contrôle des systèmes d'information
TRANSCRIPT
Banque de France - Autorité de Contrôle Prudentiel
Introduction
27/11/2012
Fabrice Pesin, Secrétaire général adjoint de l’ACP
3
Sommaire
1ère partie : le contrôle des systèmes d’information par l’ACP : objectifs, modalités, retour d’expérience.
2ème partie : les grands enjeux en banque et en assurance (complexité des environnements, sophistication des attaques, nouvelles exigences de Solvabilité 2…)
27/11/2012
4
Vidéo : Méthodologie du contrôle de l’ACP
27/11/2012
5
1. Le contrôle sur place des systèmes d’information bancaires : objectifs, modalités, enseignements Marc Andries, Inspecteur de la Banque de France et Chef de mission à l’ ACP
2. Le contrôle sur place des systèmes d’information en assurance : stratégie du contrôle et premier retour d’expérience
Conférence animée par Fabrice Pesin, secrétaire général adjoint de l’ACP
1ère partie : le contrôle des systèmes d’information par l’ACP : objectifs, modalités, retour d’expérience.
27/11/2012
6
1. Organisation
2. Objectifs
3. Modalités de réalisation
4. Principaux enseignements
Les contrôles informatiques dans le secteur de la banque
Sommaire
27/11/2012
7
1. Organisation
La Délégation au contrôle sur place dans le secteur de la banque (EC, EI, EP, changeurs) dispose d’un pôle spécialisé sur les contrôles informatiques depuis 1996
Équipe d’une dizaine de contrôleurs informaticiens
Parcours de formation spécifique
Certification professionnelle (notamment CISA : Certified Information Systems Auditor délivré par l’I.S.A.C.A)
Corpus méthodologique de contrôle (référentiels)
Utilisation d’outils spécifiques pour l’analyse de fichiers
Intégration dans les équipes de contrôle sur place
Enquêtes générales ou spécifiques
27/11/2012
8
2. Objectifs
Pourquoi des contrôles informatiques ?
Quels sont les risques informatiques ?
L’intégration dans les risques opérationnels
27/11/2012
9
2.1 Pourquoi des contrôles informatiques ?
La banque 1980
La banque 2010
27/11/2012
10
2.1 Pourquoi des contrôles informatiques ?
L’informatique, outil du contrôle Capacité d’analyse des informations bancaires (vérification de la
comptabilité, piste d’audit) Analyse de fichiers, de bases de données, indispensable à la vérification
du respect des obligations légales et réglementaires (cf. LCB-FT) Importance de disposer d’outils d’analyse puissants
L’informatique, sujet de contrôle Développement des systèmes d’information bancaire pour tous les
processus : comptabilité, opérations, mesure et contrôle des risques, reporting prudentiel Forte complexité et hétérogénéité des environnements (systèmes,
réseaux, postes de travail) La sécurité et le bon fonctionnement des systèmes d’information sont
devenus essentiels (cf. livre blanc sur la sécurité des SI – 1996 ; livre blanc « Internet, quelles conséquences prudentielles – 2001) : lutte contre la fraude, plans de continuité informatique, PCA… Prise en compte de ces problématiques dans la notion de risque
opérationnel avec Bâle 2 (2003)
27/11/2012
11
2.2 Quels sont les risques informatiques ?
Malveillance Vol
Sabotage
Erreurs
Événements naturels Pannes et défaillances des
matériels Pertes de services essentiels
(électricité, télécoms …) Conception
Programmation Exploitation (manipulation,
paramétrage …)
Vol Sabotage Attaques logiques :
Accidents
27/11/2012
12
2.3 Ces risques sont inclus dans les risques opérationnels
Le risque opérationnel se définit comme le risque résultant d’une inadaptation ou d’une défaillance imputable à des procédures, personnels et systèmes internes ou à des événements extérieurs.
