INDICATEURS DE RISQUES Risques informatiques et risques opérationnels 12/02/2001 Indicateurs de risques opérationnels

EXPLOITATION DES INCIDENTS Disposer d’une base des incidents (qualification et typologie des incidents, heure début et fin, codification DICP, urgence, intervenants, portée de l ’incident (intrusion, virus ou hoax (leure), déni de service, mascarade, etc..) Mettre en place la cinématique des remontées intervenants modes de remontée des informations délais mini et maxi des remontées, Alimenter une base de connaissance qui permette d’appréhender rapidement la solution et le circuit de communication ) 12/02/2001 Indicateurs de risques opérationnels

EXPLOITATION DES INCIDENTS Organisation des équipes de gestion des incidents 1- niveau opérationnel (identification de l’incident, enregistrement, remontée des alertes, arrêt de sa propagation, ...) 2- niveau tactique (qualification de l’incident, de sa gravité, analyse et si possible éradication de l’incident, suivi, cellule de crise) 3- niveau stratégique (communications externes : légales, partenaires externes, relations publiques) 12/02/2001 Indicateurs de risques opérationnels

EXPLOITATION DES INCIDENTS Mise en place des procédures d’alerte - qui doit-on prévenir ? - temps de réaction après prévention ? - qui peut décider ? - accusé de réception de la remontée des incidents ? Mise en place des procédures de bilan - impact sur les victimes ? - historisation dans la base de connaissance ? - recherche de variantes futures ? Prévoir une gestion particulière des incidents dans le cas de sous-traitance et de « nomadisme » - contrat avec le sous traitant ou le nomade pour les alertes - centre d’appel - procédures dégradées pour passer les ordres par Fax, téléphone, ... 12/02/2001 Indicateurs de risques opérationnels

LES INDICATEURS GLOBAUX Disponibilité : Tout critère permettant d’apprécier une atteinte à la Continuité du service (Nombre de retards de diffusion, d’interruptions prolongées de l’informatique,…) Intégrité : Tout critère permettant d’apprécier une atteinte à la qualité des résultats fournis aux utilisateurs et clients (Nombre de dysfonctionnements, % malveillances et pertes associées,…) Confidentialité : Tout critère permettant d’apprécier une atteinte au secret de l’information (Nombre de diffusions ou copies illicites de documents, % d ’accès non autorisé par des moyens techniques,…) Preuve : Tout critère permettant d’apprécier la qualité de mise à disposition des preuves (Nombre d’audits effectués, % de correctifs réalisés suite aux actions de contrôle interne,…) 12/02/2001 Indicateurs de risques opérationnels

