LE GUIDE ULTIME

Recommandations de l’ABE sur les TIC et la gestion des risques de sécurité

L’objectif du rapport de l’Autorité bancaire européenne est de créer une cybersécurité améliorée en mettant en œuvre des réglementations plus strictes en matière d’externalisation des services.

Contexte des recommandations de l’ABE

L’objectif du rapport de l’Autorité bancaire européenne est de créer une cybersécurité améliorée en mettant en œuvre des réglementations plus strictes en matière d’externalisation des services. Ces nouvelles recommandations de l’ABE sur les TIC (technologies de l’information et de la communication) sont conçues pour tous les établissements financiers et couvrent tous les modes de paiement, y compris les monnaies électroniques.

Les recommandations sur les TIC ou celles de l’ABE affectent l’externalisation cloud et le déploiement dans la FinTech. Elles remplacent les Recommandations de l’Autorité bancaire européenne sur l’externalisation de 2006. Elles incluent également les recommandations de l’ABE relatives à l’externalisation.

Même si les entités couvertes sont définies dans les recommandations, vous trouverez également certains détails sur les procédures et les obligations spécifiques.

Tous les établissements financiers qui respectent les critères suivants sont obligés de suivre les recommandations sur les TIC, comme indiqué dans le rapport :

  • Tous les établissements au sein de la juridiction de l’ABE, y compris les organismes de crédit comme les banques
  • Les sociétés de placement selon la Directive (UE) 2013/36 IV, également appelée Capital Requirements Directive
  • Organismes et services de paiement
  • Organismes de monnaie électronique

Un nombre croissant d’entreprises, incluant maintenant la FinTech, sera confronté au défi de rester compétitif dans un marché en rapide évolution tout en respectant les recommandations.

Depuis le 30 septembre 2019, tous les établissements concernés par le rapport devront adhérer aux nouvelles règles.

Motifs des recommandations de l’ABE

Le niveau de complexité des technologies de l’information et de la communication ne cesse d’augmenter, tout comme le nombre d’attaques relatives à la sécurité. Et souvent, les infrastructures utilisées dans les systèmes de TIC qui permettent à un établissement financier de fonctionner sont interconnectées.

Une faille dans le système due à des cyber-incidents peut potentiellement causer l’effondrement complet d’une infrastructure vitale et avoir une incidence systémique ayant des effets dévastateurs sur l’ensemble d’un établissement ou, dans le pire des cas, sur le marché financier mondial.

Ce qui semble être un scénario catastrophe reste une possibilité et représente donc une menace réelle.

La réponse à cette menace a pris la forme des recommandations de l’ABE qui indiquent la manière dont les établissements financiers doivent répondre aux risques de sécurité et protéger leur infrastructure de TIC. La gestion des TIC et de la sécurité est une partie essentielle de tout effort d’un établissement financier visant à atteindre ses objectifs en termes de stratégie, d’attentes de l’entreprise, de gestion des opérations et de réputation.

Dispositions relatives au PSP (Prestataire de Services de Paiement)

Les recommandations de l’ABE concernent également les prestataires de services de paiement. Ces recommandations s’appliquent dès que des services de paiement sont impliqués, y compris l’émission de monnaie électronique par les organismes de crédit et toutes les activités liées aux services de paiement et aux sociétés de placement.

Pour résumer, les PSP qui doivent respecter les recommandations relatives aux TIC incluent :

  • les PSP définis dans l’Article 4(11) de la PSD2.
  • les organismes de crédit et les sociétés de placement définies au point 3 de l’Article 4(1) du règlement (UE) n° 575/2013
  • les autorités compétentes définies au point 40 de l’Article 4(1) du règlement (UE) n° 575/2013
  • la Banque centrale européenne, pour tous les sujets liés aux tâches conférées par le règlement (UE) n° 1024/2013, et toutes les autorités compétentes faisant partie de la PSD2 référencées au point (i) de l’Article 4(2) du règlement (UE) n° 1093/2010

Sauf indication contraire, les recommandations s’appliquent à l’ensemble des organismes cités ci-dessus.