Cela implique d’identifier et de mesurer les risques potentiels et résiduels
Des mesures de réduction des risques informatiques doivent être adoptées et régulièrement révisées
Les incidents donnent lieu à reporting et évaluation, puis éventuellement à la révision des mesures de réduction des risques
FRAUDE INTERNE
PRATIQUE EN MATIERE D’EMPLOI ET DE
SECURITE DU TRAVAIL
FRAUDE EXTERNE
INTERRUPTION DE L’ACTIVITE ET
DYSFONCTIONNEMENT DES SYSTEMES
DOMMAGES OCCASIONNES AUX ACTIFS PHYSIQUES
7 CATEGORIES D’EVENEMENTS
CLIENTS, PRODUITS ET PRATIQUES
COMMERCIALES
EXECUTION, LIVRAISON ET GESTION DES PROCESSUS
20 SOUS-CATEGORIES
27/11/2012
13
3. Modalités de réalisation
La démarche de contrôle sur place dans le secteur de la banque
Les principaux thèmes de contrôle
Textes de référence
27/11/2012
14
3.1 La démarche de contrôle sur place dans le secteur de la banque
Les analyses de fichiers
Bases de données client, comptabilité, fichiers d’opérations sur comptes, listes de personnes soumises à vigilance dans le cadre de la LCB-FT…
Objectif : sélectionner et rapprocher de manière pertinente l’information pour préparer les contrôles (échantillonnage, rapprochements…)
Utilisation d’outils d’analyse
Les analyses relatives à la sécurité et au bon fonctionnement des SI
Description et analyse de tout ou partie d’un SI, appréciation de sa conception et de son bon fonctionnement
Qualité des données
Continuité d’activité
Maîtrise des prestations essentielles externalisées
Analyse de la gouvernance et du bon déroulement d’un projet
Analyse de sécurité (lutte contre la fraude, vérification des habilitations…)
Outil : corpus méthodologique de référence, construit sur des normes ISO
27/11/2012
15
3.2 Les principaux thèmes de contrôle Analyse du SI, de sa sécurité et de son bon fonctionnement
Maîtrise des prestations externalisées
Vérification de l’effectivité et de l’adéquation des plans de continuité d’activité
Contrôles LCB-FT
Validation des modèles Bâle 2 (vérification des modalités de rapprochement entre le système de gestion des informations comptables et le système de gestion des risques, ainsi que modalités de déversement dans le système de gestion des reportings)
Vérification des outils de suivi du risque opérationnel, des systèmes de reporting (COREP)
…
27/11/2012
16
3.3 Les textes de référence (1/5)
Réglementation bancaire
Soft regulation
Normes (bonnes pratiques)
27/11/2012
17
3.3 Les principales références réglementaires (2/5)
Qualité et auditabilité de l’information (article 5 CRBF 97-02) « Le système de contrôle des opérations et des procédures internes a
notamment pour objet (…) de : c) vérifier la qualité de l’information comptable et financière (…) ; d) vérifier les conditions d’évaluation, d’enregistrement, de conservation et
de disponibilité de cette information, notamment en garantissant l’existence de la piste d’audit au sens de l’article 12 ;
e) vérifier la qualité des systèmes d’information et de communication »
Sécurité, continuité, intégrité, confidentialité (article 14 CRBF 97-02) « Le niveau de sécurité des SI est périodiquement apprécié et, le cas
échéant, des actions correctrices sont entreprises » « Des procédures de secours informatique sont disponibles afin d’assurer
la continuité d’exploitation » « en toutes circonstances sont préservées l’intégrité et la confidentialité des
informations »
27/11/2012
18
3.3 Les principales références réglementaires (3/5) Continuité d’activité (y.c. ressources techniques)
(art. 14-1 CRBF 97-02)
LCB-FT (Code monétaire et financier, réglementation)
Maîtrise des prestations essentielles externalisées (articles 37-1 et suivants CRBF 97-02)
Qualité des données (Bâle 2) : (Art. 145 Arrêté du 20 février 2007)
« Les établissements assujettis mettent en place un système fiable pour valider l’exactitude et la cohérence des systèmes de notation, des procédés de notation ainsi que des estimations des paramètres de risque pertinents »
27/11/2012
19
3.3 Soft regulation (4/5)
Maîtrise de la sécurité : rapport « Lagarde » Huit éléments de contrôle interne Dont « la sécurité des systèmes informatiques et
la protection des codes d’accès »
Livres blancs de la Commission bancaire (ex : Sécurité des systèmes d’information,1996)
Analyses et commentaires de l’ACP (ou de la Banque de France)
27/11/2012
20
3.3 Les principales normes (5/5) ISO 27002, code de bonnes
pratiques pour la sécurité de l’information Guide de contrôle de la
sécurité
ISO/IEC 38500 Corporate Governance of information technology : Gouvernance du SI Maîtrise de la conduite de
projets
Guidelines BRI, IOSCO, IAIS on business continuity, 2006
27/11/2012
21
4. Principaux enseignements (1/2)
La maîtrise des risques informatiques touche à la fois :
La gestion courante Les changements liés aux
évolutions, notamment technologiques
27/11/2012
22
4. Principaux enseignements (2/2)
Culture, organisation : effet taille Continuité d’activité : généralisation des PSI, mais la
question de la localisation demeure
Principaux points d’attention :
Cartographie du SI, hétérogénéité des environnements Analyse des risques, implication des RSSI Qualité des données, notamment dans le contexte Bâle II Maîtrise des projets Maîtrise des prestations externalisées Paramétrage des outils de LCB/FT Maîtrise des habilitations Niveau de sécurité du web-banking et du web-trading
27/11/2012
23
1. Le contrôle sur place des systèmes d’information bancaires : objectifs, modalités, enseignements Marc Andries, Inspecteur de la Banque de France et Chef de mission à l’ ACP
2. Le contrôle sur place des systèmes d’information en
assurance : stratégie du contrôle et premier retour d’expérience Thierry Auran, Chef de service des contrôles sur place spécialisés (SCPS/DCST)
Frédéric Merilhou, Responsable de mission au SCPS
François Philippe, Responsable de mission au SCPS
1ère partie : le contrôle des systèmes d’information par l’ACP : objectifs, modalités, retour d’expérience.
