2.1.3 Les référentiels applicables au
système bancaire
Cette partie nous montrera les réglementations
prévues pour l'environnement bancaire concernant les contrôles et
la sécurité des systèmes d'information. Ces dispositions
sont obligatoires pour toutes les institutions financières.
2.1.3.1 La commission bancaire
La Commission bancaire est l'organe chargé de
contrôler le respect par les établissements de crédit, des
dispositions législatives et réglementaires qui leur sont
applicables et de sanctionner les manquements constatés. Elle examine,
en outre, les conditions d'exploitation de ces établissements et veille
à la qualité de leur situation financière ainsi qu'au
respect des règles de bonne conduite de la profession. La surveillance
ou le contrôle exercée par la commission bancaire au sein des
institutions de crédits notamment les banques s'étend à
tous les domaines de celles-ci. Mais pour notre étude, nous nous
intéresserons essentiellement à l'aspect « gestion des
systèmes d'information et sécurité de
l'information » des banques.
La commission bancaire considère que la
sécurité des systèmes d'information fait partie
intégrante de la sécurité des établissements
de crédit dont elle a la responsabilité. Ces derniers ont un
devoir de sécurité vis-à-vis de leurs clients,
d'eux-mêmes et de l'ensemble du système bancaire. Les SI
étant, à cause de la mondialisation, tous informatisés, la
menace informatique constitue un danger réel pour les banques.
L'informatique est devenue un outil de production principal et
inévitable : les valeurs monétaires, les informations sur
les clients et partenaires, les transactions financières, les comptes
bancaires etc. sont contenus, stockés et valorisés par elle.
Quelles que soient les causes, l'informatique peut jouer si la
défaillance est importante, soit un rôle de déclencheur de
crise, soit celui de propagateur. L'impact des problèmes que peut
rencontrer une banque lorsque la sécurité de son système
d'information n'est plus assurée, est important et rapide. Selon le
livre blanc de la commission bancaire européenne (1996 ; page 10),
les risques encourus par la banque sont :
ü le risque de non transfert, entrainant
un « cash liquidity risk » où la banque, pour des
raisons diverses liées à son informatique, n'est plus capable,
à tout moment, de remplir à court terme ses obligations
vis-à-vis de ses clients ou de ses confrères ;
ü le risque de perte d'informations,
dû à la destruction totale ou partielle de ses fichiers
stratégiques ou de sa mémoire, ou la divulgation d'informations
confidentielles (fichiers clients, positions stratégiques
etc.) ;
ü le risque de fraudes, conduisant
à des pertes de valeurs (coûts économiques des
détournements);
ü le risque juridique engageant la
responsabilité civile éventuelle ;
ü le risque de réputation et
d'image.
Pour cela, la commission bancaire a décrit un cadre de
sécurité obligatoire auquel toute institution financière
doit se conformer. Il s'agit pour chaque institution financière
d'évaluer de façon récurrente son système
d'information ainsi que la sécurité des informations qui
regorgent de ce système par une méthode d'analyse et de mesure
constante des risques.
Différentes étapes sont à
considérer (livre blanc de la commission bancaire
européenne, 1996 : 34):
ü un engagement de la direction générale,
qui doit définir la politique de sécurité, le risque
maximal tolérable, la liste des données stratégiques et
d'autres grandes options (coûts/avantages, problèmes de personnels
etc.) ;
ü l'analyse du système d'information et du niveau
de sécurité de celui-ci ;
ü la définition du schéma directeur de la
sécurité des systèmes d'information qui représente
à l'arbitrage de la direction générale, le plan d'action
(les mesures à prendre, l'organisation à définir, les
budgets, les plannings, la politique de protections et la gestion des risques
et le contrôle);
ü la sensibilisation permanente de tout le personnel pour
rechercher l'adhésion autour du schéma
sécuritaire ;
ü la cohérence et le bon sens qui permettent
d'adapter la nature et l'importance des moyens aux risques et aux enjeux.
|