Académique Documents
Professionnel Documents
Culture Documents
Acpr Risque-Informatique FR Web
Acpr Risque-Informatique FR Web
Le risque informatique
Document de réflexion
AUTEURS
Marc ANDRIES, David CARTEAU, Sylvie CORNAGGIA,
Pascale GINOLHAC, Cyril GRUFFAT, Corinne LE MAGUER
CONTRIBUTEURS
Roméo FENSTERBANK, Thierry FRIGOUT,
Pierre HARGUINDEGUY, Christelle LACAZE
SYNTHÈSE DE LA CONSULTATION PUBLIQUE LANCÉE EN MARS 2018
Le document de réflexion sur le risque informatique a été mis à jour suite aux
commentaires reçus après sa publication le 31 mars 2018 et à la conférence de
l’ACPR tenue le 18 septembre 2018, au cours de laquelle s’est tenue une table ronde
consacrée au risque informatique.
Les commentaires ont souligné la qualité des réflexions, de même que le très fort intérêt
de structurer les différents éléments d’une définition et d’une catégorisation du
risque informatique.
Suite à ces interactions, les mises à jour qui ont été effectuées concernent notamment :
• La définition de la cybersécurité a également été élargie pour indiquer que ces efforts
de protection et de réaction visaient aussi à éviter les négligences pouvant donner lieu
1 Banque des règlements
à une activité informatique malicieuse.
internationaux (2015) :
« Principes de gouvernance
d’entreprise à l’intention des
• Des clarifications sur l’organisation à mettre en œuvre pour la maîtrise de risques infor-
banques », juillet. matiques. Ainsi, le document insiste sur l’importance d’une organisation selon le modèle
Autorité bancaire européenne des trois « lignes de défense », prônée par les textes internationaux 1. Cette organisation
(2013) : « Lignes directrices sur
la gouvernance interne selon la
s’applique déjà au risque opérationnel, mais souvent imparfaitement au risque informa-
directive//36/EU », notamment tique, alors que celui-ci en fait partie. Selon ce modèle, la fonction informatique (qu’elle
les paragraphes 28 et suivants.
soit tout entière confiée à la direction des services informatiques ou partagée avec les
Association internationale des
superviseurs d’assurance
métiers) a la charge de la mise en œuvre opérationnelle du système d’information et de
(2017) : « Document sécurité. Elle doit ainsi identifier ses risques et définir ses politiques et normes destinées
d’application sur le contrôle de
la cybersécurité des organismes à les maîtriser, y compris en matière de sécurité. Au sein de la deuxième ligne de défense,
d’assurance » (« Application la fonction de gestion des risques a vocation à déterminer la tolérance de l’établissement
Paper on Supervision of Insurer
Cybersecurity ») paragraphe aux risques informatiques, fixer la stratégie et les politiques de sécurité pour respecter
97 et suivants, septembre. cette tolérance, ainsi qu’elle doit contrôler les vérifications effectuées par la première ligne
de défense.
o « Défaut dans les logiciels » : ce facteur de risque vient compléter ceux relatifs à
la « Mauvaise gestion des changements (projets, évolutions, corrections) » qui peuvent
affecter le processus de « fonctionnement du système d’information ». Cet ajout permet
de préciser les exigences portant sur le niveau de qualité des applications, y compris
du shadow IT.
Le document ainsi révisé suite à ces interactions fournit donc une catégorisation du risque
informatique plus complète, afin de couvrir ses différentes dimensions et permettre de
le traiter dans sa globalité.
Forts de leur expérience de contrôle, les services de l’ACPR ont élaboré une définition
et une catégorisation du risque informatique, afin d’en couvrir les différentes dimensions
et de pouvoir le traiter dans sa globalité. Cette catégorisation peut servir aux établissements
placés sous son contrôle pour élaborer ou renforcer leur propre cartographie. Cette
catégorisation couvre les trois grands processus de mise en œuvre et de gestion du
système d’information, c’est-à-dire à la fois ce qui a trait à l’organisation de celui-ci, ce
qui concerne son bon fonctionnement, et aussi sa sécurité. Pour chacun de ces grands
processus, le document de réflexion indique une série de facteurs de risque, élaborée
sur deux niveaux pour permettre une analyse assez fine. Pour chaque facteur de risque,
sont indiquées les principales mesures de réduction et de maîtrise des risques attendues.
Ces mesures sont indicatives et les établissements peuvent les adapter à leur contexte.
Elles illustrent les meilleures pratiques habituellement constatées par les services de
l’ACPR et visent à constituer un socle commun de maîtrise du risque informatique dans
les secteurs de la banque et de l’assurance.
6 Introduction
D
e nombreuses instances inter secteurs de la banque et de l’assurance ont
nationales mettent l’accent, depuis commencé à formuler leurs attentes vis-à-vis
plusieurs années, sur la montée du de la profession. L’Autorité bancaire euro-
risque informatique au sein des secteurs de péenne (ABE) a ainsi adopté plusieurs docu-
la banque et de l’assurance. Ces inter ments normatifs sur les risques informatiques
ventions résultent d’un double constat. du secteur bancaire, notamment des lignes
En premier lieu, les activités des établisse- directrices à l’usage des autorités de super-
ments reposent désormais en totalité sur vision pour développer de manière uniforme
des systèmes d’information automatisés, leur évaluation des risques informatiques
y compris pour la relation avec la clientèle 1, des établissements 2. L’Autorité européenne
et ces environnements sont devenus com- des assurances et des pensions profession-
plexes à gérer. En second lieu, les dom- nelles (AEAPP 3) a publié, un document de
mages informatiques, malgré toutes les réflexion sur le risque cyber 4 et a engagé
précautions prises, deviennent des risques une revue de ce risque avec des acteurs
1 Ce que l’on appelle parfois la
majeurs pour l’exercice des activités de ces majeurs de l’assurance.
« digitalisation » des activités
bancaires et financières.
établissements. En particulier, la capacité
2 EBA (2017) : « Guidelines de nuisance des cyberattaques n’a cessé Parmi les différents risques informatiques,
on ICT Risk Assessment under
the Supervisory Review and de progresser ces dernières années. Alors ceux relatifs à la cybersécurité ont fait l’objet
Evaluation process (SREP) »,
11 mai 2017.
qu’au début ces attaques portaient princi- d’une attention toute particulière de la part
3 En anglais « European palement sur les équipements des clients et de plusieurs autorités. Le G7 a déjà adopté
Insurance and Occupational
Pensions Authority » – EIOPA avaient donc un caractère unitaire, peu des principes de haut niveau, non contra
4 Rédigé par son Groupe des perturbant dans l’ensemble, elles visent ignants, qui ont vocation à orienter et unifier
parties prenantes du secteur de
l’assurance et la réassurance désormais directement les environnements les actions en la matière 5 et il poursuit son
(IRSG) (2016) : « Cyber risk
– some strategic issues », avril. informatiques des établissements et peuvent action sur plusieurs plans pour intensifier les
5 G7 (2016) : « Fundamental avoir des conséquences majeures, y compris démarches des régulateurs du secteur. Le
elements of cybersecurity for the
financial sector », octobre, et systémiques, en raison des relations d’inter comité pour les paiements et les infrastructures
G7 (2017) : « Fundamental
elements for effective assessment dépendance croissantes qui lient les diffé- de marché (CPMI 6) de la Banque des règle-
of cybersecurity in the financial
sector », octobre. rents acteurs financiers. ments internationaux et l’organisation inter-
6 Committee on Payments and nationale des autorités de marché (IOSCO 7)
Market Infrastructures – CPMI
En réponse, les instances qui produisent les ont publié des orientations afin d’améliorer
7 International Organisation of
Securities Commissions – IOSCO standards internationaux applicables aux la résilience des infrastructures de marché
6
Introduction
face aux attaques cyber 8. L’Association avait publié en 1996 un livre blanc sur la
internationale des contrôleurs de l’assurance sécurité des systèmes d’information dans
(AICA 9) a également publié un document les établissements de crédit et qu’elle s’était
de réflexion sur le risque cyber du secteur dotée depuis 1995, au sein des équipes
de l’assurance 10 et poursuit avec un docu- d’inspection sur place, d’une équipe dédiée
ment d’application. pour les risques liés aux systèmes d’infor-
mation. Forte de cet existant, l’ACPR a pris
Dans l’ensemble de ces textes, le risque part aux actions de la BCE, à la fois en
informatique est reconnu explicitement ou mettant ses contrôleurs sur pièces à dispo-
implicitement comme un risque opérationnel, sition des équipes conjointes de supervision
tel qu’il avait été documenté puis encadré (« Joint supervisory team ») du MSU et en
par le Comité de Bâle sur le contrôle bancaire confiant la réalisation de contrôles sur place
(CBCB) à partir de 2003. Pour autant, il aux inspecteurs de la Banque de France.
reste encore à préciser l’inclusion et le trai- Dans les domaines où elle a autorité directe,
tement du risque informatique au sein du comme celui des entités bancaires « moins
risque opérationnel pour que les mêmes importantes » (« Less-significant institu-
principes de traitement s’y appliquent. tions »), les autres entités du secteur bancaire
(sociétés de financement et prestataires de
De leur côté, les autorités de supervision services de paiement notamment) et celui
développent également fortement leur action de l’assurance, l’ACPR mène également de
dans le domaine du risque informatique. nombreuses interventions au titre de ses
Dès novembre 2014, lorsque lui a été trans contrôles permanents et de ses contrôles
férée la compétence de supervision directe sur place. L’importance toujours croissante
des établissements bancaires de la zone des risques informatiques représente un défi
euro les plus importants (« significant permanent en termes de développement
institutions »), la Banque Centrale Européenne des ressources et des compétences. Pour
(BCE), avec l’assistance des autorités y répondre, l’ACPR a poursuivi ses actions
nationales de supervision rassemblées dans de formation et elle a complété les équipes
le « mécanisme de supervision unique » dédiées du contrôle sur place en constituant
(MSU), a immédiatement lancé plusieurs un réseau d’experts en matière de risque
actions de contrôle sur pièces et sur place. informatique, composé d’une vingtaine de
Des questionnaires d’évaluation sur la cyber participants. Ces experts représentent l’ACPR
sécurité ou sur les pratiques d’externalisation dans les différentes instances internationales
des activités informatiques ont permis de qui travaillent sur le risque informatique et
prendre rapidement la mesure des forces et la cybersécurité.