27/11/2012
24
Sommaire
1. Le contrôle des systèmes d’information par l’ACP : pourquoi et comment Pourquoi Référentiel de contrôle Organisation des contrôles
2. Retour d’expérience sur 3 ans de contrôles
3. Conclusion
27/11/2012
25
1.1 Pourquoi
Pourquoi l’ACP contrôle-t-elle les systèmes d’information des organismes d’assurance ?
La qualité des données utilisées par l’assureur est essentielle à sa pérennité (évaluation des engagements, segmentation, tarification, solvabilité ...) et à la correcte appréciation du respect des règles prudentielles par l’Autorité.
Les crises financières et la nécessité d’accroître la régulation financière.
La qualité des informations fournies devient de plus en plus nécessaire.
L’importance stratégique des systèmes d’informations au sein des entreprises d’assurance.
27/11/2012
26
Les bases juridiques - régime prudentiel actuel (« solvabilité 1 »)
Dispositions sur le contrôle interne (R 336-1 et suivants du code des assurances, R 931-43 du code de la sécurité sociale, R 211-28 du code de la mutualité)
Piste d’Audit A 343-1 Code assurances, A 931-11-9 Code sécurité sociale, § 2.1.2 du règlement CRC n°2002-06 pour la mutualité.
Registres (sinistres/polices) Art. A.342-5 et A.342-6 Code Ass.
Informations sur les clients (lutte anti-blanchiment) et information relative à la protection de l’assuré (L132-22)
Autres dispositions réglementaires (informations pour les assurés, Lutte anti-blanchiment, informatique et libertés...) en vertu de l’art. L612-1 du Code monétaire et financier
1.2 Référentiel de contrôle
27/11/2012
27
1.3 Organisation des contrôles par l’ACP
Le pôle contrôle SI du SCPS au sein de l’une des 3 directions de contrôle des assurances (Direction des contrôles spécialisés et transversaux)
Des contrôles menés sur la base de lettres de mission spécifiques
Des objectifs différents de ceux d’un audit interne
Principaux types de contrôles SI
approche globale par les risques qualité des données support à la lutte anti-blanchiment …
27/11/2012
28
2. Retour d’expérience
Les principaux thèmes de contrôle
Gouvernance des systèmes d’information
Analyse des risques et contrôle interne
Gestion de la sécurité des systèmes d’information
Plan de continuité d’activité
Qualité des données
27/11/2012
29
2.1 Gouvernance des systèmes d’information (1/2)
La gouvernance du SI dépasse le strict périmètre de la DSI
La gouvernance du SI a pour objectif de mettre l’informatique au service de la stratégie de l’entreprise et en conformité avec la réglementation les principes d’organisation : rôle, comités, processus décisionnels,
politiques SI… les principales fonctions et les processus de la DSI
Extrait du R 336-1 du code des assurances 2°) b) « activités menées selon des politiques et stratégies établies par les
dirigeants et les procédures permettant de vérifier la conformité … » Ce domaine fondamental montre souvent des faiblesses :
gouvernance des projets, défaut d’urbanisme, périmètre de responsabilité mal défini
27/11/2012
30
2.1 Gouvernance des systèmes d’information (2/2)
La gouvernance des SI doit couvrir l’ensemble des fonctions suivantes
Stratégiques
Alignement du SI sur la stratégie de l’entreprise Urbanisation du SI qui facilite l’alignement du SI/métier Gestion du portefeuille projet Gestion des risques SI
Opérationnelles
Processus (gestion de projet, de l’exploitation, de la sécurité, de la maintenance, des achats...)
