Cet article appartient au dossier : Cybercriminalité, un risque systémique pour les banques.

Sécurité de l’information dans le secteur bancaire

Quelle évolution des obligations légales ?

Les établissements financiers sont soumis aujourd'hui à un large corpus de règles visant à renforcer la sécurité de l’information, en France et au niveau européen.

L'auteur

Les propos développés dans cet article correspondent à l’approche personnelle de l’auteure et ne sauraient représenter l’opinion de l’entreprise ni du groupe au sein desquels elle exerce. Une synthèse des différentes obligations applicables aux établissements financiers a été publiée par Le Forum des Compétences (Association d’établissements financiers et de sociétés d’assurance), sur son site (forum-des-competences.org), en décembre 2015.

Revue de l'article

Cet article est extrait de
Revue Banque n°793

Cybercriminalité : un risque systémique pour les banques

Historiquement, les banques sont assujetties au secret bancaire forgé par la jurisprudence et consacré par la loi bancaire [1] en 1984. Les acteurs financiers sont également soumis aux règles de droit commun générant une obligation de confidentialité, notamment respect de la vie privée [2] et secret des correspondances [3]. Cependant, la confidentialité n'est qu'un aspect de la sécurité complété par la disponibilité, l'intégrité et le caractère probant de l'information.

Depuis 1978, l’obligation de sécuriser les informations personnelles est applicable à toutes les organisations, selon la loi dite informatique et libertés [4].

Le Code monétaire et financier (CMF) rassemble, depuis décembre 2000, les dispositions législatives et réglementaires applicables aux acteurs financiers. Ils doivent mettre en œuvre des dispositifs efficaces d’évaluation des risques et de contrôle des systèmes d’information (SI). Pour les prestataires de services de paiement, le CMF impose d’assurer la sécurité des moyens d’authentification offerts aux utilisateurs.

Toutes les entreprises soumises au contrôle de l’ACPR [5], selon le règlement n° 97-02, remplacé par l’arrêté du 3 novembre 2014 [6] relatif au contrôle interne, doivent sécuriser leurs systèmes d’information. Elles doivent le formaliser par des manuels de procédures et mettre en œuvre un plan de continuité d’activité.

De plus, le règlement général de l’Autorité des marchés financiers (AMF) contient des dispositions applicables à la sécurité de l’information. Ce règlement impose [7] de mener des analyses de risque, d’établir une politique des habilitations d’accès, de formaliser la documentation du SI et d’établir une politique de sécurité physique et de continuité d’activité. Parmi ces mesures figure également l’obligation de mise en place d’indicateurs de suivi de la qualité et la sécurité de la production informatique, ainsi qu’un suivi des incidents avec leur gravité, origine et plan d’éradication.

La loi de programmation militaire (LPM) du 18 décembre 2013 [8] a introduit des mesures générales de sécurité des systèmes d’information pour les opérateurs d’importance vitale (OIV). Les OIV sont des entreprises et administrations désignées par l’instruction générale du 7 janvier 2014 [9] et considérées comme essentielles à l’activité de la nation. Si la liste des OIV n’est pas publique [10], la finance est l’un des 12 secteurs concernés. Les établissements financiers désignés s’adaptent aux exigences du texte : mise en œuvre de systèmes qualifiés de détection d’événements susceptibles d’affecter la sécurité du SI, notification de failles et contrôles de la sécurité par l’ANSSI [11]. Après la parution du décret du 27 mars 2015, des arrêtés d’application sectoriels sont attendus pour le premier trimestre 2016.

Au plan européen

Au plan européen, signalons la publication, le 1er février 2013, de recommandations concernant la sécurité des paiements sur internet par la Banque Centrale Européenne. Pour protéger l’initiation des paiements en ligne et les données sensibles, les recommandations incitent à la mise en œuvre de mécanismes de surveillance, de multiples niveaux de sécurité et d’assistance aux clients. Ces Recommandations [12], sous le nouveau nom d’Orientations (guidelines), applicables depuis le 1er août 2015, relèvent désormais de la responsabilité de l’Autorité bancaire européenne.

La directive européenne concernant les services de paiement (DSP2 ou PSD2) dans le marché intérieur est à mentionner également, car elle comprend des obligations sécuritaires. La DSP2 a été publiée le 23 décembre 2015 et devra être transposée dans les 2 ans.

