Exigences de contrôle sur l'externalisation IT

Exigences de contrôle sur l'externalisation IT

L'externalisation est une réalité établie dans les banques, sociétés de gestion et de services financiers.

En 2023, l’Autorité des marchés financiers (AMF) – France a identifié dans les priorités de surveillance des sociétés de gestion la question des processus et diligences mis en place pour les prestataires informatiques externes.

Cette question a été traitée par les régulateurs européens, l'EBA et l'ESMA sous la forme de recommandations publiées en 2018 et amendées en 2019.

Voici aujourd'hui une publication qui détaille les bonnes pratiques à mettre en place, et les 2 piliers centraux :

➡️ Le #registre d’#externalisation, qui permet de fournir une cartographie fidèle des services externalisés, de leur profil de risque et des produits et services servis par l’externalisation.

➡️ L’élaboration d'une ou plusieurs stratégies de sortie, doit avant tout #s’adapter à la #maturité de l'organisation et à ses #moyens.

Une stratégie de sortie est avant tout une assurance donnée aux décideurs quant à la capacité de l’institution à poursuivre l’activité sujette à l’externalisation dans un délai maitrisé.

Le projet de réglementation #DORA (Digital Operational Resilience Act) est un cadre additionnel qui s’inscrit dans la continuité des orientations de l’autorité bancaire européenne de 2019, et entrera en vigueur à partir de 2025.

Pour davantage d'informations, contactez-nous !

 

TELECHARGER LA PUBLICATION



100 knots … checked

100 knots … checked

Quel est le point commun entre un pilote d'avion et un ingénieur DevOps ? Pas si évident que ça a priori... et pourtant.

Si comme moi, il vous arrive de vous faire piéger par l'algorithme de YouTube, vous êtes peut-être déjà tombé sur les séquences montrant des pilotes de ligne qui partagent leur quotidien hors du commun. Il fait toujours beau à 30000 pieds, n’est-ce pas !

Ces vidéos incroyables nous font entrevoir ce qui se cache derrière la porte du cockpit.

Un détail m’interpelle particulièrement. Peu importe le les heures de vol accumulées par ces professionnels, la procédure lors des phases critiques du vol reste la même : briefing, vérification, contre-vérification systématiques entre les deux pilotes lors des phases critiques du vol. Thrust set… checked. 100 knots… checked. V1…. Rotate, minimums… Continue etc …

Le partage de responsabilité entre les deux est clair et ne souffre d’aucune ambiguïté ! Chaque action est annoncée par celui qui pilote, et vérifiée par celui qui contrôle.

Certains métiers des technologies de l’information, notamment les opérations de production, gagneraient à s’inspirer de cette culture. Vous voyez où je veux en venir.

La haute disponibilité est devenue un acquis. Manipuler des systèmes critiques est une activité périlleuse qui nécessite - quand on ne peut pas automatiser les gestes - une vigilance accrue et des protocoles de vérification systématique par les techniciens qui interviennent sur ce genre d’infrastructure.

Bien entendu, cette notion s’étend à toute activité critique qui repose sur le facteur humain. Cela reste la cause d’une bonne partie des incidents graves (déployer un composant sur le mauvais environnement, brancher un câble dans le mauvais port, faire un "fat finger" qui transforme des millions en milliards…).

Bref, vous l'aurez compris : accéder à des pratiques d’autres industries où la sécurité est le maitre mot doit être facilité et encouragé pour que le risque opérationnel soit maitrisé. A vos check-list !

Chez Unité consulting nous intégrons pleinement cette bonne pratique dans le re-design des processus opérationnels pour mieux prévenir les incidents critiques. Contactez-nous pour plus d’informations.

Références :

Rapport annuel de la BCE sur les risques IT

Rapport annuel de la BCE sur les risques IT

Le rapport annuel sur les conclusions de l’IT Risk Assessment conduit par la Banque Centrale Européenne est sorti cet été. Il a été réalisé dans le cadre des travaux du Supervisory Review and Evaluation Process (SREP) en se basant sur un questionnaire portant sur les différents domaines du risque IT.

Le rapport se base sur des données collectées en 2018, issues de plus de 100 réponses au questionnaire adressé aux institutions financières de la zone euro, des missions de contrôle effectuées sur site ainsi que les incidents Cyber collectés par la Supervision Bancaire de la BCE.

En 2018, 22% des répondants sont des organismes de crédit Retail ou sectoriel.

Les principales observations à retenir sont les suivantes :

  • Après la première auto-évaluation de 2017 dans laquelle les niveaux de risque remontés étaient sous-estimés, les niveaux de 2018 ont été globalement revus à la hausse sur l’ensemble des risques IT. Les 5 catégories de risques définies par l'EBA sont la Sécurité IT, la disponibilité des services, la gestion des changement, l’intégrité des données et l’IT Outsourcing.
  • Le rapport a mis l’accent sur le risque que représente les systèmes obsolètes (End of Life) sur lesquels des processus critiques continuent de tourner. Le nombre d’institutions qui ont déclaré des dépendances vis-à-vis de ces systèmes EOL a augmenté de 14% entre 2017 et 2018 pour s’établir à 77%.

  • Les risques Cyber restent élevés de manière générale, un lien direct est établi avec les systèmes EOL et la complexité des systèmes d'information.

  • Les dépendances vis-à-vis des fournisseurs ont fait accroitre les risques liés à l’IT Outsourcing.

  • Le rapport tente, sans vraiment y parvenir, de faire une corrélation entre le nombre d’administrateurs avec une compétence IT et différents indicateurs de risque IT. La doctrine de la supervision de la BCE insiste sur l’importance d’inscrire régulièrement ces risques à l’ordre du jour des conseils d’administration.

L’organe de supervision prend acte de la tendance observée vers des auto-évaluations plus prudentes même si elles ne couvrent pas l’ensemble des risques IT. La supervision prévoit de porter une attention particulière sur les menaces cyber, les systèmes obsolètes EOL - pour lesquels des demandes explicites de remontée d’information seront formulées - et enfin le risque d’externalisation en vérifiant le degré de maturité des processus de pilotage des services externalisés et leur intégration dans les plans de contrôles permanents.