Droit des moyens et services de paiement

Le risque informatique fait son entrée dans l’arrêté du 3 novembre 2014 relatif au contrôle interne

Par suite d’un arrêté du 25 février 2021 modifiant le « fameux » arrêté du 3 novembre 2014, les établissements assujettis devront se doter, à compter du 28 juin 2021, d’une organisation de la gestion du risque informatique.

Le risque informatique fait son entrée dans l’arrêté du 3 novembre 2014 relatif au contrôle interne

L'auteur

* Les propos de l’auteur n’engagent que celui-ci.

Revue de l'article

Cet article est extrait de
Revue Banque n°855

Banque de détail : la crise accélère une transformation nécessaire

1. Du risque informatique. L’ACPR avait utilement préparé le terrain par la publication, en janvier 2019, d’un document de réflexion intitulé « Le Risque informatique », synthèse d’une consultation publique lancée en mars 2018.

Il y était souligné que « la maîtrise du risque informatique n’est plus seulement un sujet propre aux équipes informatiques mais qu’elle s’inscrit dans la démarche générale de contrôle et de maîtrise des risques pilotée par la fonction de gestion des risques », de sorte que « le cadre de référence de gestion du risque opérationnel a donc vocation à être précisé pour mieux inscrire le risque informatique, dans toutes ses dimensions, au sein des catégories reconnues de risque opérationnel » [1].

2. Extension du domaine du contrôle interne. Jusqu’ici, le contrôle interne, c’était, notamment : un système de contrôle des opérations et des procédures internes ; une organisation comptable et du traitement de l'information ; des systèmes de mesure des risques et des résultats ; des systèmes de surveillance et de maîtrise des risques ; un système de documentation et d'information, et un dispositif de surveillance des flux d'espèces et de titres [2].

Dans quelques semaines (28 juin 2021, donc), l’article 3 de l’arrêté du 3 novembre 2014 sera sensiblement réécrit et, surtout, intégrera, en lieu et place du « dispositif de surveillance des flux d’espèces et de titres », l’exigence d’ « une organisation de la gestion du risque informatique » [3].

3. Définitions. La définition du risque informatique est ajoutée à l’article 10, as) de l’arrêté du 3 novembre 2014 : « risque de perte résultant d’une inadéquation ou d’une défaillance affectant l’organisation, le fonctionnement, le changement ou la sécurité du système d’information », étant ajouté que « le risque informatique est un risque opérationnel » [4].

La sécurité du système d’information est elle-même définie de cette façon : « protection de la confidentialité, l’intégrité et la disponibilité des données et des actifs informatiques, notamment pour en garantir l’authenticité, l’imputabilité, la responsabilité et la fiabilité » [5].

S’y ajoutent les définitions nouvelles suivantes :

– « Actif informatique : matériel informatique et de télécommunication ou logiciel utilisé par une entreprise assujettie » [6] ;

– « Système d’information : ensemble des actifs informatiques et des données, ainsi que des moyens humains permettant le traitement de l’information d’une entreprise assujettie » [7] ;

– « Service informatique : service fourni au moyen d’actifs informatiques à des utilisateurs internes ou externes. Un service informatique comprend notamment la saisie, le traitement, l’échange, le stockage ou la destruction de données aux fins de réaliser, soutenir ou suivre des activités » [8].

4. Gestion de la continuité d’activité. Au titre de « la mesure du risque opérationnel », un nouvel article 215 remplace l’ancien, ainsi rédigé :

« Les entreprises assujetties établissent un dispositif de gestion de la continuité d’activité validé par l’organe de surveillance et mis en œuvre par les dirigeants effectifs, qui vise à assurer leur capacité à maintenir leurs services, notamment informatiques, de manière continue et à limiter leurs pertes en cas de perturbation grave, et qui comprend :

a. Une procédure d’analyse quantitative et qualitative des impacts de perturbations graves sur leurs activités, tenant compte des liens de dépendance existant entre les différents éléments mis en œuvre pour chaque activité, notamment les actifs informatiques et les données ;

b. Un plan d’urgence et de poursuite de l’activité fondé sur l’analyse des impacts, qui indique les actions et moyens à mettre en œuvre pour faire face aux différents scénarios de perturbation des activités et les mesures requises pour le rétablissement des activités essentielles ou importantes ;

c. Un plan de reprise d’activité qui comporte des mesures d’urgence destinées à maintenir les activités essentielles ou importantes.

Les entreprises assujetties testent périodiquement leur dispositif de gestion de la continuité d’activité, notamment leurs services informatiques, et s’assurent que leur organisation et la disponibilité de leurs ressources humaines, immobilières, techniques et financières font l’objet d’une appréciation régulière au regard des risques liés à la continuité de l’activité. »

5. Gestion du risque informatique. Il est inséré, après l’article 270 de l’arrêté du 3 novembre 2014, un titre VI bis intitulé « Gestion du risque informatique » et composé des articles 270-1 à 270-5.