Par ailleurs, le règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques a été adopté le 23 juillet 2014. Ce texte, dit PSC ou eIDAS, vise à garantir des transactions électroniques transnationales efficaces et sûres. Il fixe [13] des exigences de sécurité applicables aux prestataires de services de confiance. Et, notamment, l’obligation de notification d’atteinte à la sécurité auprès de l’organe de contrôle et, le cas échéant, « à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données ». Ce règlement sera applicable le 1er juillet 2016, certaines dispositions étant déjà en vigueur depuis le 17 septembre 2014.

Les fournisseurs de services de paiement par carte ont aussi intégré la norme PCI DSS (Payment Card Industry Data Security Standard). Sans être un texte d'application légale, il s'agit d’une norme visant à renforcer la sécurité des données et développée par le PCI Security Standard Council, qui réunit les principaux réseaux émetteurs de cartes. Les établissements financiers fournissant ces services appliquent la version 3.0 de cette norme depuis le 1er janvier 2015.

Les évolutions attendues

À Bruxelles, une proposition de directive [14] concerne des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information. La version de cette SRI ou NIS [15] du 13 mars 2014 est en discussion [16]. Annoncée pour le printemps 2016, son objectif est d’améliorer le niveau de sécurité des SI privés dont dépend le fonctionnement de la société dans l’UE. C’est une incitation à la mise en place de mesures appropriées pour les opérateurs d'infrastructures critiques, afin de gérer les risques de sécurité et de signaler les incidents graves aux autorités nationales compétentes. La proposition prévoit des obligations à la charge des opérateurs d'infrastructures critiques similaires à celles des OIV, issues de la loi de programmation militaire.

Quant à la proposition [17] de règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, elle a fait l’objet, le 17 décembre 2015, d’un accord entre la Commission européenne, la commission LIBE [18] du Parlement et du COREPER [19]. Elle a pour objet de réformer les règles en apportant des évolutions majeures : coopération renforcée entre agences nationales, nomination d’un correspondant aux données, notification d’incidents de sécurité et alourdissement des sanctions. Sa publication est également annoncée pour ce printemps.

Un autre projet de directive [20] intéressant la SI est celui relatif au secret des affaires. Le secret des affaires sera protégé juridiquement à la condition qu’il fasse l’objet de mesures de sécurité adaptées. Le projet est critiqué par une trentaine d’ONG qui craignent une atteinte aux libertés fondamentales, notamment la liberté de l’expression et de la presse.

 

[1] Article L. 511-33 du Code monétaire et financier.

[2] Article L. 226-1 du Code pénal.

[3] Article 226-15 du Code pénal.

[4] Article 34 de loi n° 78-17 modifiée relative à l’informatique, aux fichiers et aux libertés.

[5] Autorité de contrôle prudentiel et de résolution.

[6] Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution.

[7] Articles 322-12 et suivants.

[8] Loi n° 2013-1168 de programmation militaire du 13 décembre 2013 et décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale.

[9] Instruction générale relative à la sécurité des activités d’importance vitale n° 660/SGDSN/PSE/PSN du 7 janvier 2014, qui annule et  remplace l’instruction n° 660/SGDSN/PSE/PPS du 26 septembre 2008.

[10] Arrêté du 2 juin 2006 fixant la liste des secteurs d’activités d’importance vitale.

[11] Agence nationale de la sécurité des systèmes d’information.

[12] EBA Guidelines EBA/GL/2014/12 publiées le 12 décembre 2014.

[13] Article 19.

[14] N° 2013-027.

[15] Sécurité des réseaux et de l’information ou Networks and Information Security.

[16] Approbation par le comité des représentants permanents le 18 décembre 2015.

[17] Version du 25 janvier 2012.

[18] Commission des libertés civiles, de la justice et des affaires intérieures du Parlement européen.

[19] Comité des représentants permanents.

[20] Proposition de directive sur la protection des savoir-faire et des informations commerciales non divulgués contre l’obtention, l'utilisation et la divulgation illicites.

 

Sommaire du dossier

Cybercriminalité, un risque systémique pour les banques

Articles du(des) même(s) auteur(s)

Sur le même sujet