Pilotage des services IT internes et externalisés
Supports
Gestion de la performance des SI Contrôle interne des SI Gestion des compétences
27/11/2012
31
2.2 Gestion des risques et contrôle interne des systèmes d’information (1/2)
Le code des assurances prévoit un dispositif de contrôle
interne
Les risques SI doivent être définis au sein d’un référentiel validé par la gouvernance et régulièrement mis à jour
Définition des modalités d’identification et du processus d’évaluation des risques SI (probabilité de survenance, impact)
Définition de l’appétence (risk appetite) aux risques SI
Documentation de la cartographie des risques SI et du processus de mise à jour
27/11/2012
32
2.2 Gestion des risques et contrôle interne des systèmes d’information (2/2)
Les contrôles sur place en assurance ont décelé des points de vigilance particuliers : Absence de connexion entre les risques SI et les risques
« métiers »
Défaillance du processus continu de contrôle, de consolidation et de pilotage des résultats
Lacune de la culture du risque SI
27/11/2012
33
2.3 Gestion de la sécurité des systèmes d’information
La sécurité des SI a pour objectif de préserver la disponibilité, l’intégrité, la confidentialité et la traçabilité de l’information sous toutes ses formes. Les points relevés lors de nos contrôles sur place :
Une PSSI approuvée par la Direction Générale, déclinée et appliquée
Une analyse des risques, un recensement des actifs informationnels (informations qui ont une valeur pour l’entreprise)
Une organisation, des moyens humains et techniques Un plan de contrôle - mesurer régulièrement sa conformité et la
sécurité du SI (garder des traces formalisées) Les prestations externalisées
27/11/2012
34
2.4 Plan de continuité d’activité
Des exigences de continuité d’activité Les points relevés lors de nos contrôles sur place :
Le PCA ne relève pas de la DSI Faire valider l’analyse d’impact métier (au-delà de l’exemple
« grippe aviaire ») et une stratégie de reprise (RTO et RPO) par la direction générale
Documenter le PCA avec des documents accessibles en cas de réalisation d’un risque (plans de continuité métier, annuaire...)
Plans de tests métiers et informatiques Réévaluer régulièrement le plan
27/11/2012
35
Les contrôles sur la qualité des données conduits depuis 2010 montrent :
Des déficiences dans la gestion des habilitations, dans la traçabilité
Des bases de données comportant un pourcentage non négligeable de défauts
Des lacunes concernant la qualité des informations sur les assurés
Parfois, une absence de cloisonnement de certains environnements informatiques
Des possibilités de modifier les données sans laisser de trace
Des registres séquentiels non conformes
2.5 Qualité des données (régime prudentiel actuel)
27/11/2012
36
3. Conclusion Le contrôle SI de l’ACP porte sur les risques majeurs et sur la
qualité des informations prudentielles
Le contrôle de l’ACP attend des organismes d’assurance qu’ils aient mis en place une organisation et une démarche de maîtrise du SI.
