Cyber-sécurité et services externalisés

Contrôle général
Inspection générale
Délégation au contrôle sur place
Cyber-sécurité et services externalisés
Les attentes du superviseur en matière
d’outsourcing
Paris,
9 décembre 2015
Marc Andries
Inspecteur de la Banque de
France
Chef de mission à l’ACPR
Sommaire
1. Exposition des systèmes informatiques externalisés à la menace
cyber
2. Principaux cas d’usage
3. Le cadre réglementaire applicable
4. Principaux points d’attention
5. Cloud computing, quels enjeux ?
Forum des Compétences : « Cyber-sécurité et services externalisés
Paris, 9 décembre 2015
2
1. La menace cyber
Quelle définition retient-on pour la cyber-sécurité?
 Définition pragmatique:
 Ensemble des mesures organisationnelles et des moyens mis en
œuvre pour protéger les différents actifs d’un système d’information
contre les menaces conduites par des moyens informatiques pouvant
affecter leur disponibilité, leur confidentialité ou leur intégrité, ainsi que
la traçabilité des opérations;
Vulnérabilités
Menaces
Menaces
•
•
•
•
•
•
DDoS
Phishing
Spear phishing
APT, malware
Défacement
Intrusion
Risques
Vulnérabilités
• Protection physique insuffisante
• Protection logique insuffisante
• Moyens de détection et de
traçabilité insuffisants
• Moyens de réaction insuffisants
• Comportement imprudent
Forum des Compétences : « Cyber-sécurité et services externalisés
Risques
• Indisponibilité, Saturation,
blocage
• Compromission de données
• Fraude
• Vol, espionnage
• Chantage
• Destruction de données ou de
systèmes
Paris, 9 décembre 2015
3
1. La menace cyber
Menace cyber et prestations externalisées
 Un SI bancaire externalisé reste un SI bancaire
 Mais c’est un changement de paradigme auquel le superviseur est attentif
Pression sur les coûts
Niveau de sécurité moins
bon
Chaîne de délégation nonmaîtrisée
Multiplication de points
d’entrée peu surveillés
Forum des Compétences : « Cyber-sécurité et services externalisés
Grands prestataires à
l’état de l’art
Appui sur les solutions de
résilience du prestataire
Maîtrise de solutions
innovantes face à
certaines attaques
Paris, 9 décembre 2015
4
2. Principaux cas d’usage de l’externalisation
informatique
 Développement logiciel
 Support progiciel
 Production informatique
 Solutions réseaux
 Cyber-surveillance
 Nouveaux usages : Cloud computing, big data, authentification forte…
Forum des Compétences : « Cyber-sécurité et services externalisés
Paris, 9 décembre 2015
5
3. Le cadre réglementaire relatif à l’externalisation (1/2)
CEBS Guidelines on Outsourcing, 2006









Externalisation = prestations externes ou intra-groupe
Attention est sur les prestations répondant à des critères
d’importance (‘materiality’)
Responsabilisation du ‘senior management’
Conditions à l’externalisation de services soumis à agrément
Risk management et système de contrôle
Maîtrise
contractuelle:
SLAs,
sous-délégation,
confidentialité des données
Inspections sur place des autorités de supervision
Principe de proportionnalité
Risque de concentration
Forum des Compétences : « Cyber-sécurité et services externalisés
Paris, 9 décembre 2015
3. Le cadre réglementaire relatif à l’externalisation (2/2)
 Arrêté du 3/11/14 relatif au contrôle interne

–






Prestations de Services Essentielles ou autres tâches
matérielles importantes :
« toute prestation de services lorsqu’une anomalie ou une
défaillance dans son exercice est susceptible de nuire sérieusement
à la capacité de l’assujetti de se conformer en permanence aux
conditions et obligations de son agrément et à celles relatives à
l’exercice de son activité, à ses performances financières ou à la
continuité de ses services et activités »
Responsabilité des instances dirigeantes
Inclus dans le dispositif de contrôle permanent et périodique
Dispositif contractuel
Obligations de suivi de la qualité de la prestation, maintien des
compétences internes
Garantie de la protection de la confidentialité des informations
Dispositif de continuité d’activité
 ACPR, « Les risques associés au Cloud computing », juillet 2013
Forum des Compétences : « Cyber-sécurité et services externalisés
Paris, 9 décembre 2015
4. Principaux points d’attention pour le superviseur
 Vision stratégique sur la part des services
externalisés, sur l’offshoring, le risque de
concentration
 Concertation sur les décisions d’externalisation et
validation par les instances dirigeantes
 Politique d’externalisation
 Encadrement contractuel conforme
 Dispositif de contrôle permanent
 Absence de limitation au droit d’audit du banquier
 Droit de contrôle sur place du superviseur
 Maîtrise des sous-délégations
 Niveau de sécurité du système d’information
 Sécurité physique
Forum des Compétences : « Cyber-sécurité et services externalisés
Paris, 9 décembre 2015
5. Points d’attention relatifs au Cloud computing
Marché
dominé par
des acteurs
de taille
mondiale




Prestations
standardisées
Localisation
possible des
données hors
du territoire
Pouvoir contractuel
Accès aux données
Localisation des données
Droits d’audit
Forum des Compétences : « Cyber-sécurité et services externalisés
Paris, 9 décembre 2015
Respect du
cadre
réglementaire ?
Merci pour votre attention
Forum des Compétences : « Cyber-sécurité et services externalisés
Paris, 9 décembre 2015
10