faiblesses du secteur, puis d’engager des
actions correctrices. De nombreux contrôles Ce « document de réflexion » a été rédigé
sur place, menés le plus souvent par les par des experts informatiques du réseau
8 CPMI-IOSCO (2016) : autorités nationales, ont complété la constitué par l’ACPR. Il vise à communiquer
« Guidance on cyber resilience
for financial market démarche et permis de disposer d’informations sur les enjeux perçus concernant les risques
infrastructures », juin.
précises sur les actions à mener. informatiques, tant s’agissant de leur recon-
9 International Association of
Insurance Supervisors – IAIS naissance que de leur réduction. Il constitue
10 IAIS (2016) : « Issues Paper Une telle démarche était déjà bien ancrée une contribution aux réflexions sur la manière
on cyber risk to the insurance
sector », août. en France, puisque la commission bancaire d’intégrer la maîtrise du risque informatique
dans le cadre de gestion du risque opéra- comme une dimension du risque opération-
tionnel. Il pourra servir également aux tra- nel. En second lieu, cette définition s’ac-
vaux sur l’amélioration de la « résilience compagne d’une proposition de
opérationnelle » des établissements, catégorisation du risque informatique, afin
c’est‑à‑dire à leur capacité à absorber les d’en couvrir toutes les dimensions de
perturbations opérationnelles de toute nature. manière cohérente. Pour chaque élément
présenté dans cette catégorisation, le docu-
En premier lieu, le document propose une ment indique ce qui paraît caractériser une
définition du risque informatique conçu bonne gestion des risques.
12 BCBS (2006) : 1 État des lieux de la réglementation française 15. Ce cadre a été volontairement
« International convergence of
capital measurement and capital au plan international conçu de manière large et flexible pour cou-
standards », Basel Committee
Publications n° 128, juin. vrir la grande variété des organisations et
13 Directive 2013/36/UE du D’abord conceptualisée par les instances permettre aux établissements de le mettre
Parlement européen et du Conseil
du 26 juin 2013 concernant bancaires, la notion de risque opérationnel en œuvre de façon proportionnée à l’impor-
l’accès à l’activité des
établissements de crédit et la a ensuite été reprise par les instances du tance et à la complexité de leurs activités.
surveillance prudentielle des
établissements de crédit et des
secteur de l’assurance. Le Comité de Bâle
entreprises d’investissement
(Directive CRD IV). Règlement (UE)
sur le contrôle bancaire a progressivement Dans aucun de ces documents le risque
n° 575/2013 du Parlement
européen et du Conseil du
développé ses préconisations pour la maîtrise informatique n’est explicitement visé,
26 juin 2013 concernant les du risque opérationnel à partir de 2003 11. même si les différentes autorités s’ac-
exigences prudentielles applicables
aux établissements de crédit et aux Il a ensuite ajouté des exigences en fonds cordent à l’y ranger au titre de la « défail-
entreprises d’investissement
(Règlement CRR, article 4). propres pour faire face aux incidents de lance des processus, du personnel et des
14 Directive 2009/138/CE du nature opérationnelle pouvant affecter les systèmes », comme c’est par exemple le
Parlement européen et du Conseil
du 25 novembre 2009 sur l’accès établissements 12. Pour couvrir les multiples cas avec les pannes ou les erreurs infor-
aux activités de l’assurance et de
la réassurance et leur exercice facettes du risque opérationnel, le Comité matiques, ou aussi au titre des « évène-
(Solvabilité II). L’article 1333)
définit le risque opérationnel de Bâle a retenu une définition large, incluant ments externes » comme c’est le cas avec
comme « le risque de perte
résultant de procédures internes, les défaillances internes comme les évène- les cyberattaques. Cela tient au raisonne-
de membres du personnel ou de
systèmes inadéquats ou défaillants, ments extérieurs, et axée sur le risque de ment initial des autorités normatives selon
ou d’événements extérieurs ».
perte financière, directe ou indirecte. Selon lequel les outils informatiques et le système
15 L’arrêté du 3 novembre 2014
relatif au contrôle interne des le Comité, le risque opérationnel recouvre d’information dans son ensemble étaient
entreprises du secteur de la banque,
des services de paiement et des en effet tout « risque de perte résultant d’une des éléments au service de l’activité des
services d’investissement soumises
au contrôle de l’ACPR, définit dans inadéquation ou d’une défaillance des pro- établissements, mais qu’ils n’étaient pas
son article 10 le risque opérationnel
comme « le risque de pertes cessus, du personnel et des systèmes, ou leur raison d’être. Selon cette approche,
découlant d’une inadéquation ou
d’une défaillance des processus, du
d’événements externes ». Cette définition, les risques principaux sont ceux spécifi-
personnel et des systèmes internes
ou d’événements extérieurs, y
avec de légères nuances d’écriture, s’est quement liés à l’exercice de l’activité,
compris le risque juridique ; le
risque opérationnel inclut
retrouvée dans les différents cadres législatifs comme les risques de crédit, de marché
notamment les risques liés à des et réglementaires, notamment les directives ou d’assurance. Une défaillance informa-
événements de faible probabilité
d’occurrence mais à fort impact, les européennes encadrant l’activité bancaire 13 tique n’est principalement perçue dans ce
risques de fraude interne et externe
définis à l’article 324 du règlement et du secteur de l’assurance 14. Elle est éga- cas que par sa conséquence sur le métier
UE n° 575/2013 susvisé, et les
risques liés au modèle ». lement reprise par la réglementation bancaire qui en est l’utilisateur. La reconnaissance
9
Le risque informatique et son ancrage dans le risque opérationnel
qui paraissent utiles ou nécessaires à leur impératives. Leur présentation vise avant
maîtrise. Ces facteurs de risque s’entendent tout à donner un socle commun de com-
comme des événements ou des situations préhension à tous les établissements de
susceptibles d’accroître la probabilité du façon à permettre leur bonne maîtrise des
risque informatique. Les mesures de maî- risques. Elle peut aussi servir aux services
trise de ces facteurs de risque qui sont de l’ACPR à contribuer aux travaux des
indiquées dans la suite du document ne différentes instances internationales aux-
sont bien évidemment pas exhaustives ou quelles ils participent.
C
e qui est désigné ici comme l’or- informatiques aux dispositions juridiques
ganisation du système d’informa- que doit respecter l’établissement. Enfin, une
tion est le macro-processus qui organisation saine et prudente fait l’objet
rassemble l’ensemble des actions de décision d’un dispositif de maîtrise des risques com-
(parfois désignées comme la « gouver- portant une dimension de contrôle interne.
nance »), de pilotage (comme la définition Ces actions d’organisation visent également
d’une « stratégie » et l’allocation de moyens la sécurité du système d’information.
y afférents), l’allocation des responsabilités
au sein de l’entité, ainsi que les politiques Les paragraphes suivants expliquent les
et les actions consistant à veiller à la bonne facteurs de risque principaux et secondaires
gestion du système d’information (par susceptibles d’affecter l’organisation du
exemple en réduisant sa complexité), à la système d’information et de sa sécurité,
maîtrise du recours à l’externalisation, et au ainsi que les principales mesures de maîtrise
respect de la conformité des outils de ces risques.
Décisions Définir
de la direction les rôles et
Pilotage
générale Stratégie IT responsabilités
budgétaire
et de l’organe de la fonction
de surveillance informatique
Rationalisation Respect
Maîtrise de Gestion
du système des lois et
l’externalisation des risques
d’information règlements
15
Organisation du système d’information et de sa sécurité
programmes de grande ampleur et, ii) une d’information et à sa sécurité, les dirigeants
approche annuelle pour définir le budget exécutifs ont besoin de s’appuyer sur des
de l’année à venir, constitué à la fois de la responsables informatiques et leurs équipes,
quote-part des grands programmes sur l’an- que l’on désigne dans ce document par les
née considérée et des projets de taille plus mots « fonction informatique » et « fonction
modeste, mais jugés prioritaires. Il importe sécurité de l’information ». La bonne orga-
que tous les acteurs concernés soient associés nisation du système d’information peut être
au processus et que les arbitrages ultimes altérée si ces rôles et responsabilités ne
soient opérés par la direction générale. sont pas clairement désignés et répartis,
mais aussi si les profils des responsables
Suivi des dépenses insuffisant ne sont pas adaptés et les moyens alloués
sont insuffisants.
