Cyber-sécurité et services externalisés
Transcription
Cyber-sécurité et services externalisés
Contrôle général Inspection générale Délégation au contrôle sur place Cyber-sécurité et services externalisés Les attentes du superviseur en matière d’outsourcing Paris, 9 décembre 2015 Marc Andries Inspecteur de la Banque de France Chef de mission à l’ACPR Sommaire 1. Exposition des systèmes informatiques externalisés à la menace cyber 2. Principaux cas d’usage 3. Le cadre réglementaire applicable 4. Principaux points d’attention 5. Cloud computing, quels enjeux ? Forum des Compétences : « Cyber-sécurité et services externalisés Paris, 9 décembre 2015 2 1. La menace cyber Quelle définition retient-on pour la cyber-sécurité? Définition pragmatique: Ensemble des mesures organisationnelles et des moyens mis en œuvre pour protéger les différents actifs d’un système d’information contre les menaces conduites par des moyens informatiques pouvant affecter leur disponibilité, leur confidentialité ou leur intégrité, ainsi que la traçabilité des opérations; Vulnérabilités Menaces Menaces • • • • • • DDoS Phishing Spear phishing APT, malware Défacement Intrusion Risques Vulnérabilités • Protection physique insuffisante • Protection logique insuffisante • Moyens de détection et de traçabilité insuffisants • Moyens de réaction insuffisants • Comportement imprudent Forum des Compétences : « Cyber-sécurité et services externalisés Risques • Indisponibilité, Saturation, blocage • Compromission de données • Fraude • Vol, espionnage • Chantage • Destruction de données ou de systèmes Paris, 9 décembre 2015 3 1. La menace cyber Menace cyber et prestations externalisées Un SI bancaire externalisé reste un SI bancaire Mais c’est un changement de paradigme auquel le superviseur est attentif Pression sur les coûts Niveau de sécurité moins bon Chaîne de délégation nonmaîtrisée Multiplication de points d’entrée peu surveillés Forum des Compétences : « Cyber-sécurité et services externalisés Grands prestataires à l’état de l’art Appui sur les solutions de résilience du prestataire Maîtrise de solutions innovantes face à certaines attaques Paris, 9 décembre 2015 4 2. Principaux cas d’usage de l’externalisation informatique Développement logiciel Support progiciel Production informatique Solutions réseaux Cyber-surveillance Nouveaux usages : Cloud computing, big data, authentification forte… Forum des Compétences : « Cyber-sécurité et services externalisés Paris, 9 décembre 2015 5 3. Le cadre réglementaire relatif à l’externalisation (1/2) CEBS Guidelines on Outsourcing, 2006 Externalisation = prestations externes ou intra-groupe Attention est sur les prestations répondant à des critères d’importance (‘materiality’) Responsabilisation du ‘senior management’ Conditions à l’externalisation de services soumis à agrément Risk management et système de contrôle Maîtrise contractuelle: SLAs, sous-délégation, confidentialité des données Inspections sur place des autorités de supervision Principe de proportionnalité Risque de concentration Forum des Compétences : « Cyber-sécurité et services externalisés Paris, 9 décembre 2015 3. Le cadre réglementaire relatif à l’externalisation (2/2) Arrêté du 3/11/14 relatif au contrôle interne – Prestations de Services Essentielles ou autres tâches matérielles importantes : « toute prestation de services lorsqu’une anomalie ou une défaillance dans son exercice est susceptible de nuire sérieusement à la capacité de l’assujetti de se conformer en permanence aux conditions et obligations de son agrément et à celles relatives à l’exercice de son activité, à ses performances financières ou à la continuité de ses services et activités » Responsabilité des instances dirigeantes Inclus dans le dispositif de contrôle permanent et périodique Dispositif contractuel Obligations de suivi de la qualité de la prestation, maintien des compétences internes Garantie de la protection de la confidentialité des informations Dispositif de continuité d’activité ACPR, « Les risques associés au Cloud computing », juillet 2013 Forum des Compétences : « Cyber-sécurité et services externalisés Paris, 9 décembre 2015 4. Principaux points d’attention pour le superviseur Vision stratégique sur la part des services externalisés, sur l’offshoring, le risque de concentration Concertation sur les décisions d’externalisation et validation par les instances dirigeantes Politique d’externalisation Encadrement contractuel conforme Dispositif de contrôle permanent Absence de limitation au droit d’audit du banquier Droit de contrôle sur place du superviseur Maîtrise des sous-délégations Niveau de sécurité du système d’information Sécurité physique Forum des Compétences : « Cyber-sécurité et services externalisés Paris, 9 décembre 2015 5. Points d’attention relatifs au Cloud computing Marché dominé par des acteurs de taille mondiale Prestations standardisées Localisation possible des données hors du territoire Pouvoir contractuel Accès aux données Localisation des données Droits d’audit Forum des Compétences : « Cyber-sécurité et services externalisés Paris, 9 décembre 2015 Respect du cadre réglementaire ? Merci pour votre attention Forum des Compétences : « Cyber-sécurité et services externalisés Paris, 9 décembre 2015 10