LES INDICATEURS GLOBAUX Organisation : Tout critère permettant d’apprécier une atteinte à la cohérence de l’organisation du service (séparation des pouvoirs, redondance des tâches, …) Surveillance : Tout critère permettant d’apprécier un manque opérationnel de contrôle des opérations (contrôle des envois aux clients, contrôle interne,...) Réglementation : Tout critère permettant d’apprécier une atteinte à la réglementation bancaire ou juridique (déclaration à la CNIL, réglementation interne,…) 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels LES RISQUES BANCAIRES Risque lié aux échanges non informatiques : guichet, courrier, téléphone, télécopie,… Risque de non respect de la réglementation 97-02 les établissements de crédit déterminent le niveau de sécurité informatique jugé souhaitable par rapport aux exigences de leurs métiers. Ils veillent au niveau de sécurité retenu et à ce que leurs systèmes dinformation soient adaptés Risque lié à l’externalisation => la séparation des responsabilités juridiques et opérationnelles (moyens humains, email,…) 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels LES RISQUES BANCAIRES Risque de manque de procédures dégradées en place, et régulièrement testées (secours) Risque de manque de procédures organisationnelles pour faire face aux situations de force majeur Risque de manque de copie des données qui peuvent être demandées par le client, des entreprises de marché ou les autorités de place Risque de manque d’une communication organisée Risque de crédit liés aux prêts ( avances, crédits revolving, facilités de trésorerie,…) Risque de non-liquidité (inadéquation emplois/ressources) 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels LES RISQUES BANCAIRES Risque d’intermédiation ( opérations d’investissement exécutées pour le compte du client) Risque juridique (Internet ne peut servir que de canal d’échange d’informations, tant qu’un contrat écrit n’est pas signé) Risque de réputation (diffusion rapide de fausses informations usurpation d’identité, …peut amener les clients à quitter en masse la banque Risque de blanchiment par la facilité d’accès au réseau sans contrainte géographique matérielle ou temporelle, dématérialisation et rapidité des opérations Identification du client (fausse identité,…) lié à l’accomplissement des formalités administratives à distance 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels LES RISQUES BANCAIRES Risque d ’ouvertures de comptes litigieux au nom de structures juridiques domiciliées dans des territoires ou l’anonymat est garanti (Les sites internet proposent de créer des sociétés dans des paradis fiscaux, offrant divers services bancaires off-shores ou des services de domiciliation ou de prête-noms Risque sur l’authentification de la signature des client (sur les clients et contreparties, sur l’anonymat du client surtout lorsqu’il est non-résident) Risque sur la non connaissance des travaux engagés par le CFONB concernant le profil de protection adapté aux risques des sites web financiers transactionnels. Ce qui permettrait de bénéficier d ’une certification conforme aux critères communs du SCSSI pour les services au delà de l’UE, selon un référentiel répondant aux recommandations du comité de Bâle (groupe electronic banking). 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels LA CERTIFICATION Certification La démarche PP à un cadre déjà définit dans le schéma national d’évaluation et de certification sécurité de la sécurité des technologies de l ’information. L ’évaluation fondées sur les critères communs nécessite le recours à un centre d’évaluation (CESTI) accrédité par la DCSSI pour mener la certification. Une fois l’évaluation achevée, il reviendra à la DCSSI de délivrer un certificat susceptible d’être reconnu au niveau international Agrément d’un prestataire Il doit rédiger les procédures d ’identification et de sélection des clients Il doit établir des modèles de convention des responsabilités des différentes parties Il doit se doter de mécanismes de filtres en amont de l ’acceptation des ordres et de trace en temps réel 12/02/2001 Indicateurs de risques opérationnels

LES RISQUES TECHNIQUES Risque sur les échanges informatiques : Minitel, Internet,… Risque sur le manque de procédures techniques bien définies sur les échanges informatiques Risque sur le manque de contrôle de leur respect et maîtrise (contrôle interne, audit externe) Risque sur le manque d’infrastructure de sécurité de validation des transactions financières (code PIN et carte à puce indispensable) 12/02/2001 Indicateurs de risques opérationnels

LES RISQUES TECHNIQUES Risque sur le manque de confiance lié à Internet (perte de crédibilité du public et des clients) face à des dysfonctionnements (problèmes techniques, fraudes malversations, déni de service, attaques visant à ternir l’image d’un établissement (caricatures sur le site, images pornographiques,…) En mars 1998 le comité de Bâle à publié un rapport : « Risk managerment for electronic banking and electronic money activities » qui recense un certain nombre de risques : Accès non autorisé au SI >>>>> pare-feu, mot de passe, chiffrement Injection de virus >>>>>>>>>> antivirus, tests de vulnérabilité Fraude des employés >>>>>>> sensibilisation aux enjeux de la sécurité Besoins de sécurité  DICP Risque sur les secrets (code confidentiel, clé privée) confiés au client transitent souvent en clair sur les lignes ou sont stockés en clair sur son PC. (Une des solutions cyber-com utilisant un lecteur sécurisé de cartes à puces permet d’assurer la non répudiation sur internet des paiements par carte bancaire) 12/02/2001 Indicateurs de risques opérationnels

LES RISQUES TECHNIQUES Risque de perte de maîtrise de l’outil informatique (opérations sur Internet) dirigeants et utilisateurs ne pourraient plus être en mesure de la maîtrise du risque de contrepartie et du niveau de service garanti au client Risque de perte d’intégrité des échanges (fraudes, usurpation d’identités,…) Risque de délégation à des prestataires de sites Internet pour l’exploitation, etc. Risque lié à la distance, qui peut rendre complexe la localisation des opérations et qui les effectuent 12/02/2001 Indicateurs de risques opérationnels