Le suivi et la maîtrise des coûts informatiques
sont des éléments d’optimisation de la renta- Rôles et responsabilités mal définis,
bilité de l’établissement, nécessaires pour mal répartis ou mal communiqués
informer les instances dirigeantes de l’avan-
cement et des dépassements des projets et Une répartition claire des attributions de
pour procéder aux ajustements nécessaires. chaque responsable est de nature à faciliter
une prise en charge efficiente des activités
Une maîtrise des budgets repose sur un suivi et éviter les blocages. Comme ils l’ont fait
des dépenses global, normalement exercé précédemment pour d’autres domaines de
par la fonction financière, et un suivi par l’activité de la banque et de l’assurance
programme et par projet, tant sur une base (fonction risque, fonction conformité), les
annuelle par rapport à l’enveloppe allouée superviseurs attendent désormais de plus
sur l’exercice que sur une base pluriannuelle en plus de pouvoir dialoguer avec des res-
par rapport à l’enveloppe globale initialement ponsables informatiques disposant d’une
affectée, le cas échéant ajustée depuis le autorité pleine et entière sur leurs sujets.
démarrage du programme ou projet. Il importe
que les éventuels dépassements budgétaires Ainsi, la fonction informatique doit pouvoir
soient justifiés et validés par la direction géné- assurer un pilotage global du système d’in-
rale au-delà d’un certain seuil, ou soient com- formation de l’établissement. Habituellement,
pensés par des arbitrages. L’homogénéité des la DSI rassemble les équipes de dévelop-
dispositifs de pilotage des dépenses, de vali- pement et de maintenance des applications,
dation des dépassements, d’arbitrage et d’in- ainsi que l’exploitation des infrastructures
formation des instances exécutive et de systèmes et réseaux. Mais, dans certains
supervision est garantie par l’existence d’un cas, les métiers ou les fonctions support
cadre procédural précis et actualisé. disposent de leurs propres équipes de déve-
loppement et de maintenance, voire de
4 Rôles et responsabilités production, constituées elles-mêmes en DSI.
des fonctions informatique Il importe alors qu’il y ait un responsable
et sécurité de l’information de la fonction informatique au sens large,
c’est-à-dire de l’ensemble des équipes,
Tout en exerçant pleinement leur responsa- qu’elles soient au sein de la DSI centrale
bilité sur les questions liées au système ou des métiers et fonctions. Ce responsable
a toute autorité sur les orientations straté- davantage être structurée selon le modèle
giques de l’ensemble de la fonction infor- des trois « lignes de défense » prôné par les
matique, sur le budget global, sur les textes internationaux.
normes et procédures destinées à assurer
la bonne gestion et la maîtrise des risques Ainsi, les établissements devraient disposer
du système d’information. Il convient que d’équipes en charge de la sécurité des sys-
le responsable de la fonction informatique tèmes d’information au sein de la fonction
soit positionné à un niveau suffisamment informatique (1re ligne de défense), ayant à
élevé dans l’organigramme, idéalement identifier les risques et définir en conséquence
avec un rattachement direct aux instances des procédures de sécurité, puis à en vérifier
dirigeantes afin que les sujets informatiques la mise en œuvre. Ils devraient également
soient correctement pris en compte au sein disposer au sein de la 2e ligne de défense,
de l’établissement. dans la fonction de gestion des risques, d’une
équipe chargée de la sécurité de l’information
La fonction de sécurité de l’information doit afin de proposer aux dirigeants effectifs un
également être clairement identifiée et dis- niveau de tolérance acceptable à ces risques
poser d’une autorité pleine et entière. Confiée pour l’établissement, ainsi qu’une stratégie
à un responsable de la sécurité des systèmes et des politiques de sécurité pour respecter
d’information (RSSI), elle consistait initiale- cette tolérance, et de contrôler les vérifications
ment à définir la politique de sécurité de effectuées par la 1re ligne de défense.
l’information, à sensibiliser les équipes à la Disposant de l’indépendance et de la capa-
sécurité et contribuait à la maîtrise des cité à s’exprimer devant les instances diri-
risques, par exemple par la conduite d’études geantes, le responsable de la fonction de
de sécurité ou la réalisation de contrôles de gestion des risques devrait pouvoir alerter
deuxième niveau. Dans ses contrôles, l’ACPR celles-ci en cas de situation de risque excep-
a pu observer que cette fonction était souvent tionnel. Il devrait aussi pouvoir délivrer ses
intégrée à la fonction informatique, alors avis de façon indépendante et prépondérante
qu’il est préférable qu’elle en soit indépen- vis-à-vis de la fonction informatique et des
dante pour pouvoir donner des avis sur la métiers. Ces deux lignes de défense sont
sécurité informatique en toute objectivité, l’objet d’un contrôle périodique par l’audit,
ainsi que pour alerter les instances diri- disposant d’équipes spécialisées, agissant
geantes en cas de risque élevé. De même, comme « 3e ligne de défense ». Une telle
les contrôles de l’ACPR ont montré que le organisation gagnerait à être appliquée à
RSSI n’avait pas toujours un positionnement l’ensemble des risques informatiques tels que
hiérarchique suffisamment élevé pour lui décrits dans ce document.
donner l’autorité suffisante et la capacité à
être entendu directement par les instances Profils inadaptés ou insuffisants
dirigeantes de l’établissement. Or, l’intensi-
fication des risques cyberrend cruciale Le choix par les dirigeants exécutifs des prin-
l’alerte rapide des dirigeants et la fonction cipaux responsables au sein des fonctions
devrait être positionnée à un niveau hiérar- informatique et de sécurité informatique est
chique élevé. L’ACPR considère que plutôt crucial pour la bonne organisation du système
que de reposer sur une responsabilité unique, d’information. Ces fonctions doivent égale-
la fonction de sécurité de l’information devrait ment disposer d’effectifs en nombre suffisant
ingénieurs systèmes n’est pas suffisamment d’œuvre qu’ils n’ont pas, les activités infor-
cadrée par des normes de conception, matiques sont souvent confiées à des pres-
de développement et de production, voire tataires, qui peuvent appartenir au même
aussi de sécurité. Ces normes visent à groupe que l’établissement, ou être des
unifier les pratiques et à interd ire le sociétés tierces. Des risques de maîtrise
recours à des solutions non approuvées insuffisante des activités externalisées
au sein de l’établissement. Il en existe existent si le cadre contractuel est mal défini,
pour les différents domaines d’activité : si la dépendance vis-à-vis du fournisseur
le développement d’applications, la pro- n’est pas maîtrisée, si les niveaux de service
duction et la mise en œuvre des solutions attendus ne sont pas rigoureusement suivis
réseaux. Pour jouer pleinement leur rôle, et si les changements de fournisseurs ne
ces normes doivent être unifiées par la sont pas correctement anticipés pour activer
fonction informatique centrale de façon les dispositifs de réversibilité contractuels.
à éviter des pratiques hétérogènes ou
incohérentes entre les différentes entités Cadre contractuel inadapté
composant la fonction informatique (par
exemple entre les DSI de différentes filiales Un cadre contractuel inadapté, c’est-à-dire
au sein d’un groupe). inexistant, incomplet ou invalide, déséqui-
libré ou imprécis, peut mettre l’établissement
Défaut de maîtrise de l’obsolescence en situation de ne pouvoir obtenir la pres-
tation attendue, et donc peut-être altérer le
Les technologies informatiques évoluent bon fonctionnement ou la sécurité de son
vite et doivent constamment être mises système d’information.
à jour pour éviter de faire courir le risque
que le système d’information ne soit plus Les instances dirigeantes valident les projets
maintenu. Cette contrainte est très forte importants d’externalisation en s’appuyant
car elle requiert une attention élevée aux sur les avis des différentes fonctions de
changements fréquents de versions de contrôle, y compris de la fonction de sécurité
logiciels et de systèmes employés, ce qui informatique. Le contrat et ses documents
suppose par exemple une gestion atten- liés font référence pour définir les droits et
tive d’inventaire. Plus fondamentalement, obligations de l’établissement et du presta-
elle doit conduire les établissements à taire. Il est naturellement requis, même en
renouveler régulièrement les applications cas d’externalisation au sein du même
qui utilisent des langages de program- groupe. Il importe que le contrat détaille la
mation anciens qui ne seraient plus nature de la prestation, les niveaux de ser-
connus des développeurs. Les contraintes vice attendus, les contrôles permanents à
de sécurité peuvent également justifier effectuer, les modalités de traitement des
de mettre à jour régulièrement les tech- incidents et de continuité d’activité, les
nologies utilisées. besoins en matière de sécurité informatique,
les conditions de réversibilité du contrat,
6 Maîtrise de l’externalisation ainsi que les rôles et responsabilités des
contractants, les interlocuteurs en charge
Parce que les établissements peuvent avoir du suivi courant de la prestation, les ins-
besoin d’un savoir-faire ou d’une main tances de pilotage de la relation et la nature
des informations devant faire l’objet d’une aux règles relatives à la protection des don-
information régulière de l’établissement. La nées). La maîtrise du risque de dépendance
sous-traitance en chaîne doit être connue, vis-à-vis d’un ou de plusieurs fournisseurs
voire autorisée, par l’établissement qui doit suppose la mise en place d’un pilotage
s’assurer qu’elle ne crée pas de risque. consolidé des contrats négociés avec les
En outre, ce dernier s’assure que le contrat fournisseurs et l’implication de la direction
inclut un droit d’audit de la prestation, et générale dans la validation des activités
le cas échéant d’accès au site, et décrit les externalisées au-delà de seuils de dépen-
dispositions réglementaires qui s’imposent dance à définir. Il convient également que
au prestataire. Ce droit d’audit ne doit pas la politique d’externalisation détaille les
être contraint par des clauses restrictives conditions d’externalisation (rôles et respon-
(long préavis, limitations diverses). Le contrat sabilités, processus de recherche et de sélec-
doit prévoir également ce droit pour les tion d’un prestataire, cadre contractuel,
autorités de supervision de l’établissement. modalités de pilotage de la prestation).