Égalité des chances pour tous les établissements

Les recommandations de l’ABE sont conçues pour intégrer les règles publiées en décembre 2017 dans l’Article 95 de la PSD2, sous le titre « Guidelines on security measures for operational and security risks of payment services ».

Afin d’équilibrer les chances, les recommandations élaborent également des sujets orientés vers l’atténuation des risques liés aux TIC et à la sécurité dans les établissements financiers.

De plus, les recommandations relatives aux TIC apportent des précisions sur la demande de la Commission européenne énoncée dans le plan d’action pour la technologie financière (FinTech), publié en mars 2018.

Elles comprennent également une demande des Autorités européennes de surveillance d’écrire des recommandations sur les exigences de gestion et d’atténuation des risques des TIC dans le secteur financier au sein de l’Union européenne.

Gestion de l’augmentation des risques ces dernières années

Les recommandations abordent le pic de risques de sécurité qui découle de la numérisation du secteur financier et de l’interconnexion des infrastructures et qui expose aux attaques toutes les personnes connectées aux réseaux.

Par l’utilisation des canaux modernes des télécommunications en ligne et des technologies sans fil via les réseaux étendus, les établissements financiers européens s’exposent à des risques accrus. Ceci concerne également tous les autres établissements financiers ainsi que les tierces parties affiliées aux institutions européennes.

À travers les recommandations relatives aux TIC, les établissements améliorent leur cybersécurité et sont capables de mieux se protéger contre les cyberattaques. En effet, la gestion des risques de cybersécurité doit faire partie de la gestion globale des risques de sécurité d’un établissement financier.

Les cyberattaques présentent certaines caractéristiques qui doivent être prises en compte pour garantir que les mesures relatives à la sécurité des informations sont adaptées pour combattre les risques liés à la cybercriminalité.

Ces caractéristiques incluent :

  1. Il est souvent difficile d’identifier ou d’éradiquer les cyberattaques, contrairement aux autres risques rencontrés par les établissements financiers. Le niveau de dommages est également difficilement quantifiable.
  2. Certaines attaques peuvent rendre inefficaces les mesures de gestion des risques et de continuité de l’activité, ainsi que les procédures de relance après sinistre. Il est possible que des malwares diffusent des données corrompues dans les systèmes de sauvegarde.
  3. Les fournisseurs, leurs produits et tous les autres prestataires de services tiers peuvent devenir des canaux de propagation des malwares en cas de cyberattaque. L’interconnexion peut être une méthode de propagation des risques.

D’après le « principe du maillon faible », les établissements financiers et les autres participants au marché doivent travailler tous ensemble afin d’éviter les failles de sécurité.

Les trois lignes du modèle de défense

Les unités opérationnelles des TCI sont la première ligne de défense. C’est la raison pour laquelle les recommandations de l’ABE se concentrent tout d’abord sur les responsabilités de l’organe dirigeant, puis sur la deuxième ligne de défense, qui est constituée par la fonction de sécurité des informations.

Après une consultation publique, les recommandations reflètent maintenant un changement visant à inclure la responsabilité des organes de gouvernance interne dans la gestion des risques liés à la cybersécurité.

Un meilleur moyen de procéder

Afin d’aborder au mieux la portée plus étendue des dispositions et mesures concernant la gestion des risques liés à la cybersécurité, les exigences fournies dans les directives sur les mesures de sécurité pour les risques opérationnels et de sécurité des services de paiement (« Guidelines on the security measures for operational and security risks of payment services ») sont incluses et étendues dans les recommandations de l’ABE.

En effet, les dispositions de 2017 ont été abrogées car elles ne traitent pas proportionnellement la nature, la portée ou la complexité de la responsabilité de la gestion des risques des établissements.

