Votre navigateur ne supporte pas le javaScript

ACPR - Document de réflexion sur le risque informatique

L’ACPR a publié le 30/03/2018 un document de réflexion sur le risque informatique et lance un appel à commentaires.

Comme il faut s'y attendre, l'autorité de contrôle ne fera pas l'impasse sur la conformité RGPD lors d'une visite dans un cabinet. Il s'ajoutera, aux vérifications habituelles, toute la batterie de vérification RGPD auxquelles le cabinet d'assurances va devoir se conformer.

"L’émergence des cyberattaques ces dernières années a accru les préoccupations liées au risque informatique. Pour répondre à ces préoccupations, les autorités de supervision renforcent progressivement leur action. Le cadre de référence de gestion du risque opérationnel a donc vocation à être précisé pour mieux inscrire le risque informatique, dans toutes ses dimensions, au sein des catégories reconnues de risque opérationnel. Dans cette organisation, les instances dirigeantes sont directement impliquées, à la fois pour la mise en cohérence de la stratégie informatique et de l’appétit au risque, mais aussi pour la mise en œuvre et le suivi d’un cadre de maîtrise des risques. 

Cette catégorisation peut servir aux établissements placés sous son contrôle pour élaborer ou renforcer leur propre cartographie. Cette catégorisation couvre les trois grands processus de mise en œuvre et de gestion du système d’information, c’est-à-dire à la fois ce qui a trait à l’organisation de celui-ci, ce qui concerne son bon fonctionnement, et aussi sa sécurité. Pour chacun de ces grands processus, le document de réflexion indique une série de facteurs de risque, élaborée sur deux niveaux pour permettre une analyse assez fine. Ces mesures sont indicatives et les établissements peuvent les adapter à leur contexte. 

Elles illustrent les meilleures pratiques habituellement constatées par les services de l’ACPR et visent à constituer un socle commun de maîtrise du risque informatique dans les secteurs de la banque et de l’assurance."

Accéder à la publication de l'ACPR

Accéder au document PDF de l'ACPR

Accéder à l'appel à commentaires de l'ACPR

L'autorité de contrôle, s'adresse autant au responsable de traitement du cabinet d'assurance qu'elle vise tout particulièrement les éditeurs de logiciels en fixant un cahier des charges des mesures techniques à prendre en compte.

Organiser le SI et sa sécurité
Facteurs principaux de risque informatiqueFacteurs secondaires de risque informatique
Implication insuffisante des instances dirigeantes
  • Mauvaise perception des enjeux
  • Décisions inappropriées
  • Pilotage insuffisant
Stratégie IT insuffisamment définie ou alignée avec la stratégie métier
  • Manque d’anticipation des besoins métier, et des évolutions/enjeux/usages technologiques
  • Outils et niveaux de service inadéquats
Pilotage budgétaire défaillant
  • Allocation budgétaire insuffisamment alignée avec la stratégie
  • Allocation budgétaire absente ou insuffisamment claire
  • Suivi des dépenses insuffisant
Rôles et responsabilités de la fonction informatique et de la fonction de sécurité informatique inadéquats
  • Rôles et responsabilités mal définis, mal répartis ou mal communiqués
  • Profils inadaptés ou insuffisants
Rationalisation insuffisante du SI
  • Manque de maîtrise de l’architecture (urbanisation)
  • Incohérence des normes informatiques
  • Manque de maîtrise de l’obsolescence
Insuffisante maîtrise de l’externalisation
  • Cadre contractuel inadapté
  • Dépendance forte
  • Suivi insuffisant des niveaux de service
  • Dispositif de réversibilité insuffisant
Non-respect des lois et règlements
  • Non-conformité des besoins des métiers au droit applicable
  • Non-conformité des développements informatiques aux préconisations juridiques des métiers
  • Les normes informatiques ne permettent pas de respecter le droit applicable
Gestion des risques insuffisante
  • Cartographie des risques inexistante ou partielle
  • Dispositif de contrôle permanent insuffisant
  • Recensement et gestion insuffisants des incidents
  • Dispositif de contrôle périodique insuffisant

Faire fonctionner le SI
Facteurs principaux de risque informatiqueFacteurs secondaires de risque informatique
Mauvaise gestion de l’exploitation (systèmes et réseaux)
  • Insuffisance des moyens de production
  • Insuffisance dans la détection des erreurs ou anomalies
  • Insuffisance dans la gestion des incidents/problèmes
  • Non-respect des niveaux de service
Mauvaise gestion de la continuité d’exploitation
  • Mauvaise organisation de la continuité
  • Insuffisance dans l’identification des scénarios d’indisponibilité
  • Non alignement de la continuité informatique avec la continuité métier
  • Protection insuffisante des moyens de production et de secours contre les accidents
  • Insuffisance des dispositifs de continuité
  • Tests insuffisants
Mauvaise gestion des changements (projets, évolutions, corrections)
  • Insuffisance dans la définition ou l’application des normes relatives à la gestion des changements
  • Mauvaise organisation dans la conduite de projets
  • Mauvaise prise en compte des exigences fonctionnelles et techniques
  • Insuffisance des tests
  • Défauts dans l’exécution des changements
Mauvaise qualité des données
  • Insuffisance de normalisation des données
  • Utilisation ou production par le système d’information de données erronées
  • Défaut de contrôle de qualité des données

Sécuriser le SI
Facteurs principaux de risque informatiqueFacteurs secondaires de risque informatique
Insuffisance dans la protection physique des installations
  • Protections insuffisantes contre l’intrusion dans les bâtiments
  • Protection insuffisante des équipements informatiques
Défaut d’identification des actifs Défaillances dans :
  • l’inventaire des actifs
  • la classification des actifs
Insuffisance dans la protection logique des actifs Défaillances dans les dispositifs de :
  • Sécurité périmétrique
  • Protection contre les logiciels malveillants
  • Gestion des identités et des droits d’accès
  • Authentification des collaborateurs
  • Protection de l’intégrité des systèmes et des données
  • Protection de la confidentialité des systèmes et des données
  • Protection de la disponibilité
  • Gestion des correctifs de sécurité
  • Revues de sécurité
  • Sécurité des solutions externalisées
  • Sensibilisation à la sécurité des systèmes d’information
Insuffisance dans la détection des attaques Défaillances dans les dispositifs de :
  • Recueil et d’analyse des traces
  • Surveillance des comportements anormaux des utilisateurs
Insuffisance du dispositif de réaction aux attaques Défaillances dans les dispositifs de :
  • Gestion de crise
  • Contingentement des attaques
  • Reprise des opérations
Tarifs & Documentation

Documentation

Se faire rappeler

  Se faire rappeler

voir nos vidéos sur youtube

Nos vidéos

Focus RGPD

Focus RGPD