Des clauses types, validées par les services
juridiques de l’établissement, peuvent uti- Suivi insuffisant du respect
lement être établies pour permettre à l’éta- des niveaux de service
blissement de toujours disposer de contrats
conformes à la réglementation sur l’exter- Les niveaux de service correspondent à
nalisation et préservant de manière équili- des engagements contractuels du presta-
brée ses intérêts. taire vis-à-vis de l’établissement concernant
la qualité et la sécurité des services infor-
Dépendance forte matiques. S’ils ne sont pas fixés ou si les
niveaux de performance attendus sont trop
Lorsqu’un prestataire devient prépondérant bas, l’établissement ne sera pas en mesure
par l’importance des activités informatiques d’exiger une prestation de bon niveau.
qu’il prend en charge pour un établissement,
ce dernier peut avoir des difficultés à impo- Il est donc essentiel que les niveaux de
ser ses conditions, même en cas de dégra- service soient définis contractuellement et
dation de la prestation. L’externalisation à fassent l’objet d’un suivi permanent par
des prestataires situés à l’étranger, surtout une équipe dédiée de l’établissement,
hors du territoire européen, peut exposer tant via l’analyse des tableaux de bord
un établissement à un environnement juri- mis en place en accord avec le fournisseur
dique mal maîtrisé. que par le traitement des événements
enregistrés, qui donnent le cas échéant
L’élaboration d’une politique d’externalisa- lieu à la définition de plans d’action. Ce
tion, soumise à la validation des instances dispositif est plus efficace lorsque des
dirigeantes, permet de définir les activités comités de pilotage conjoints entre l’éta-
que l’établissement accepte d’externaliser blissement et le fournisseur permettent de
et celles dont la sensibilité justifie un maintien veiller à la qualité de la prestation fournie.
en interne. Cette politique doit mesurer les Il est souhaitable que le comité de pilotage
risques juridiques liés à l’externalisation soit présidé par un responsable dont le
dans des juridictions étrangères, surtout niveau hiérarchique est défini en fonction
hors Union européenne (par exemple quant de la sensibilité de l’activité externalisée.
Pour les activités les plus sensibles, il peut donc être réalisées par les informaticiens
être utile que cette instance soit présidée de manière autonome et sans considération
par le responsable de la fonction infor- de l’environnement juridique auquel est
matique, voire par la direction générale. soumis l’établissement. En effet, celui-ci
En complément, la tenue de comités tech- risquerait d’être en situation d’infraction au
niques à un niveau hiérarchique suffisant droit applicable à ses activités, ce qui est
peut s’avérer utile. Enfin, il est nécessaire inacceptable et peut en outre être très pré-
d’instaurer un processus d’escalade judiciable à ses relations avec la clientèle.
auprès de la fonction informatique ou de La conformité du système d’information peut
la direction générale en cas de dégrada- être altérée si l’expression des besoins des
tion de la qualité de service ou de la métiers ne respecte pas le droit applicable,
relation d’affaires. ou si les développements informatiques ne
respectent pas les préconisations juridiques
Dispositif de réversibilité insuffisant demandées par les métiers, ou encore si
les normes ou les techniques de production
Le changement de fournisseur dans le ne permettent pas de respecter le
domaine informatique est relativement droit applicable.
complexe puisqu’il nécessite le plus souvent
la reprise de l’existant, la garantie de Non-conformité des besoins des métiers
continuité d’activité pour les utilisateurs au droit applicable
avec des niveaux de service équivalents
et la reprise de l’archivage sur une Les utilisateurs ont la responsabilité de
période longue. définir leurs besoins en termes de sys-
tème d’information. S’ils ne veillent pas
Il importe donc que ce processus soit cor- à se conformer aux prescriptions juri-
rectement anticipé, en tenant compte des diques applicables à leur activité, l’ex-
contraintes budgétaires, en respectant le pression de leurs besoins pourra
calendrier d’activation de la clause de comporter des éléments non conformes
réversibilité avec le fournisseur sortant et qui seront ensuite mis en œuvre dans le
en définissant avec précision les travaux système d’information et placeront l’éta-
à mener. Certains seront repris par un blissement dans une situation de
nouveau fournisseur, ou par l’établissement non-conformité juridique.
en cas d’internalisation de la prestation,
tandis que d’autres devront faire l’objet La prévention d’un tel risque suppose
d’un traitement spécifique, par exemple que la méthodologie de conduite de
sous la forme d’un projet à budgéter projet intègre une phase de vérification
et planifier. de la conformité de l’expression des
besoins des métiers aux prescriptions
7 Respect des lois et règlements juridiques qui s’imposent à l’établisse-
ment, ainsi qu’à ses procédures internes
Comme toute entreprise, les établissements lorsqu’elles sont par exemple plus strictes.
doivent se conformer au droit régissant leur La direction juridique est normalement
activité. En termes d’organisation, les solu- consultée pour donner son accord aux
tions informatiques qu’ils utilisent ne peuvent besoins formulés.
Il est essentiel que l’établissement identifie Une analyse des risques informatiques,
et définisse une cotation de ses risques y compris ceux relatifs à la sécurité, doit
informatiques inhérents et résiduels, tant normalement précéder l’adoption de
au sein des métiers que des fonctions nouveaux produits, l’engagement de
support, y compris la direction informatique. nouvelles activités, tout projet informatique,
Il apparaît nécessaire que ce recensement ou encore le recours à des prestations
porte sur l’ensemble des actifs physiques externalisées. Celle-ci est cruciale pour
(centres informatiques, bureaux, agences, éviter à l’établissement de s’engager dans
etc.) et logiques (banque en ligne ou sur une situation non maîtrisée. Cette analyse
smartphone, cloud, etc.), des activités concourt à la bonne information des
(métier ou support), des publics (salariés, instances dirigeantes afin d’éclairer leur
clients, prestataires, partenaires) et des prise de décision. Pratiquée habituellement
outils (applications, réseaux, etc.), et soit sur les sujets liés à la sécurité des systèmes
cohérent avec l’appétit au risque de d’information, l’analyse de risque a
l’établissement validé par les instances vocation à s’appliquer à l’ensemble des
dirigeantes. Il est important d’inclure dans sujets de risque informatique tels que les
cette cartographie les liens possibles avec reconnaît l’ACPR.
les clients, prestataires et partenaires pour
tenir compte des risques de contagion d’un En complément des analyses éventuelles
évènement de risque. L’élaboration d’une faites par la fonction informatique, il importe
cartographie des processus des métiers et que la fonction de gestion des risques
des fonctions support constitue un préalable formule un avis préalable avant l’adoption,
à l’identification et l’actualisation au moins par les métiers utilisateurs ou par la fonction
annuelle de ces risques. Il importe que la informatique, de nouveaux produits, projets
cartographie des processus et des risques, ou activités impliquant le système
idéalement informatisée pour en faciliter d’information. Agissant pour la maîtrise
la mise à jour, la consolidation et des risques informatiques, y compris ceux
l’exploitation, s’accompagne de la relatifs à la sécurité du système d’information,
définition de mesures de réduction des la fonction de gestion des risques délivre
risques, qu’elles soient organisationnelles, un avis indépendant. Celui-ci doit avoir une
techniques ou reposent sur des contrôles. valeur suffisamment contraignante pour
En complément, il convient d’identifier les pouvoir éviter l’engagement dans des
risques de nature transversale et de les situations porteuses d’un niveau de risque
élevé pour l’établissement, sa clientèle ou des contrôles afin d’en faciliter le suivi et
ses partenaires. Un processus d’arbitrage l’information des instances dirigeantes.
par les instances dirigeantes doit pouvoir
être actionné en cas de désaccord du métier Recensement et gestion insuffisants
ou de la fonction informatique sur l’avis des incidents de risque opérationnel
remis par les fonctions de contrôle. Les
conditions formulées par ces fonctions de Le suivi des incidents de risque opérationnel
contrôle sont tracées à des fins de suivies sert à mesurer les pertes d’un établissement
et leur levée procède d’un examen attentif et à mettre en place des mesures palliatives.
des mesures de réduction de risque mises Les incidents informatiques ont vocation à
en œuvre. être recensés à ce titre s’ils rentrent dans
les critères de définition du risque opéra-
Dispositif de contrôle permanent insuffisant tionnel 24. Si les incidents informatiques,
y compris de sécurité, ne sont pas inclus
Un dispositif de contrôle permanent com- dans le suivi du risque opérationnel, celui-ci
portant deux niveaux indépendants de sera évalué de manière incomplète. Ceci
contrôle est destiné à éviter des situations pourrait altérer la qualité des mesures de
de risque. Ce contrôle permanent a vocation réduction du risque et fausser le montant
à englober les différents processus de mise des fonds propres retenus pour y faire face.
en œuvre et de gestion du système d’infor-
mation pour éviter que ceux-ci fassent l’objet Ainsi, il est attendu d’intégrer dans la base
de défaillances qui ne seraient pas détectées des incidents opérationnels tous les incidents
à temps. informatiques qui en respectent les critères.
Si besoin, un seuil de déclaration des inci-
Il importe que le contrôle permanent des dents peut être défini, mais il importe qu’il
risques informatiques, y compris de sécu- soit suffisamment bas pour pouvoir recenser
rité de l’information, s’insère dans le plan les incidents significatifs. Le recensement
de contrôle permanent de l’entreprise. agrégé d’incidents similaires multiples de
Ce plan doit couvrir l’ensemble des faible ampleur est une bonne pratique per-
risques identifiés et être actualisé pério- mettant d’identifier et de corriger certains
diquement. Le contrôle de premier niveau dysfonctionnements avant la survenance
est assuré par les opérationnels de la d’un incident majeur. De plus, il importe
fonction informatique constituant la « pre- que ces incidents donnent lieu à des plans
mière ligne de défense ». Le contrôle de d’action et qu’une information sur les inci-
deuxième niveau est réalisé par des dents les plus significatifs et les plans d’ac-
équipes de la fonction de gestion des tion associés soit adressée régulièrement
risques, indépendantes de la fonction aux instances dirigeantes.
informatique, constituant la « deuxième
ligne de défense ». La périodicité des Dispositif de contrôle périodique insuffisant
contrôles, a minima annuelle, est adaptée
24 Générer un gain ou une perte au niveau de risque. Des plans d’action Le contrôle périodique de l’établissement
financière, matérialisé(e) ou non
(manque à gagner, quasi-perte), sont initiés pour pallier les insuffisances agit comme troisième niveau de contrôle
ou non financière (par exemple,
jours/hommes consacrés au relevées lors des contrôles. Un outil sur l’ensemble des processus mis en œuvre.
rétablissement du service après
une panne informatique). recense le plan de contrôles et les résultats S’il n’inclut pas complètement les processus
relatifs au système d’information, les ins- soit dans le cadre de missions générales,
tances dirigeantes pourraient ne pas dis- soit à l’occasion de missions dédiées.
poser d’informations indépendantes sur Il convient également que les constats
l’état des risques et des mesures de remé- donnent lieu à l’émission de recomman-
diation mises en œuvre en la matière. dations suivies de plans d’action, dont les
plus critiques sont validés et suivis par la
Il est donc essentiel que les risques infor- direction générale. Les instances diri-
matiques, y compris en matière de sécurité geantes doivent disposer des informations
de l’information, soient couverts par le suffisantes, régulièrement actualisées, sur
plan d’audit de l’établissement et traités les risques informatiques évalués par le
par des auditeurs spécifiquement formés, contrôle périodique.
