants
informatique inadéquats

• Manque de maîtrise de l’architecture (urbanisation)


Organiser le SI
Rationalisation insuffisante du SI • Incohérence des normes informatiques
et sa sécurité
• Manque de maîtrise de l’obsolescence

• Cadre contractuel inadapté


Insuffisante maîtrise • Dépendance forte
de l’externalisation • Suivi insuffisant des niveaux de service
• Dispositif de réversibilité insuffisant

• Non-conformité des besoins des métiers au droit applicable


• Non-conformité des développements informatiques
Non-respect des lois et règlements aux préconisations juridiques des métiers
• Les normes informatiques ne permettent pas
de respecter le droit applicable

• Cartographie des risques inexistante ou partielle


• Dispositif de contrôle permanent insuffisant
Gestion des risques insuffisante
• Recensement et gestion insuffisants des incidents
• Dispositif de contrôle périodique insuffisant

47
Annexe

Facteurs principaux Facteurs secondaires


Macro processus
de risque informatique de risque informatique

• Insuffisance des moyens de production


Mauvaise gestion de l’exploitation • Insuffisance dans la détection des erreurs ou anomalies
(systèmes et réseaux) • Insuffisance dans la gestion des incidents/problèmes
• Non-respect des niveaux de service

• Mauvaise organisation de la continuité


• Insuffisance dans l’identification des scénarios d’indisponibilité
• Non alignement de la continuité informatique
Mauvaise gestion avec la continuité métier
de la continuité d’exploitation • Protection insuffisante des moyens de production
et de secours contre les accidents
Faire fonctionner • Insuffisance des dispositifs de continuité
le SI • Tests insuffisants

• Insuffisance dans la définition ou l’application des normes relatives


à la gestion des changements
Mauvaise gestion des changements • Mauvaise organisation dans la conduite de projets
(projets, évolutions, corrections) • Mauvaise prise en compte des exigences fonctionnelles et techniques
• Insuffisance des tests
• Défauts dans l’exécution des changements

• Insuffisance de normalisation des données


• Utilisation ou production par le système d’information
Mauvaise qualité des données
de données erronées
• Défaut de contrôle de qualité des données

Insuffisance dans la protection • Protections insuffisantes contre l’intrusion dans les bâtiments
physique des installations • Protection insuffisante des équipements informatiques

Défaillances dans :
Défaut d’identification des actifs • l’inventaire des actifs
• la classification des actifs

Défaillances dans les dispositifs de :


• Sécurité périmétrique
• Protection contre les logiciels malveillants
• Gestion des identités et des droits d’accès
• Authentification des collaborateurs
Insuffisance dans la protection • Protection de l’intégrité des systèmes et des données
logique des actifs • Protection de la confidentialité des systèmes et des données
Sécuriser le SI
• Protection de la disponibilité
• Gestion des correctifs de sécurité
• Revues de sécurité
• Sécurité des solutions externalisées
• Sensibilisation à la sécurité des systèmes d’information

Défaillances dans les dispositifs de :


Insuffisance dans la détection
• Recueil et d’analyse des traces
des attaques
• Surveillance des comportements anormaux des utilisateurs

Défaillances dans les dispositifs de :


Insuffisance du dispositif • Gestion de crise
de réaction aux attaques • Contingentement des attaques
• Reprise des opérations

ACPR – Le risque informatique 48

Vous aimerez peut-être aussi