À ce stade, notre glose serait moins pertinente que le texte de ces dispositions lui-même :

– article 270-1 : « Les entreprises assujetties établissent leur stratégie en matière informatique afin de répondre aux objectifs de leur stratégie d’affaires. Les dirigeants effectifs et l’organe de surveillance s’assurent que les ressources allouées à la gestion des opérations informatiques, à la sécurité du système d’information ainsi qu’à la continuité d’activité sont suffisantes pour que l’entreprise assujettie remplisse ses missions » ;

– article 270-2 : « Les entreprises assujetties organisent la gestion de leur risque informatique de façon à : identifier le risque informatique auquel elles sont exposées pour l’ensemble de leurs actifs informatiques et de leurs données utilisés pour leurs différentes activités opérationnelles, de support ou de contrôle ; évaluer ce risque, au regard de leur appétit pour le risque, en tenant compte des menaces et des vulnérabilités connues ; adopter des mesures adéquates de réduction du risque informatique, y compris des contrôles ; surveiller l’efficacité de ces mesures et informer les dirigeants effectifs et l’organe de surveillance de leur bonne exécution. Les entreprises assujetties s’assurent à cette fin que le contrôle interne de leur risque informatique est organisé conformément aux dispositions des articles 12 et 14 du présent arrêté » ;

- article 270-3 : « Les entreprises assujetties établissent par écrit une politique de sécurité du système d’information qui détermine les principes mis en œuvre pour protéger la confidentialité, l’intégrité et la disponibilité de leurs informations et des données de leurs clients, de leurs actifs et services informatiques. Cette politique est fondée sur une analyse des risques et approuvée par les dirigeants effectifs et l’organe de surveillance.

En application de leur politique de sécurité du système d’information, les entreprises assujetties formalisent et mettent en œuvre des mesures de sécurité physique et logique adaptées à la sensibilité des locaux, des actifs et services informatiques, ainsi que des données.

Les entreprises assujetties mettent également en œuvre un programme de sensibilisation et de formations régulières, soit au moins une fois par an, à la sécurité du système d’information au bénéfice de tous les personnels et des prestataires externes, et en particulier de leurs dirigeants effectifs » ;

– article 270-4 : « Les entreprises assujetties organisent leurs processus de gestion des opérations informatiques conformément à des procédures à jour et validées, dont l’objectif est de veiller à ce que les services informatiques répondent aux besoins de l’entreprise assujettie et de ses clients. Ces procédures couvrent notamment l’exploitation, la surveillance et le contrôle des systèmes et services informatiques. Elles sont complétées par un processus de détection et de gestion des incidents opérationnels ou de sécurité » ;

– article 270-5 : « Les entreprises assujetties disposent d’un cadre de conduite clair et efficace de leurs projets et programmes informatiques. Il est accompagné d’un processus de gestion de l’acquisition, du développement et de l’entretien des systèmes d’information, ainsi que par un processus de gestion des changements informatiques garantissant que les modifications apportées aux systèmes informatiques sont enregistrées, testées, évaluées, approuvées et implémentées de façon contrôlée. »

Là où le commentaire peut reprendre son empire, c’est lorsque l’on met, par exemple, ces règles nouvelles en relation avec le futur règlement européen sur la résilience opérationnelle numérique du secteur financier, dont la Commission a publié la proposition le 24 septembre dernier [9], au sein du « paquet finance numérique ». Où l’on retrouve l’obligation première que « les entités financières disposent de cadres de gouvernance et de contrôle internes qui garantissent une gestion efficace et prudente de tous les risques informatiques » [10].

Achevé de rédiger le 12 mars 2021.

 

[1] ACPR, Le Risque informatique, p. 4.

[2] Arr. 3 nov. 2014, art. 3.

[3] Arr. 3 nov. 2014, art. 3, f) nouv.

[4] Comp. ACPR, Le Risque informatique, pp. 11-12 : « Le “risque informatique” correspond au risque de perte résultant d’une inadéquation ou d’une défaillance des processus d’organisation, de fonctionnement, ou de sécurité du système d’information, entendu comme l’ensemble des équipements systèmes et réseaux, des logiciels et des données, ainsi que des moyens humains contribuant au traitement de l’information de l’institution. »

[5] Arr. 3 nov. 2014, art. 10, at) nouv.

[6] Arr. 3 nov. 2014, art. 10, ap) nouv.

[7] Arr. 3 nov. 2014, art. 10, aq) nouv.

[8] Arr. 3 nov. 2014, art. 10, ar) nouv.

[9] COM(2020) 595 final, 24 sept. 2020.

[10] Prop. Règl., art. 4, 1.

 

Articles du(des) même(s) auteur(s)

Sur le même sujet