C
ette partie traite des risques portant le fait de rendre le service attendu par
sur le macro-processus « fonction- les utilisateurs, notamment en termes de
nement du système d’informa- qualité, de fiabilité et de disponibilité.
tion », qui comprend l’ensemble des actions Les mêmes enjeux s’appliquent aux
d’utilisation et d’exploitation du système en actions de « change », pour lesquelles
place, mais aussi les actions d’évolution le risque est de ne pas réussir à fournir
pour des nouveaux services ou équipements correctement les services attendus. Une
(projets), ou plus simplement pour des cor- attention particulière est également appor-
rections ou des changements modérés tée depuis quelques années à la qualité
(maintenance corrective et évolutive). La des données.
conduite opérationnelle des services exis-
tants est parfois appelée « run » et la déli- Les paragraphes suivants expliquent les
vrance de nouveaux services (projet facteurs de risque principaux et secondaires
applicatif, installation d’infrastructures) susceptibles de créer des perturbations dans
parfois appelée « change ». les processus d’exploitation, de gestion de
la continuité, de gestion des changements
Dans l’ensemble de ces actions, c’est le et de qualité des données. Les principales
bon fonctionnement du système d’infor- mesures de maîtrise de ces risques sont
mation installé qui est en jeu, c’est-à-dire également indiquées.
FAIRE FONCTIONNER LE SI
Gestion
Gestion
Gestion des changements
de l’exploitation Qualité
de la continuité (projets,
(systèmes des données
d’exploitation évolutions,
et réseaux)
corrections)
29
Fonctionnement du système d’information
en charge de ces actions pour une meilleure d’inventaires des installations, des flux d’in-
capacité de réaction. Il est préférable que formations et des services critiques. La réso-
les outils de détection des erreurs soient ins- lution des incidents et problèmes est suivie
tallés à différents niveaux du système d’infor- par des comités chargés de surveiller la qua-
mation pour permettent d’identifier tous types lité du service. Elle fait l’objet de rapports
de dysfonctionnements techniques, avant synthétiques aux instances dirigeantes pour
même la survenance d’un incident. Ainsi, permettre la bonne mobilisation des équipes
repérer des temps de réponse anormalement et l’allocation de moyens suffisants.
longs permet d’anticiper une interruption du
système d’information. Les outils de détection Non-respect des niveaux de service
doivent couvrir l’ensemble des équipements
afin de garantir un pilotage exhaustif. Les niveaux de service définissent les attentes
des utilisateurs en termes de fonctionnement
Insuffisance dans la gestion du système d’information (plages d’ouverture,
des incidents et des problèmes délais d’interruption possible, rythme des
sauvegardes, passage en secours notamment).
Une fois détectés, les incidents 25 sont gérés Il en existe pour les conditions d’exploitation
afin de restaurer aussi vite que possible le et, plus largement, pour la performance glo-
bon fonctionnement du système d’informa- bale du service. Indépendamment de tout
tion et minimiser les interruptions de service. incident ou problème, ou même d’une mau-
Complémentaire à la gestion des incidents, vaise configuration du matériel, une mauvaise
la gestion des problèmes 26 consiste à dia- gestion de l’exploitation peut se caractériser
gnostiquer la cause d’incidents répétitifs ou par l’incapacité des administrateurs des sys-
difficiles à résoudre, à mettre en place les tèmes et réseaux à tenir les engagements
mesures pour éviter leur réapparition et à envers les utilisateurs.
minimiser l’incidence de ceux qui ne peuvent
être évités. L’efficacité de ces deux processus Les traitements d’exploitation des systèmes
est donc essentielle pour minimiser les et réseau sont normalement formalisés par
dégradations de service et la perte de des procédures opérationnelles permettant
confiance des utilisateurs. aux administrateurs des plates-formes de
suivre de manière rigoureuse les différentes
Ces processus gagnent à être formalisés par opérations en situation de service normal
des procédures opérationnelles. Les différentes et de service dégradé. Par ailleurs, il importe
étapes de traitement des incidents et des que les niveaux de service soient formalisés
problèmes, depuis leur identification à leur dans des conventions de service avec les
résolution, font appel à des équipes spécia- métiers utilisateurs. Celles-ci précisent les
lisées et sont tracées pour vérifier leur bon critères de suivi et le niveau de satisfaction
25 Au sens du référentiel ITIL achèvement. Un échelonnage selon le niveau attendu pour ces services, à la fois pour la
(Information Technology
Infrastructure Library), un de sensibilité permet d’affecter des priorités. qualité du service et sa disponibilité. La
incident est compris comme
« une interruption non prévue La gestion des problèmes est étroitement liée contractualisation des niveaux de service
d’un service des technologies de
l’information (TI) ou une à la gestion des incidents, avec des outils, attendus est utile pour mesurer l’atteinte des
réduction de la qualité d’un
service des TI ». des critères de catégorisation et de priorité besoins des utilisateurs. Des indicateurs
26 Au sens du référentiel ITIL, similaires. La résolution est généralement permettent de suivre les engagements et de
un problème est la cause
d’un incident. facilitée par l’existence de cartographies et prendre des actions de correction.
évaluent mal les conséquences, le dispositif (exprimés en RTO et RPO) doivent corres-
de gestion de la continuité risque de mal pondre aux DMIA et PDMA définis par eux.
répondre à une situation de panne imprévue, Les écarts qui résulteraient d’une incapacité
ce qui empêchera les utilisateurs de pouvoir connue des moyens de secours doivent être
continuer leur activité. portés à la connaissance des instances
dirigeantes pour un éventuel arbitrage sur
Pour s’en prémunir, il convient de réaliser les besoins utilisateurs ou l’allocation de
des analyses d’impact pour les métiers uti- moyens supplémentaires.
lisateurs (notamment sur les plans réglemen-
taire, juridique, commercial, financier ou Protection insuffisante des moyens
de réputation) selon différents scénarios de production et de secours
d’indisponibilité des locaux, des systèmes contre les accidents
d’information, du personnel, de l’énergie
et des télécommunications et des fournis- Les centres informatiques sont particulière-
seurs clés. Ces analyses d’impact permettent ment exposés aux accidents et détériorations
de définir la « durée maximale d’interruption pouvant affecter le matériel et ainsi provoquer
admissible » (DMIA) et la durée de « perte des perturbations pour le bon fonctionnement
de données maximale admissible » (PDMA). du système d’information. Ces sites sont très
Sur cette base, des objectifs sont fixés aux dépendants en électricité pour alimenter les
équipes de production en termes de délai matériels, et aussi en eau pour la climatisa-
maximal de reprise (« recovery time objec- tion. Toutes sortes d’accidents ou d’évène-
tive » – RTO) et de durée maximale admise ments naturels peuvent sévèrement les affecter
entre un incident et la date de sauvegarde (incendie, inondation, tremblement de terre,
des données la plus récente (« recovery écrasement d’un avion, pollution chimique,
point objective » – RPO). pollution électromagnétique, etc.).
dans les pièces dédiées au matériel électrique distances suffisantes entre environnement de
et aux serveurs de télécommunication. Il est production et environnement de secours.
également préférable de concevoir une poli- À cet égard, il importe tout particulièrement
tique globale de sécurité prévoyant par que le site de secours dispose d’approvi-
exemple d’éviter d’entreposer des matières sionnements électriques provenant d’une
inflammables comme des cartons dans les source de production différente de celle qui
salles de machines ou les locaux alentours. dessert le site principal et qu’il ne soit pas
exposé aux mêmes risques naturels que le
Insuffisance des dispositifs de continuité site principal (crue fluviale, proximité avec
un même aéroport ou site industria-
Conformément au plan de secours informa- lo-chimique, etc.). Si tel est le cas, un troi-
tique, l’établissement doit pouvoir basculer sième site est nécessaire pour permettre de
l’exploitation de son système d’information disposer de réelles capacités de production
sur une infrastructure de secours lorsque dans tous les scénarios d’indisponibilité.
son système principal est indisponible. S’il
a mal dimensionné ses équipements de Tests insuffisants
secours, il risque de ne pas pouvoir faire
fonctionner des applications dont il a pour- L’efficacité et la pertinence des plans de
tant besoin. Si ses sauvegardes sont trop continuité métiers et de secours informatique
anciennes, il risque de perdre beaucoup dépendent de tests de mise en œuvre suffi-
de données importantes. samment réguliers. Les tests des dispositifs
techniques et organisationnels permettent
C’est pourquoi les équipements des infra d’évaluer la solidité des solutions prévues,
structures de secours doivent être correcte- conformément aux niveaux de service validés
ment dimensionnés pour pouvoir faire par les utilisateurs.
