Rechercher
  • Yassine Chekroun | Cyfor

Gestion du risque informatique : du nouveau pour les banques depuis le 28 juin 2021.

Depuis le 28 juin 2021, les banques sont soumises à une nouvelle contrainte règlementaire de gestion du risque informatique (arrêté du 25/02/2021, venant modifier l’arrêté du 03/11/2014). Les assureurs peuvent y puiser de l’inspiration, même s’ils n’y sont pas assujettis, et même si certaines dispositions font déjà partie de leur réalité. Tout ne sera pas nouveau pour les banques non plus, mais cela grave désormais dans le marbre une série de bonnes pratiques.



En quelques mots, la réglementation dispose que :

  • Ce risque est désormais piloté par la fonction de gestion des risques, et entre dans le champ du contrôle interne.

  • Le risque informatique fait partie des risques opérationnels et, qu’à ce titre, il doit être précisé dans tous ses aspects. Plusieurs concepts sont définis, notamment : un actif informatique, un service informatique, la sécurité des systèmes d’information, un incident opérationnel de sécurité.


Plus en détail, les évolutions portent sur :


- La gouvernance afin d’impliquer le management dans la gestion de risque. Cela passe par la formalisation d’une politique informatique qui soit alignée sur la stratégie business de l’établissement. Et naturellement par une déclinaison des dispositifs :

  • De gestion de risque (identification, évaluation, cadre de tolérance ou appétit pour le risque, actions d’atténuation, surveillance et reporting, collecte des incidents)

  • De contrôle interne (3 niveaux de contrôles, procédures de vérification)

  • Mise en œuvre des plans d’action et de remédiation.


- La gestion courante des systèmes d’information. Elle doit traiter et formaliser des procédures suivantes :

  • Exploitation des systèmes et des réseaux

  • Qualité et protection des données

  • Gestion des changements (pilotage des projets correctifs et évolutifs, des migrations, des tests)

  • Gestion de la continuité


- La sécurité des systèmes d’information, qui est naturellement mise en exergue, avec obligation d'établir :

  • Une politique de sécurité du système d’information qui détermine les principes mis en œuvre pour protéger la confidentialité, l’intégrité et la disponibilité.

  • Une cartographie des actifs

  • Des procédures de sécurité physique et logique

  • Des actions de sensibilisation et de formation des personnels et des dirigeants

  • Une gestion des incidents de sécurité


Déjà mis en œuvre ou pas, ces dispositifs nécessitent des moyens certains et une expertise pour les interpréter, les décliner de manière opérationnelle et pertinente. Le Cabinet Cyfor est à votre disposition. CONTACT | Cyfor

[Notez que l'arrêté du 25 février vient modifier ou compléter d'autres sujets que le risque informatique]

29 vues0 commentaire