Le contrôle porte aussi une attention particulière à la présence de documentation et de cartographies, d’utilisation de référentiels…
Il peut s’appuyer sur les rapports d’audit
27/11/2012
37
QUESTIONS
27/11/2012
38
PAUSE
27/11/2012
39
1. Impact de Solvabilité II sur le contrôle des systèmes d’information des organismes d’assurances de l’ACP
Thierry Auran, Chef de service des contrôles sur place spécialisés (SCPS/DCST)
Caroline Eraud, Cellule Modèles Internes (CMI/DCST)
2. Le contrôle sur place des systèmes d’information bancaires : enjeux et perspectives
Conférence animée par Frédéric Visnovsky, secrétaire général adjoint de l’ACP
2ème partie : les grands enjeux en banque et en assurance
27/11/2012
40
Vidéo : Les grands enjeux à venir
27/11/2012
41
Sommaire
1. Exigences prudentielles enrichies
2. Gouvernance et gestion des risques SI (Pilier II) 3. Préparation des bases de données pour le futur
régime (tous piliers) 4. Qualité des données sous Solvabilité II 5. Mise en pratique dans le cas des modèles internes
27/11/2012
42
1. Des exigences prudentielles enrichies
Bilan prudentiel - Evaluation des exigences de capital (SCR, MCR) - Qualité des données pour les PT (Directive 2009/138/EC art 48 - art 82 - Article 121)
Gouvernance et gestion des risques, contrôle et audit interne (Directive 2009/138/EC art 41 et suivants)
Système des gestion des risques et de contrôle interne Système de Gestion des risques opérationnels (art 44-e) ORSA (Own Risk and Solvency Assessment-art 45) Plan d’urgence (art 41)
Dispositions sur le Pilier 3 (art 35 et art 50)
27/11/2012
43
2. Le système de gouvernance et le système de gestion des risques Le système de gouvernance de Solvabilité II concerne l’ensemble du fonctionnement de l’organisme
En matière de risques SI, Solvabilité II identifie/formalise des systèmes/fonctions qui existent déjà dans nombre d’entreprises
91% des organismes disposent de cartographie des risques comme le montrent les réponses à l’enquête de préparation
En revanche, seulement 67% des organismes déclarent disposer d’un PCA (85% pour les sociétés anonymes contre 55% pour les mutuelles)
27/11/2012
44
3. Préparation des bases de données : un panorama contrasté
41 % des organismes n’ont pas établi de« mapping » entre les lignes du bilan prudentiel et les différentes sources d'information nécessaires à la production de celui-ci (15% pour les SA). Concernant la préparation des états prudentiels Solvabilité II, 56% des organismes n’ont pas commencé de retro planning identifiant les services fournisseurs d'information dans la perspective de la mise en production. 61% n’ont pas effectué de connexion entre la production des états et d'autres sources de données.
La préparation des bases des données sera un sujet de contrôle SI
27/11/2012
45
Des critères de qualité de données formalisés
Les critères de Solvabilité II : exhaustivité, pertinence et exactitude (Article 82 sur les provisions techniques – Art 121.3. modèle interne)
Traçabilité (art 77)
Appréciation de la qualité et la suffisance par la fonction actuarielle Extrait de l’Article 48 de la Directive
“Les entreprises d’assurance et de réassurance mettent en place une fonction actuarielle efficace afin de (..) apprécier la suffisance et la qualité des données utilisées dans le calcul des provisions techniques”
4. Qualité des données sous Solvabilité 2 (1/4)
27/11/2012
46
Gouvernance de la qualité des données (article 41 Directive)
Responsabilités
Dictionnaire des données
Des tableaux de bord sur la qualité de données Existence d’une gouvernance de données
4. Qualité des données sous Solvabilité 2 (2/4)
27/11/2012
47
Politique de qualité des données
Critères de qualité des données (étude)
Des seuils doivent être définis et revus régulièrement par l’entreprise.
Les cas de non-qualité doivent faire l’objet de plans d’action documentés.
Existence d’une politique des données
4. Qualité des données sous Solvabilité 2 (3/4)
27/11/2012
48
Le contrôle SI s’attache à analyser la cartographie applicative Dispositif de contrôle interne lié aux flux de données (article 46) Dispositif de contrôle interne lié à la gestion des systèmes des domaines audités
Vérification de la qualité des données lors des contrôles SI de l’ACP
Premiers constats effectués lors des contrôle SI :
Dictionnaires des données pas terminés ou incomplet
Absence de critères de qualité sur les données
Gestion de certains projets incomplète : absence de gestion de la sécurité des SI, absence de planification du mode permanent…
Externalisation de la production de données pas forcément maîtrisée
Absence d’une piste d’audit suffisante sur les transformations de données
4. Qualité des données sous Solvabilité 2 (4/4)
27/11/2012
49
L’ACP appréciera si les systèmes d’identification, de mesure, de contrôle, de gestion et de déclaration des risques de l’entreprise sont adéquats (art. 112-5) et qu’il existe des dispositifs garantissant que le MI fonctionne correctement de manière continue (art. 116). S’agissant de la qualité des données, seront distingués :
L’environnement de modélisation
L’environnement de production
5. Mise en pratique dans le cas des modèles internes (1/3)
27/11/2012
50
Environnement de modélisation : données utilisées pour le calibrage du modèle
Exigences réglementaires : les données utilisées aux fins du modèle interne sont exactes, exhaustives et appropriées. Les assureurs actualisent au moins une fois par an les séries de données (article 121-3)
Revue de la qualité statistique des données Revue du processus d’actualisation ou de contrôles annuels
Exemples : suffisance de la profondeur d’historique représentativité de l’échantillon
Zones de risque : intervention du jugement d’expert dans le choix et l’utilisation des données utilisées
Exemples : choix de la fenêtre d’observation retraitements des ruptures d’historique ou des valeurs aberrantes.