fonctionner les applications et fonctionnalités
identifiées comme essentielles et critiques Il importe que les plans de continuité soient
par le plan de continuité. Ces infrastructures testés sur un périmètre exhaustif à l’aide
doivent être opérationnelles pour faciliter le d’une méthodologie éprouvée, donnant une
basculement de la production dans des délais assurance raisonnable sur leur qualité et leur
réduits correspondants aux exigences des efficacité, notamment quant au respect des
utilisateurs (RTO et RPO). Les sauvegardes exigences des utilisateurs. La pertinence des
doivent être suffisamment fréquentes et pro- tests de secours n’est démontrée que lorsque
tégées. Les bascules doivent pouvoir être ceux-ci incluent le basculement de la pro-
déclenchées, soit en totalité pour l’ensemble duction de l’environnement principal vers
du système d’information, soit par partie ou l’environnement de secours. Cet environne-
application. Si l’exploitation est répartie sur ment de secours doit ainsi être utilisé en
au moins deux sites fonctionnant en partage situation réelle par les équipes métiers pen-
de charge (mode « actif-actif »), il importe dant une période suffisamment significative
que chacun des sites puisse supporter la et sur un périmètre représentatif de leurs
charge totale de fonctionnement en cas d’in- activités critiques (notamment pour permettre
disponibilité d’un ou de plusieurs sites. le déroulement des travaux de fins de période
De plus, les désastres régionaux doivent être comme une fin de semaine ou de mois). Les
pris en compte, en particulier par des environnements de secours doivent permettre
une production alternée sur au moins un des Des politiques et procédures complètes et
sites de secours. Les résultats sont suivis au adaptées sont donc recommandées. Elles
niveau adéquat et font l’objet des mesures sont mises en œuvre par des équipes spé-
correctives nécessaires. cialisées et formées à cet effet au sein des
entités. Les différentes typologies de chan-
3 Gestion des changements gements sont définies, dont les changements
(projets, évolutions, corrections) standards et les changements urgents, pour
corriger les anomalies graves de fonction-
On appelle « changements » en informa- nement. La description des traitements dis-
tique l’ensemble des modifications effec- tingue les différentes phases, notamment
tuées sur un système, soit pour le corriger l’enregistrement, l’évaluation des impacts,
ou le faire évoluer (maintenance), soit la classification, la priorisation, les étapes
pour le changer ou le compléter (projet). de validation, la planification, les tests, les
Cela peut concerner les logiciels et les conditions de retour arrière. La gestion des
équipements. Il s’agit évidemment de pro- versions (« releases ») est également com-
cessus délicats puisque devant s’insérer prise dans ces processus.
dans une production existante. Une mau-
vaise gestion des changements entraîne Mauvaise organisation
des dysfonctionnements. En la matière, dans la conduite de projets
les facteurs de risques à prendre en
compte sont que les normes relatives à la La réussite des processus de gestion de chan-
gestion des changements soient inappro- gements, et tout particulièrement de conduite
priées, que les changements ou les projets de projet, dépend largement de la mise en
soient mal organisés ou gérés avec incom- œuvre d’une organisation solide et de la
pétence, que les exigences fonctionnelles compétence des équipes en charge.
et techniques soient mal prises en compte, L’utilisation d’une méthodologie de travail
que les nouveaux éléments soient insuffi- aide également à encadrer le processus. Le
samment testés, ou encore que le chan- défaut de maîtrise des travaux peut conduire
gement soit mal exécuté. à des retards ou des surcoûts, voire à une
réduction des fonctionnalités attendues.
Insuffisance dans la définition
ou l’application des normes relatives Il convient notamment de définir clairement
à la gestion des changements les rôles et les responsabilités de chacun des
participants pour disposer d’une organisation
Étant un processus délicat, la gestion des solide. Des comités assurant le suivi des tra-
changements est habituellement un proces- vaux et favorisant la coordination des acteurs
sus normé par des politiques et des procé- facilitent le suivi des délais, des coûts et de
dures opérationnelles. De telles politiques la qualité ainsi que la prise de décision. Les
prévoient par exemple que les mises en projets importants sont suivis par un sponsor
production sont regroupées en lot plutôt chargé de veiller à leur bon déroulement.
qu’exécutées unitairement. Une mise en Un dispositif de communication auprès des
production qui ne serait pas correctement différents acteurs réduit les incompréhensions
normée serait plus exposée au risque de qui peuvent être source d’erreurs ou de
mauvaises manipulations. retards. L’utilisation d’une méthodologie de
conduite de projets est bénéfique car elle Défaut dans les logiciels
permet de garantir le bon enchaînement des
différentes étapes de réalisation après véri- Les logiciels utilisés par l’établissement ne
fication de la qualité des livrables. Enfin, le doivent évidemment pas souffrir de défauts
choix des collaborateurs est crucial et il de fonctionnement qui altéreraient la fiabilité
convient de vérifier leur compétence pour des informations produites, ou ralentiraient
l’exercice des différentes tâches. et compliqueraient la gestion des processus.
Cela est bien sûr applicable aux applica-
Mauvaise prise en compte tions développées spécifiquement pour
des exigences fonctionnelles et techniques l’établissement et aux logiciels de marché.
Cela s’applique aussi aux développements
Les applications et logiciels doivent informatiques qui pourraient être réalisés
répondre aux besoins des utilisateurs. par les utilisateurs (« shadow IT »), surtout
Ceux-ci doivent donc être formellement quand ceux-ci sont utilisés pour produire
exprimés pour être correctement pris en des informations de gestion importantes.
compte. Par ailleurs, il existe aussi des
exigences techniques imposées par les Des recettes fonctionnelles et techniques
prescriptions de sécurité, de production sont destinées à vérifier l’adéquation des
ou d’exploitation réseau. Il est également applications et logiciels. Il importe qu’elles
possible de faire travailler les utilisateurs soient exhaustives et formalisées, ainsi
et les développeurs informatiques de façon qu’elles donnent lieu à des comptes rendus
rapprochée et interactive pour une bonne partagés entre les parties prenantes. Des
prise en compte des besoins (ex : méthode actions correctives sont mises en place si
de développement « agile »). Cela s’ap- des anomalies importantes sont détectées.
plique aussi aux développements informa- Les anomalies mineures peuvent être décla-
tiques qui pourraient être réalisés par les rées non-bloquantes pour le démarrage et
utilisateurs (« shadow IT »), surtout quand faire l’objet de corrections ultérieures.
ceux-ci sont utilisés pour produire des infor-
mations de gestion importantes. Insuffisance des tests
Il convient de suivre une méthodologie par- Les tests permettent de s’assurer de la confor-
tagée par l’ensemble des parties prenantes mité des changements avec les besoins
pour recueillir et valider les exigences fonc- validés, aussi bien en termes fonctionnels
tionnelles formulées par les utilisateurs. Les que techniques.
exigences techniques qui imposent des
contraintes à la prise en compte des besoins Des tests de non-régression sont systé-
fonctionnels doivent être connues des utili- matiquement réalisés à l’occasion de
sateurs et admises par eux. Les exigences changements pour éviter les effets de
techniques propres à l’exploitation des sys- bord non désirés. Un environnement de
tèmes et réseaux doivent être prises en pré-production, très similaire à celui de
compte par les administrateurs techniques production, permet de vérifier l’adéqua-
au plus tôt dans la conception et la réali- tion des nouveaux composants (fonction-
sation de nouveaux équipements. nalités, performance).
Défauts dans l’exécution des changements Ainsi, la mauvaise qualité des données peut
être particulièrement dommageable, à la
La mise en production des changements est fois pour la conduite de l’activité si l’établis-
tout particulièrement délicate car si elle n’est sement n’utilise pas des données fiables, et
pas correctement réalisée, elle peut causer pour le suivi des risques si les indicateurs en
des perturbations sur le système en place, la matière sont erronés. La qualité des don-
avec potentiellement des conséquences très nées peut être en défaut lorsque la norma-
dommageables lorsqu’il est difficile de faire lisation des données et des référentiels est
un retour-arrière. insuffisante, ou lorsque le système d’infor-
mation utilise ou produit des données erro-
Il importe donc de suivre un processus de nées. Un défaut de contrôle peut encore
mise en production très rigoureux. Ainsi, la expliquer un problème de qualité
planification des déploiements logiciels et des données.
matériels s’appuie sur des procédures forma-
lisées qui visent à garantir un niveau satisfai- Insuffisance de normalisation
sant de disponibilité. Ces procédures incluent des données
des méthodes de retour-arrière en cas de
défaut. Un calendrier de changement est Les systèmes d’information des établisse-
normalement mis en œuvre avec l’objectif de ments des secteurs de la banque et de l’as-
les regrouper sur des périodes où le personnel surance sont souvent composés de multiples
expérimenté est présent et en dehors des applications. Si elles ont été conçues à des
périodes normales de services (week-end par périodes différentes et pour des besoins
exemple). Le cas échéant, des experts qualifiés chaque fois nouveaux, les notions qu’elles
sont mobilisables en astreinte et des respon- utilisent (« emprunteur », « assuré » par
sables sont joignables en cas d’anomalie. exemple) peuvent ne pas toujours être défi-
nies de la même manière, de sorte qu’il est
4 Qualité des données difficile de les comparer ou de les agréger.
Normalement, les notions les plus utilisées
Une des exigences primordiales qui s’impose sont gérées sous forme de « référentiels »
à un système d’information est que ses don- uniques, pour l’usage commun des diffé-
nées soient justes, c’est-à-dire qu’elles cor- rentes composantes de l’établissement. De
respondent aux données attendues en entrée même, une démarche de « normalisation »
et/ou que leurs transformations tout au long des données consiste à rapprocher et même
des calculs réalisés par le système d’infor- unifier lorsque c’est possible, les définitions
mation ne créent pas d’erreurs. Cela s’im- de notions similaires utilisées dans l’en-
pose tout particulièrement aux systèmes semble du système d’information. Si l’éta-
d’information des établissements des secteurs blissement ne recourt pas à des référentiels
de la banque et de l’assurance qui tiennent pour ses données les plus partagées, ou
notamment des données personnelles et des s’il n’a pas engagé de démarche de nor-
avoirs financiers. L’exigence prend égale- malisation, ses différentes composantes de
ment de l’importance concernant les données son système d’information risquent d’utiliser
de calcul des risques, qui sont utilisées par des données non comparables ni cumu-
les instances dirigeantes pour piloter l’activité lables, au détriment d’une vision consolidée
et par les superviseurs pour la surveiller. de son activité et de ses risques.
