L'ACPR a publié un document de réflexion sur le risque informatique dans la banque et l'assurance. Les professionnels sont appelés à faire part de leurs observations et de leurs commentaires pour nourrir ce document.
L'ACPR est partie d'un constat. « L’émergence des cyberattaques ces dernières années a accru les préoccupations liées au risque informatique. Ces préoccupations ne sont pas propres aux secteurs de la banque et de l’assurance, mais elles ont une résonance particulière en ce qui les concerne. […] Pour répondre à ces préoccupations, les autorités de supervision renforcent progressivement leur action », indique le régulateur en introduction de son document de réflexion.
Ce dernier a pour ambition, notamment, de communiquer sur les enjeux de la sécurité informatique dans les secteurs de la banque et de l'assurance. En premier lieu, selon l'ACPR, le sujet n'est plus l'apanage des DSI. Il implique également la gestion des risques et au-delà concerne les instances dirigeantes comme grandes ordonnatrices de la stratégie à mettre en œuvre.
Définition et catégorisation des facteurs de risque
La réflexion de l'ACPR s'appuie sur la définition et la catégorisation des risques informatiques. Ces derniers correspondraient ainsi « au risque de perte résultant d’une organisation inadéquate, d’un défaut de fonctionnement, ou d’une insuffisante sécurité du système d’information, entendu comme l’ensemble des équipements systèmes et réseaux et des moyens humains destinés au traitement de l’information de l’institution ». Une définition large qui vise à dépasser le simple champ des cyberattaques et à « neutraliser les variations de vocabulaires » telles que système d'information, TIC...
Passer ce travail de définition l'autorité de contrôle s'est attachée à catégoriser les risques en trois items principaux qu'elle a baptisés macro-processus : « Organiser le SI et sa sécurité », « Faire fonctionner le SI », « Sécuriser le SI ». Pour chacun d'eux, elle définit les risques principaux de risques informatiques. Ils sont au nombre de 17 répartis dans les 3 macro-processus. Un troisième niveau liste les facteurs secondaires de risque informatique. L'ACPR en dénombre 62 répartis dans les 17 facteurs principaux.
Le document de réflexion publié sur le site du régulateur est ponctué de 12 questions destinées aux professionnels du secteur de l'assurance et de la banque. Il s'agit par exemple de déterminer si les facteurs de risques pour chaque macro-processus sont bien identifiés. Et si non, en proposer de nouveaux.
La consultation est ouverte jusqu'au 15 juin prochain.
À voir aussi
J.P Faugère : "Garantir la sécurité des échanges de données"
François Villeroy de Galhau : "Simplifier n’est pas déréguler"
Devoir de conseil : L’ACPR publie une recommandation