L’intégration de la réglementation aux savoir-faire des banques

Pour évaluer la criticité d’un fournisseur et assurer la gestion des risques fournisseurs, il est possible de créer son propre questionnaire manuel mais cette méthode peut générer des complexités d’industrialisation, de collaboration et demande beaucoup de ressources et d’investissement. Il existe aussi des solutions du marché (Panorays, Security Scoreguard, et bien d’autres...) dites clés en mains pour la gestion des risques fournisseurs. Pour le moment, l’ensemble des critères servant à définir la criticité d’un fournisseur n’a pas encore été clairement défini par la Commission européenne.Les risques devront être en outre appréciés à plusieurs niveaux :– les impacts métiers liés à un incident chez un tiers : quel est l’impact sur les processus métiers cœur de l’entreprise ?– le non-respect de réglementations causées par un tiers (RGPD, PCI, SWIFT...) ;– l’atteinte à l’image de l’entreprise en cas de défaillance du tiers, cruciale dans le secteur bancaire basé sur la confiance des clients ;– le niveau de dépendance vis-à-vis d’un tiers pour le fonctionnement des processus métiers cœur de l’entreprise ;– les acteurs du conseil peuvent ici apporter une plus-value grâce à leur expertise des réglementations, de l’outillage, des process clés à mettre en place et de la stratégie de conduite du changement à adopter. Intégrer la gestion des risques fournisseurs aux savoir-faire des banques Les entités financières ayant déjà pris des mesures pour être conformes à la directive NIS ont l’avantage d’avoir déjà des processus et des procédures présents dans DORA. Notamment la gestion des risques, la détection et la réponse aux incidents, la notification des incidents de sécurité informatiques majeurs à l’Agence nationale de la sécurité des systèmes d’information (ANSSI).La connaissance sur la gestion des risques fournisseurs n’est pas centrée uniquement sur l’informatique mais sur l’ensemble des processus métiers et départements clés des entreprises bancaires. L’outillage sera inutile s’il n’est pas accompagné de process de gestion des risques fournisseurs et d’humains, qui vont mener la conduite du changement grâce à un appui aux métiers pour s’approprier ces process , aider à la bonne compréhension et évaluation des risques...Les équipes chargées d’intégrer cette connaissance au savoir-faire des banques devront travailler avec les directions métier afin d’évaluer la dépendance d’un fournisseur pour la réalisation des processus métiers. Les formations : un levier à la conduite du changement Les formations des dirigeants sont un des leviers à la conduite du changement et sont cruciales pour les impliquer. L’ensemble du personnel, employés et directions, doit être formé au travers de programmes de sensibilisation à la sécurité informatique et la résilience opérationnelle numérique sous forme de modules obligatoires.En pratique, la mise en place d’une démarche globale dans l’entreprise de gestion des risques fournisseurs, se rapprochant du Security by Design , va permettre d’élever le niveau de maturité des métiers et acteurs. L’implication des métiers dans les ateliers d’analyses de risques et d’identification des scénarios de risques contribuera à leur sensibilisation.Un autre aspect est l’élaboration de process d’acceptation des risques par les directions métiers afin de favoriser la compréhension des enjeux et de responsabiliser quant aux volontés d’accepter, de refuser ou diminuer les risques avec un fournisseur.Les acteurs habitués à la déclinaison des réglementations bancaires et à la conduite du changement pourront être des partenaires de cette transformation, cabinets d’avocats spécialisés ou cabinets de conseil.Plusieurs approches restent possibles concernant la formation et la sensibilisation :– la création d’un module de formation en ligne par l’entreprise, déployée sous forme de campagne de sensibilisation obligatoire pour l’ensemble du personnel peut être adaptée pour de grosses structures bancaires ;– l’animation de session de sensibilisation en présentiel ;– des éditeurs de logiciels se sont lancés dans l’édition de plateformes de sensibilisation à la sécurité, serious game thématique, ils peuvent appuyer ce type d’initiatives et parfois proposer des solutions clés en main (par exemple Erium, Conscio Technologies...).

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Régulation & Risques

EN PRATIQUE

L’intégration de la réglementation aux savoir-faire des banques

À retrouver dans la revue

Blockchain/Cryptoactifs

Les cryptomonnaies
ne menacent pas le système monétaire international

Infrastructures de marché

« Nous cherchons à alléger le coût des banques du panel de l’Euribor »

Blockchain/Cryptoactifs

Impact environnemental :
le mauvais procès
fait aux cryptomonnaies

Métiers

Une page s’est tournée pour l’Europe financière

Régulation & Risques

Pourquoi les banques doivent-elles adopter l'AIOps ?

Réglementation

Réforme du crédit à la consommation : les mesures liées à la surveillance

Réglementation

Les normes bâloises gagnent du terrain

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

﻿EN PRATIQUE

L’intégration de la réglementation aux savoir-faire des banques

À retrouver dans la revue

Les cryptomonnaies ne menacent pas le système monétaire international

« Nous cherchons à alléger le coût des banques du panel de l’Euribor »

Impact environnemental : le mauvais procès fait aux cryptomonnaies

Une page s’est tournée pour l’Europe financière

Pourquoi les banques doivent-elles adopter l'AIOps ?

Réforme du crédit à la consommation : les mesures liées à la surveillance

Les normes bâloises gagnent du terrain

EN PRATIQUE

Les cryptomonnaies
ne menacent pas le système monétaire international

Impact environnemental :
le mauvais procès
fait aux cryptomonnaies