C
ette partie traite des risques pouvant comme cela a été fait ci-dessus, et de recen-
affecter le macro-processus « sécu- trer celui de « sécurité du système d’infor-
rité du système d’information », qui mation » sur la prévention et la réaction
rassemble les différentes actions de préven- face aux attaques malveillantes, y compris
tion et de réaction destinées à contrecarrer lorsqu’elles bénéficient de négligences.
les atteintes à la sécurité. Il est habituel de
présenter ces atteintes comme étant celles Les préconisations liées à la sécurité ne
faites à la disponibilité, à l’intégrité, à la doivent pas être lues en isolation de celles
confidentialité, et à la preuve ou à la traça- présentées précédemment en matière d’or-
bilité des données et des opérations. ganisation et de gouvernance.
SÉCURISER LE SI
39
Sécurité du système d’information
facilitant une intrusion, l’identification des visuels pouvant révéler la finalité et l’ap-
actifs informatiques (c’est-à-dire les différents partenance des locaux. Leur accès est
biens qui constituent le système d’informa- aussi limité à un nombre réduit de per-
tion comme les équipements matériels, les sonnes afin de limiter les risques. Des
logiciels et les données), la protection de procédures strictes encadrent les condi-
ces actifs, la détection des attaques, ou tions d’accès aux installations, y compris
encore la réaction à ces attaques. pour les prestataires en charge de la
maintenance des équipements. Ces pro-
1 Protection physique cédures restreignent les accès aux seules
des installations personnes dûment annoncées, identifiées
et accréditées. La protection des locaux
La protection des bâtiments contre l’intru- repose généralement sur des dispositifs
sion malveillante a pris un tour plus impor- de protection périmétrique (clôtures, bar-
tant ces dernières années pour tenir compte rières, sas d’entrée, contrôle par
de nouveaux types d’attaques, soit vio- badge, etc.) et de détection d’intrusion
lentes, soit discrètes. Une intrusion dans (vidéo-sur veillance, alarmes, etc.).
les locaux peut conduire au vol et à la Ces équipements doivent être régulière-
destruction d’actifs physiques, voire à faci- ment testés et maintenus en capacité. Des
liter une intrusion logique dans le système mesures de contrôle d’accès différenciées
d’information en permettant l’introduction par zone complètent utilement le dispositif
de programmes malveillants (« malwares ») à l’intérieur de l’enceinte en restreignant
qui peuvent espionner, saboter ou substi- l’accès aux locaux selon le besoin reconnu,
tuer des informations appartenant à l’ins- appelé « besoin d’en connaître », des
titution, à ses clients ou à ses partenaires. personnels. Les dispositifs de sécurité sont
De telles intrusions sont possibles si les synchronisés pour permettre la corrélation
mesures de protection des bâtiments ou d’évènements. Les journaux d’évènements
d’accès aux équipements informatiques de ces dispositifs sont conservés pendant
sont insuffisantes. une durée suffisante pour pouvoir mener
à bien toutes les investigations utiles.
Protections insuffisantes
contre l’intrusion dans les bâtiments Protections insuffisantes
des équipements informatiques
Des mesures de protection sont cruciales
pour les locaux hébergeant les infrastructures Les mesures de protection du matériel com-
systèmes et réseaux (centres informatiques). plètent celles destinées à empêcher les
Elles peuvent également être nécessaires intrusions. Les actifs physiques critiques,
pour les locaux commerciaux ou adminis- tels que les serveurs, les consoles d’admi-
tratifs qui, même s’ils ne présentent pas la nistration, les équipements réseaux, les
même criticité, hébergent néanmoins les équipements électriques, les clés, etc.,
postes de travail, les accès réseaux et la requièrent une protection renforcée par
documentation de l’établissement. des dispositifs de sécurité complémentaires
et spécifiques (ex : cage autour des ser-
Il est préférable de ne pas identifier les veurs, fermeture des baies, vidéo-surveil-
centres informatiques par des signes lance spécifique).
plus isolément. Il est de bonne pratique compléter par d’autres mesures, notamment
désormais de les multiplier à différents de détection à l’intérieur du système.
niveaux du système d’information (par
exemple en filtrant les communications non Il est donc attendu que des dispositifs assu-
seulement à l’entrée mais aussi plus avant rant la sécurité périmétrique du système
dans le système) de façon à ralentir la pro- d’information soient mis en œuvre pour
gression d’un attaquant. C’est le concept empêcher toute tentative d’accès illégitime
de « défense en profondeur ». Si la protec- au système d’information, ou à tout le moins
tion logique des actifs est insuffisante, le aux applications et données identifiées
risque est qu’un attaquant puisse pénétrer comme sensibles. Des mécanismes de fil-
dans le système d’information et le com- trage du trafic réseau (pare-feu par exemple),
promettre. Cela peut être en raison de comportant des règles d’analyse et de blo-
défaillances dans les dispositifs de sécurité cage sont déployés, et les actifs les plus
périmétrique, de protection contre les logi- sensibles sont logiquement isolés au sein
ciels malveillants, de gestion des identités du système d’information, ou même coupés
et des droits d’accès, d’authentification des de celui-ci. L’efficacité des dispositifs de
collaborateurs, de protection de l’intégrité protection périmétrique est régulièrement
et de la confidentialité des systèmes et don- réévaluée et adaptée.
nées, de protection de leur disponibilité,
de gestion des correctifs de sécurité, de Défaillances dans les dispositifs de protection
revue de la sécurité, de sécurisation des contre les logiciels malveillants
solutions externalisées ou de sensibilisation
à la sécurité des systèmes d’information. Les logiciels malveillants sont le plus souvent
le vecteur des cyberattaques. Ils peuvent
Défaillances dans les dispositifs servir à capter des informations pouvant
de sécurité périmétrique faciliter une intrusion future (collecte d’in-
formations techniques, organisationnelles
La sécurité périmétrique consiste à protéger ou procédurales), compromettre l’intégrité
le système d’information vis-à-vis de l’exté- des systèmes ou données (défiguration de
rieur ou à isoler des zones internes. Comme sites, chiffrement de données suivi d’une
il existe de nombreuses communications demande de rançon), perturber la dispo-
avec des contreparties externes, la sécurité nibilité des applications (sabotage), ou plus
périmétrique va consister à rassembler les directement pour dérober des informations
flux de communication sur un nombre limité confidentielles (espionnage). Si l’établisse-
de points de passage, puis à filtrer et ana- ment ne met pas en œuvre des mesures de
lyser les flux entrants et sortants pour en protection contre ces logiciels, la sécurité
vérifier le contenu. Ces dernières années, de son système d’information peut être gra-
cette protection a pu être décriée au motif vement compromise.
qu’elle devenait quasiment impossible face
à la multiplication des canaux et flux Il importe donc de déployer des dispositifs
d’échange. Pourtant, la sécurité périmé- anti-malwares sur l’ensemble des équipe-
trique reste un atout primordial pour une ments matériels, voire logiciels : passerelles
protection efficace du système d’informa- de messagerie (analyse des pièces-jointes,
tion, même s’il convient par ailleurs de la détection de fichiers exécutables), passerelles
actifs accédés soient en place. Des moyens systèmes ou applicatifs, il est d’usage de
d’authentification à double facteur et/ou limiter strictement les droits d’exécution de
dynamiques sont à privilégier pour l’accès logiciels sur les machines – serveurs et
aux actifs les plus critiques. Le cas échéant, postes de travail – et de faire une prise
des règles de complexité des secrets d’au- d’empreinte des fichiers « clés » des ser-
thentification choisis par les collaborateurs veurs. De plus, une manière de réduire le
sont normées et adaptées à leur fonction. risque de compromission d’un matériel
Le respect de ces règles est régulièrement consiste à réduire au strict nécessaire les
contrôlé. L’attribution de facteurs d’authen- logiciels qui l’équipent ainsi que ses fonc-
tification temporaires est formellement enca- tionnalités. Cette technique appelée « dur-
drée et sécurisée (changement du mot de cissement » permet de réduire
passe à la première connexion par exemple). mécaniquement le nombre de failles logi-
Lorsqu’ils sont statiques, les facteurs d’au- cielles qui pourraient être exploitées par
thentification (mots de passe, tokens, etc.) un attaquant. Concernant les données, mais
doivent être renouvelés périodiquement. aussi les applications qui les utilisent, la
Tout accès au système d’information réalisé protection contre toute tentative d’altération
hors des locaux fait normalement l’objet de peut recouvrir plusieurs formes distinctes.
procédures d’authentification renforcées Il est ainsi préférable que les applications
(collaborateur ou prestataire externe). Les soient conçues de manière sécurisée en
secrets d’authentification doivent enfin être incluant des contrôles automatiques pour
correctement protégés. la création, la modification et la suppression
des données sensibles. De même, les appli-
Défaillances dans les dispositifs cations peuvent être organisées de façon
de protection de l’intégrité à comporter une double validation (principe
des systèmes et des données des « quatre-yeux ») pour les opérations
importantes (validation d’un paiement par
Des mesures de protection de l’intégrité des exemple). Lors du transport et du stockage
systèmes et des données sont nécessaires des données, leur intégrité peut être proté-
pour empêcher qu’un attaquant puisse réa- gée par des mécanismes techniques et
liser des modifications des composants du applicatifs de « scellement » permettant de
système d’information qui en altéreraient vérifier qu’elles n’ont pas été altérées. Le
son bon fonctionnement (y compris sa fia- sceau est classiquement calculé par une
bilité) ou sa sécurité. Il pourrait s’agir par fonction dite de « hachage » après ajout
exemple de modification des configurations éventuel d’un « sel » pour éviter les attaques
d’un système, ou de ses droits d’accès, afin par « dictionnaire » (« rainbow tables »).
de réaliser une attaque. Il pourrait aussi Ces mécanismes, s’ils sont mis en œuvre,
s’agir d’une modification de données au doivent toutefois être conformes aux recom-
profit de l’attaquant, ou encore un chiffre- mandations en vigueur de l’ANSSI 27 pour
ment en vue de demander une rançon. être pleinement efficaces et sûrs. Enfin, et
de façon spécifique aux services offerts par
Pour renforcer la sécurité des systèmes et une entité sur Internet, des mécanismes de
27 Voir annexe B1 du Référentiel pouvoir détecter toute altération de confi- protection spécifiques au risque de défigu-
Général de Sécurité de l’ANSSI
(https://www.ssi.gouv.fr/entreprise/ guration, qu’il s’agisse de l’ajout d’un pro- ration – « web defacement » – peuvent être
reglementation/confiance-numerique/
le-referentiel-general-de-securite-rgs/). gramme ou de la modification de paramètres appliqués aux sites Internet.