Recommandations de l’ABE sur les TIC et la gestion des risques de sécurité

Dans les recommandations de l’ABE pour la gestion des risques de sécurité, l’approche est de trouver un moyen d’aborder l’externalisation et l’innovation et de les équilibrer avec conformité. Malgré les demandes des consultants publics de supprimer la FinTech du rapport, les recommandations sur les TIC incluent de manière explicite les dispositions relatives à la gestion des risques de sécurité qui incluent l’ensemble des acteurs pertinents de l’industrie.

Les recommandations sont réparties en catégories :

Proportionnalité

Tous les établissements financiers doivent se conformer aux dispositions prévues par les recommandations de l’ABE d’une manière appropriée à la taille de l’établissement, à son organisation interne, sa portée, sa nature, sa complexité et au niveau de risque des produits/services fournis.

Gouvernance et stratégie

La gestion des risques de sécurité est dans l’obligation d’impliquer le corps dirigeant afin de garantir une gouvernance adéquate, de hauts niveaux de qualité et de compétences des équipes, ainsi que l’approbation, la supervision et la mise en œuvre de stratégies solides pour les TIC.

Dans le cadre de leur stratégie, les établissements doivent évoluer afin d’accompagner de manière efficace la structure organisationnelle, les changements de système des TIC, les dépendances tierces ainsi que les équipes et les processus.

Cadre des TIC et de la gestion des risques de sécurité

Les établissements doivent identifier et gérer leur infrastructure conformément aux recommandations relatives aux TIC. De plus, la responsabilité doit être attribuée directement afin de gérer et de surveiller les risques liés aux TIC et à la sécurité. Cette section couvre l’attribution des principaux rôles et responsabilités, l’identification des risques et la résolution des problèmes à partir des enseignements.

Un système de classification et d’évaluation des risques présente la manière d’atténuer les risques et de remonter les informations pertinentes conformément aux recommandations de l’ABE. Il contrôle en continu les systèmes en place.

Sécurité des informations

Sous la sécurité des informations, les recommandations de l’ABE définissent les éléments qui constituent une politique acceptable de sécurité des informations pour la gestion des risques de sécurité. Les recommandations liées aux TIC énoncent également la sécurité logique, la sécurité physique, la sécurité des informations des TIC, la surveillance de la sécurité, les revues de la sécurité des informations, l’évaluation et les tests, ainsi que la formation et la sensibilisation à la sécurité des informations.

Gestion des opérations des TIC

Dans cette section des recommandations de l’ABE, il est conseillé aux établissements financiers de gérer ses opérations liées aux TIC en se basant sur les procédures et processus mis en œuvre par le corps dirigeant. La gestion des incidents et des problèmes est également couverte, et la manière de collaborer au mieux avec l’intervenant concerné en cas de problème est expliquée.

Projet TIC et gestion du changement

Les établissements sont chargés de mettre en place un processus de gouvernance de projet qui définit les responsabilités, attribue les rôles et désigne les responsabilités afin d’aider à la mise en œuvre des recommandations et des stratégies relatives aux TIC.

Vous trouverez également une section concernant les acquisitions et le développement des systèmes de TIC et le protocole de changement de gestion des TIC.

Gestion de la continuité de l’activité

En cas de graves perturbations de l’activité suite à des cyberattaques ou des failles de sécurité, les établissements doivent être préparés à une transition en douceur pour revenir à la normalité. Le processus décrit implique une analyse de l’impact sur l’activité, un plan de continuité de l’activité et de réaction, des plans de relance, des tests des plans, et finalement la mise en place des canaux de communication pendant une crise.

Gestion des relations utilisateur pour les services de paiement

La gestion des risques de sécurité des PSP doit établir et mettre en œuvre des processus qui améliorent la connaissance des risques de sécurité liés à chaque service. Compte tenu des nouvelles menaces, une assistance et des conseils doivent être mis en œuvre.

