Document de réflexion sur le risque informatique (version finale)
L’émergence des cyberattaques ces dernières années a accru les préoccupations liées au risque informatique. Ces préoccupations ne sont pas propres aux secteurs de la banque et de l’assurance, mais elles ont une résonnance particulière en ce qui les concerne. En effet, ces secteurs représentent un maillon essentiel pour le bon fonctionnement de l’économie et la protection des intérêts du public.
Pour répondre à ces préoccupations, les autorités de supervision renforcent progressivement leur action. Des instances internationales élaborent de nouvelles règles en matière de risque informatique et les autorités, comme l’ACPR, agissant notamment dans le cadre du mécanisme européen de supervision unique bancaire, renforcent leurs contrôles.
Ce document de réflexion souligne que la maîtrise du risque informatique n’est plus seulement un sujet propre aux équipes informatiques mais qu’elle s’inscrit dans la démarche générale de contrôle et de maîtrise des risques pilotée par la fonction de gestion des risques. Le cadre de référence de gestion du risque opérationnel a donc vocation à être précisé pour mieux inscrire le risque informatique, dans toutes ses dimensions, au sein des catégories reconnues de risque opérationnel. Dans cette organisation, les instances dirigeantes sont directement impliquées, à la fois pour la mise en cohérence de la stratégie informatique et de l’appétit au risque, mais aussi pour la mise en œuvre et le suivi d’un cadre de maîtrise des risques.
Forts de leur expérience de contrôle, les services de l’ACPR ont élaboré une définition et une catégorisation du risque informatique, afin d’en couvrir les différentes dimensions et de pouvoir le traiter dans sa globalité. Cette catégorisation peut servir aux établissements placés sous son contrôle pour élaborer ou renforcer leur propre cartographie. Cette catégorisation couvre les trois grands processus de mise en œuvre et de gestion du système d’information, c’est-à-dire à la fois ce qui a trait à l’organisation de celui-ci, ce qui concerne son bon fonctionnement, et aussi sa sécurité. Pour chacun de ces grands processus, le document de réflexion indique une série de facteurs de risque, élaborée sur deux niveaux pour permettre une analyse assez fine. Pour chaque facteur de risque, sont indiquées les principales mesures de réduction et de maîtrise des risques attendues. Ces mesures sont indicatives et les établissements peuvent les adapter à leur contexte. Elles illustrent les meilleures pratiques habituellement constatées par les services de l’ACPR et visent à constituer un socle commun de maîtrise du risque informatique dans les secteurs de la banque et de l’assurance.
Télécharger le document de réflexion
Mise à jour le 28 Février 2025