Sur la nécessité de traiter les systèmes d'informations comme un risque majeur
L’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a diffusé en mars dernier un document de réflexion à propos du risque informatique. Même si cette étude s’adresse en premier lieu aux établissements bancaires, elle intéressera toutes les organisations, quelque que soit leur domaine d’activités, eu égard l’importance des systèmes d’informations dans tout secteur, mais aussi et surtout compte tenu de la position et des propositions formulées par l’autorité de contrôle bancaire en matière de risque informatique. En effet, l’ACPR dépasse le cadre classique visant à considérer les systèmes d’informations comme une composante parmi d’autres en matière de risque opérationnel. Cette approche à l’évidence a vécu. Les systèmes d’informations sont à traiter aujourd’hui au même titre que les crédits, les opérations de marché, les activités opérationnelles, en matière de management des risques. Cette nouvelle configuration implique que les managers des risques, mais aussi les contrôleurs et les auditeurs internes, soient plus présents sur les domaines informatiques. Autrement dit que les systèmes d’informations ne soient plus la chasse gardée des informaticiens…
Des pistes pour la maîtrise et l'audit du risque informatique
L’étude de l’ACPR, même si celle-ci n’est pas définitive à ce jour, nous renseigne d’ores et déjà sur les points de maîtrise des risques et de contrôles à propos des systèmes d’informations. Le document intéressera donc autant les managers des risques que les contrôleurs et auditeurs internes pour mettre en œuvre une démarche méthodique et planifiée de revue de l’environnement et des outils informatiques. A partir de l’analyse de l’ACPR, l’approche retenue peut être articulée en trois points :
- la revue de l’organisation du système d’information et de sa sécurité : il s’agira de s’assurer que les organes de surveillance et de direction sont impliqués dans la maîtrise du risque informatique, qu’une stratégie informatique a été définie et actée en cohérence avec les orientations globales de l’organisation, qu’un pilotage budgétaire est mise en œuvre pour l’allocation des ressources, que les rôles et responsabilités de la fonction informatique sont clairement définis. En outre, l’ACPR recommande de veiller à ce que les développements des outils soient rationnalisés afin d’éviter que le système informatique ne devienne par trop dispersé suite aux ajouts et modifications successives. Ensuite, le recours à des prestataires est à encadrer, tant techniquement que juridiquement. La gestion du système d’information doit également être conforme aux dispositions légales auxquelles est soumise l’organisation. Sur ce point, on connaît l’importance du sujet en Europe avec la mise en application récente du Règlement Général sur la Protection des Données (RGPD). Enfin, comme présenté précédemment, le risque informatique est à traiter de façon distincte des seuls incidents opérationnels ;
- l’assurance que sont mis en place des dispositifs permettant un fonctionnement efficace du système d’informations, notamment en ce qui concerne l’exploitation des matériels et des réseaux, la gestion de la continuité d’activité grâce à un plan de secours informatique (PSI) régulièrement testé, l’établissement de process et d’une démarche collaborative entre les fonctions informatiques et les métiers afin de maintenir et faire évoluer les outils si nécessaire. La qualité des données conditionne également l’efficacité des systèmes et des outils, donc participe de la maîtrise du risque informatique ;
- le contrôle de la sécurité du système d’informations, laquelle doit s’appuyer sur un inventaire récurrent des actifs informatiques, sur une protection tant physique que logique des accès, sur la capacité de l’organisation à détecter des attaques de nature informatique et d’y répondre de façon appropriée et rapidement.
A découvrir également :
Laissez un commentaire ou contactez-moi :