Mise en pratique dans le cas des modèles internes (2/3)
27/11/2012
51
Environnement de production du SCR : données de portefeuille utilisées en entrée de modèle pour le calcul du SCR (2)
Données de portefeuille déjà utilisées dans les chaines comptables
Revue de la qualité des contrôles mis en œuvre Revue des retraitements effectués pour la production du SCR
Exemples : construction des « model points » portefeuilles intégrés a posteriori
Zones à risque : données hors des chaînes comptables et des états
réglementaires
Exemples : Données d’exposition : sommes sous risque ; géocodage (cat nat) Informations qualitatives (personnalité morale ou physique en
épargne, sélection médicale…)
Mise en pratique dans le cas des modèles internes (3/3)
27/11/2012
52
Conclusion
La préparation du SI pour le régime Solvabilité II est un chantier lourd, souvent sous-estimé comme le montre l’enquête de préparation, notamment en matière de connexion avec les bases de données sources Les contrôles des SI effectués montrent une forte marge d’amélioration sur le dispositif lié à la qualité des données
27/11/2012
53
1. Impact de Solvabilité II sur le contrôle des systèmes d’information des organismes d’assurances de l’ACP
2. Le contrôle sur place des systèmes d’information bancaires : enjeux et perspectives Marc Andries, Inspecteur de la Banque de France et
Chef de mission à l’ ACP
2ème partie : les grands enjeux en banque et en assurance
27/11/2012
54
1. Maîtriser la complexité des environnements informatiques
2. Faire face à la sophistication des attaques
3. Les perspectives, cas pratique du cloud computing
Sommaire
27/11/2012
55
1. Maîtriser la complexité des SI
Gouvernance et maîtrise des SI Complexité des systèmes, des réseaux et des process, Manque de vision d’ensemble, Besoin d’urbanisation Contrôle des droits, notamment d’administration
Auditabilité et qualité des données
Maîtrise des prestations externalisées (outsourcing, offshoring)
Maîtrise des projets informatiques (évaluer les moyens informatiques et la capacité à développer une nouvelle activité)
Gestion des mises en production
Gestion des changements (cf. bug RBS en début d’année)
27/11/2012
56
2. Faire face à la sophistication des attaques Risques de fraude interne
Contrôle des habilitations, Traçabilité, Outils de détection
Risques de fraude externe, hausse de la cybercriminalité
Sécurité web banking, web trading, Phishing, malwares
Risques d’intrusion ou de blocage
Risques de détournement des données
Vol de données, dissémination Nécessité de renforcer la protection des données sensibles Maîtrise de la localisation des données et de leur accès (cf. cloud
computing)
27/11/2012
57
3. Cas pratique, le Cloud computing (1/2)
Service d’accès via le réseau, à la demande et en libre-service, à des ressources informatiques virtualisées et mutualisées, généralement facturées à l’usage.
Outsourcing de services de production, de développement, de stockage, de services logiciels
Plusieurs configurations : les clouds privés internes les clouds privés externes les clouds « publics » les clouds hybrides
Où sont localisées mes données ?
Qui peut y accéder ?
Comment puis-je en être sûr ?
Quelles sont les dispositions de droit local applicables à mes données ?
Comment puis-je contrôler mon prestataire ?
27/11/2012
58
3. Cas pratique, le Cloud computing (2/2) Prendre en compte les dispositions applicables
aux prestations essentielles externalisées (PSEE) Nécessité d’une analyse de risques prenant en
compte les caractéristiques d’une telle prestation
Importance du cadre contractuel : accès aux données, clauses d’audit, conditions de terminaison de la prestation…
Mesures de sécurité dédiées : chiffrement ?
27/11/2012
59
QUESTIONS
27/11/2012
Banque de France – Secrétariat général de la Commission bancaire Banque de France – Autorité de Contrôle Prudentiel 60
CONCLUSION
Frédéric Visnovsky,
Secrétaire général adjoint de l’ACP
27/11/2012