Défaillances dans les dispositifs plus sensibles doivent être protégées tout
de protection de la confidentialité au long de leur cycle de vie : lors de la
des données saisie et de l’affichage (en étant par exemple
masquées partiellement ou en totalité), mais
Les mesures de protection de la confiden- aussi lors du stockage et du transport (en
tialité des données, qu’elles soient relatives étant chiffrées). Il peut également être per-
aux applications (base de données des tinent de chiffrer de bout en bout les com-
clients par exemple) ou aux matériels (don- munications réseau, c’est-à-dire à la fois
nées de configuration par exemple), visent sur les réseaux publics et les réseaux internes
à empêcher une prise de connaissance (entre applications). Dans tous les cas, les
illégitime (lecture) ou un vol (copie). Dans différents mécanismes cryptographiques
les deux cas, les conséquences peuvent être mis en œuvre doivent, là encore, être
désastreuses pour l’établissement, notam- conformes aux recommandations en vigueur
ment aux plans juridique (manquement aux de l’ANSSI pour être totalement efficaces
obligations réglementaires) et financier et sûrs.
(réparation des dommages, sanction), ainsi
qu’en termes de réputation. Le matériel hébergeant les données ou
permettant un accès à ces données doit
Pour éviter toute divulgation ou vol de don- lui aussi être protégé. C’est notamment
nées, il convient de protéger les données le cas des dispositifs nomades (ordina-
de production et de limiter leur dissémina- teurs) et mobiles (téléphones, tablettes)
tion sur d’autres environnements. Ainsi, les qui peuvent se voir appliquer des mesures
environnements de production peuvent être spécifiques telles que le chiffrement des
ségrégués ou isolés logiquement des autres supports internes de stockage ou, quand
environnements pour réduire tout accès c’est possible, la mise en place d’un mot
incontrôlé depuis un environnement de de passe pouvant empêcher le démarrage
développement ou de test, généralement du matériel et l’accès à son contenu. De
moins protégé. De façon similaire, les don- façon plus générale, en fin de cycle de
nées accessibles depuis les environnements vie, une bonne pratique est d’avoir des
de tests ou de développement peuvent être procédures de mise au rebut des équipe-
rendues anonymes ou, mieux encore, être ments qui consistent à détruire logique-
purement fictives pour réduire tout risque ment et/ou physiquement toute information
de divulgation de données réelles. Pour en mémoire. Enfin, au niveau applicatif,
minimiser les risques d’accès aux données les applications disponibles publiquement
à des tiers non autorisés, la possibilité de (applications et services Internet, appli-
consulter ou de manipuler des données de cations mobiles, etc.) peuvent utilement
production doit être encadrée et les accès bénéficier de mesures visant à empêcher
tracés. Cette mesure concerne notamment toute tentative de rétro-ingénierie. Cette
les prestataires tels que les hébergeurs, pratique vise à récupérer sous une forme
info-gérants, éditeurs de solutions logicielles, exploitable le code source d’un logiciel
qui peuvent disposer de droits étendus sur dans le but de le contrefaire (atteinte à
les environnements de production sans que la propriété intellectuelle) ou d’en com-
l’entité ne sache précisément qui a accès prendre le fonctionnement (par exemple
à ses données. Par ailleurs, les données les pour ensuite l’attaquer).
Pour s’en prémunir, des actions de sensibi- d’information (particulièrement les pare-feux,
lisation sont souhaitables. Elles complètent les routeurs réseau, les sondes de détection,
les procédures en vigueur en informant sur mais aussi les systèmes de production) qui
les risques et en diffusant les bonnes pra- sont utilisés pour surveiller ces équipements.
tiques en matière d’utilisation et de protection Cette surveillance permet de repérer des
du système d’information. Des campagnes intrusions ou simplement des tentatives d’in-
de formation spécifiques aux collaborateurs trusion dans le système d’information et ainsi
disposant de privilèges élevés (administra- d’alerter le plus tôt possible.
teurs) ou exerçant des fonctions sensibles
(développeurs) sont régulièrement organisées Les bonnes pratiques, notamment à des fins
par ailleurs. Les actions de sensibilisation de cybersécurité, requièrent aujourd’hui de
sont, dans la mesure du possible, étendues disposer d’outils automatiques de recueil et
aux collaborateurs externes, partenaires et d’analyse de traces ainsi que d’une équipe
clients. L’efficacité de chaque action conduite de surveillance pour les exploiter (telle un
est évaluée et ajustée si nécessaire. « Security Operating Centre » – SOC), idéa-
lement mobilisée 24 heures sur 24 et 7 jours
4 Détection des attaques sur 7, toute l’année. Ces systèmes de type
SIEM couvrent au mieux la totalité du système
La sécurité ne peut plus reposer uniquement d’information, ou du moins ses éléments
sur des mesures de protection. La survenance communiquant avec Internet et ses compo-
de cyberattaques « silencieuses » 31 montre sants classés comme sensibles. Les traces
à quel point les attaquants peuvent réussir à recueillies sont horodatées, archivées, et
s’introduire de manière discrète dans un sys- protégées contre toute tentative de modifi-
tème d’information pour en comprendre l’or- cation. Les alertes les plus graves sont prises
ganisation et causer des dommages sérieux. en charge par une équipe de veille, qui se
La protection peut donc ne pas suffire et doit tient en permanence informée des nouvelles
se doubler d’une détection. Cette détection modalités d’attaque ou failles exploitées 33.
comporte habituellement deux grands axes. L’organisation en place permet le partage
L’un consiste à collecter et analyser les évé- d’informations sur les incidents rencontrés
nements (« traces ») enregistrés par les maté- par les différentes unités internes. Des
riels, et l’autre consiste à repérer des échanges avec les établissements pairs et
comportements anormaux d’utilisateurs. les autorités sont également institués.
En l’absence de tels outils de détection, ou
lorsque ceux-ci sont incomplets, l’établissement Défaillances dans les dispositifs
risque de ne pas détecter ni bloquer des intru- de surveillance des comportements
sions dans son système d’information. anormaux des utilisateurs
C’est pourquoi, il importe que des procé- et les réseaux à déconnecter. Ces équipes
dures de gestion de crise adaptées au risque s’appuient en cas de besoin sur une exper-
cyberexistent et soient régulièrement testées tise externe complémentaire et contra
et ajustées. Ces procédures couvrent les ctualisée. Idéalement, ces équipes sont
différents scénarios de cyberattaques et leurs capables de mettre en place des leurres
conséquences en disponibilité, confidentia- pour détourner l’attention ou affaiblir l’at-
lité, intégrité et traçabilité. Elles prévoient taquant durant les opérations de sécurisa-
des actions coordonnées avec les parties tion du système d’information.
prenantes externes (partenaires, clients) et,
le cas échéant, les autorités compétentes. Défaillances dans les dispositifs
Elles incluent un volet communication de reprise des opérations
(médias, partenaires, clients) et information
(instances dirigeantes, superviseurs). Le rétablissement du système d’information
consiste à le remettre en ser vice.
Défaillances dans les dispositifs Généralement, cette démarche est progres-
de contingentement des attaques sive. Les opérations peuvent d’ailleurs, le
cas échéant, être réalisées par des procé-
Le contingentement des attaques consiste dures manuelles dégradées le temps de
à en stopper la propagation, y compris à l’attaque, c’est-à-dire sans recourir à l’in-
des tiers, puis d’éradiquer les vecteurs d’at- formatique. Lorsque les vecteurs d’attaque
taque comme les malwares utilisés par sont éradiqués, une reprise partielle du
l’attaquant. Cette démarche est un préalable système d’information est possible, en uti-
à la reprise des opérations afin d’éviter une lisant les composants non-atteints. Ensuite,
propagation incontrôlée de l’attaque. l’intégrité du système est reconstruite pour
permettre un fonctionnement plein et normal
Des équipes opérationnelles et dédiées sont du système d’information.
en charge de la réponse aux incidents,
telles les Computer Security Incident Le rétablissement du système d’information
Response Team – CSIRT. Elles ont la respon- affecté par une attaque repose sur des procé-
sabilité d’endiguer les attaques et d’en dures préparées à l’avance, régulièrement
éradiquer les effets. Elles disposent de l’ex- testées et revues. Ces procédures permettent
pertise et de l’autorité requises pour, le cas de prioriser les actions de reprise et de garantir
échéant, identifier les applications à arrêter l’intégrité des systèmes et données restaurés.
Rôles et responsabilités
de la fonction informatique • Rôles et responsabilités mal définis, mal répartis ou mal communiqués
et de la fonction de sécurité • Profils inadaptés ou insuffisants
informatique inadéquats
51
Annexe
Insuffisance dans la protection • Protections insuffisantes contre l’intrusion dans les bâtiments
physique des installations • Protection insuffisante des équipements informatiques
Défaillances dans :
Défaut d’identification des actifs • l’inventaire des actifs
• la classification des actifs