Le reste des recommandations de l’ABE pour les PSP concerne la détection des utilisations frauduleuses ou malveillantes des comptes, et les moyens d’éviter que les failles ne désactivent certaines fonctions.

Le recours à des fournisseurs tiers – recommandations de l’ABE relatives à l’externalisation

Dans les recommandations de l’ABE relatives à l’externalisation, l’autorité définit l’externalisation comme un accord entre un établissement réglementé et un prestataire de services qui prend en charge un processus, un service ou une activité qui devrait normalement être traité en interne.

Par conséquent, il est conseillé à chaque établissement de déterminer les accords qui entrent dans le cadre d’une externalisation à un tiers. Les règles sont plus strictes sur les tâches plus sensibles qui peuvent causer des perturbations comme une défaillance systémique quand elles sont compromises.

Les recommandations de l’ABE relatives à l’externalisation indiquent que les établissements doivent garantir que leurs mesures qui limitent les risques sont efficaces lors de la sous-traitance à des fournisseurs tiers.

Par conséquent, les fournisseurs tiers relèvent de la définition de la gestion des risques de l’institution.

Afin de garantir la continuité des services TIC et des systèmes TCI, les recommandations de l’ABE relatives à l’externalisation conseillent aux établissements de s’assurer que les contrats et les accords de service incluent les mesures suivantes :

  • Des informations appropriées et proportionnées doivent être disponibles concernant les objectifs et les mesures liés à la sécurité. Celles-ci doivent inclure les exigences minimales relatives à la cybersécurité, les spécifications concernant le cycle de vie des données, les exigences concernant le cryptage des données, la sécurité réseau et les processus de surveillance, ainsi que l’emplacement des centres de données.
  • Les recommandations de l’ABE relatives à l’externalisation indiquent qu’il n’est pas nécessaire de disposer de procédures de gestion des incidents opérations et de sécurité qui incluent l’escalade et le reporting.

En utilisant des mesures de sécurité, des objectifs et des cibles de performances, les établissements financiers qui concluent un accord avec des fournisseurs tiers doivent surveiller le niveau de conformité et garantir qu’il est atteint.

Les standards de sécurité des fournisseurs tiers doivent être à la hauteur des standards des institutions qui les engagent, comment l’indiquent les recommandations de l’ABE relatives à l’externalisation.

Conclusion

Les recommandations de l’ABE désignent les services cloud comme le risque de sécurité le plus élevé.

Les efforts de déploiement du cloud ont augmenté dans la plupart des industries, et ils ont été accélérés par la pandémie qui a forcé la plupart des personnes à télétravailler. Les recommandations de l’ABE relatives à l’externalisation ont pour objectif de couvrir les zones à risque qui accompagnent les espaces de travail basés sur le cloud.

Grâce à un logiciel comme LeanIX, les grands établissements profitent des outils et services nécessaires au sein de leur architecture d’entreprise, tout en gérant de manière efficace leur portefeuille d’applications.

Pour les entreprises qui utilisent plus de 100 applications dans leurs opérations quotidiennes, il est extrêmement difficile de maintenir la transparence des applications. Par conséquent, une gestion efficace des applications facilite le respect des recommandations de l’EBA relatives à l’externalisation.

LeanIX aide les établissements mentionnés à garder la maîtrise de tous les logiciels provenant des différents fournisseurs. En effet, en insistant sur la surveillance des fournisseurs tiers, il semble beaucoup plus réalisable de respecter les recommandations complexes de l’ABE.

Téléchargez votre livre blanc maintenant !

Comment gérer les réglementations informatiques grâce à l’outil de gestion de l’AE pour les établissements financiers

check

Que faut-il savoir sur l’architecture d’entreprise

check

Que peut vous apporter l’architecture d’entreprise

check

Comment gérer les réglementations informatiques grâce à l’architecture d’entreprise

check

Questions fréquentes des acteurs

check

Les premiers pas avec l’architecture d’entreprise