Document de réflexion sur le risque informatique

L’émergence des cyberattaques ces dernières années a accru les préoccupations liées au risque informatique. Ces préoccupations ne sont pas propres aux secteurs de la banque et de l’assurance, mais elles ont une résonance particulière en ce qui les
concerne. En effet, ces secteurs représentent un maillon essentiel pour le bon fonctionnement de l’économie et la protection des intérêts du public.

Pour répondre à ces préoccupations, les autorités de supervision renforcent progressivement leur action. Des instances internationales élaborent de nouvelles règles en matière de risque informatique et les autorités, comme l’ACPR, agissant notamment dans le cadre du mécanisme européen de supervision unique bancaire, renforcent leurs contrôles.

Ce document de réflexion souligne que la maîtrise du risque informatique n’est plus seulement un sujet propre aux équipes informatiques mais qu’elle s’inscrit dans la démarche générale de contrôle et de maîtrise des risques pilotée par la fonction de
gestion des risques. Le cadre de référence de gestion du risque opérationnel a donc vocation à être précisé pour mieux inscrire le risque informatique, dans toutes ses dimensions, au sein des catégories reconnues de risque opérationnel. Dans cette
organisation, les instances dirigeantes sont directement impliquées, à la fois pour la mise en cohérence de la stratégie informatique et de l’appétit au risque, mais aussi pour la mise en oeuvre et le suivi d’un cadre de maîtrise des risques.

Forts de leur expérience de contrôle, les services de l’ACPR ont élaboré une définition et une catégorisation du risque informatique, afin d’en couvrir les différentes dimensions et de pouvoir le traiter dans sa globalité. Cette catégorisation peut servir aux établissements placés sous son contrôle pour élaborer ou renforcer leur propre cartographie. Cette catégorisation couvre les trois grands processus de mise en oeuvre et de gestion du système d’information, c’est-à-dire à la fois ce qui a trait à l’organisation de celui-ci, ce qui concerne son bon fonctionnement, et aussi sa sécurité. Pour chacun de ces grands processus, le document de réflexion indique une série de facteurs de risque, élaborée sur deux niveaux pour permettre une analyse assez fine. Pour chaque facteur de risque, sont indiquées les principales mesures de réduction et de maîtrise des risques attendues.

Ces mesures sont indicatives et les établissements peuvent les adapter à leur contexte. Elles illustrent les meilleures pratiques habituellement constatées par les services de l’ACPR et visent à constituer un socle commun de maîtrise du risque informatique dans les secteurs de la banque et de l’assurance.

Download the PDF version of this document

publication
Document de réflexion sur le risque informatique
  • Published on 03/30/2018
  • FR
  • PDF (1.16 MB)
Download (FR)
Document de réflexion sur le risque informatique
Dossier

Updated on: 03/30/2018 12:39