LES RISQUES TECHNIQUES Risque lié au secours technique « testé » (centres, serveurs, sites, réseaux, etc.) Risque physique lié aux installations physiques des matériels (poste de travail, serveurs,…) Risque logique lié au manque de sensibilisation des agents et à la mauvaise utilisation des outils de contrôle d’accès Risque réseau et architecture distribuée (ouverture sur l’extérieur, réseau local, etc.) 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels LA CIBLE Mettre en relief les indicateurs stratégiques pour : La Direction Générale Indicateurs stratégique nécessitant des décisions importantes au niveau de la Banque les Directions Métiers et Informatiques Indicateurs tactiques nécessitant des décisions importantes au niveau de la Direction les Départements opérationnels Indicateurs opérationnels nécessitant des correctifs de procédures (organisation, technique,…) 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels CRITERES POSSIBLES (P) Mesure de la validité d’exploitation des traces (typologie de l’incident, son origine, l’impact, sa compréhension) (P) Mesure de la Dispersion des responsabilités (administration et supervision) (IC) Mesure de l’efficience des tests d’intrusion (respects de la légalité et de la confidentialité des informations percées, maîtrise des fournisseurs) (I) Mesure de la bonne diffusion des alertes (exhaustivité, délai de diffusion, crédibilité des sources) 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels CRITERES POSSIBLES (I) Mesure de la bonne gestion des noms et adresses publiques (Domain Net Server et adressage Internet Protocole) dans les cas : de pertes de noms plus de connexions possibles sinon par l’adresse IP, de détournement de nom de domaines ou d’adresses les clients seraient alors orientés vers un autre site web, de renouvellement des enregistrements des noms de domaines (administratif) d ’usurpation d’identité sur un site sensible de déni de service ou saturation se traduisant par une indisponibilité de la machine pour les clients 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels CRITERES POSSIBLES (IC)Mesurer l’efficacité du filtrage à un point d’accès Internet - IP : protocole réseau n’offrant pas de sécurité, le champ contenant l’adresse source du paquet peut être manipulé - ICMP : protocole de contrôle du protocole IP, donne la liste des services actifs, la cartographie du réseau distant, attention il est souvent utilisé comme attaques pour des déni de services - TCP : protocole de transport IP permettant d’atteindre la grande majorité des services Internet (messageries, web,…) (IC)Mesurer l’efficacité du serveur PROXY (serveur placé entre les clients et le serveur web, il peut filtrer les connexions au web, ajout d’antivirus,...) (IC)Mesurer l’efficacité et de la robustesse de l ’architecture des points d’interconnexion avec Internet (séparé les domaines internes et externes, mettre en DMZ « zone tampon » les les fonctions les plus vulnérables,…) 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels CRITERES POSSIBLES (O)Délai écoulé depuis la dernière mise à jour du parc matériel (O)Fréquence de formation aux techniques bancaires / normes (O)% de sous traitants / effectif total de la direction (O)Turn-over du personnel informatique et non informatique / les références (O)Dégradation du climat social (stratégie de la DRH,…) (O)Nombre de projet n’ayant pas abouti dans des délais acceptables (délai annoncé + n% de référence) 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels CRITERES POSSIBLES (D)Fréquence de révision de la sécurité physique (détection et extinction automatique incendie, détection et reflux dégâts des eaux, secours électricité : onduleurs, groupe électrogène, batterie, groupe à volant d’inertie,…) (D)Taux de disponibilité du réseau (O)Nombre de vols constatés (O)Nombre de fraudes connues et montants détournés (D)Nombre d ’exercices de secours réalisés sur l’année (D)% de réussite des exercices de secours 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels CRITERES POSSIBLES (D)Nombre de serveurs disposant d’un plan de sauvegarde (S)Taux d’accroissement des échanges externes (S)% de nouveaux projets bancaires (S)Durée et charge moyennes des projets (D)% de dépendance vis à vis des fournisseurs (I) Évolution du stockage des informations (taux d’accroissement) 12/02/2001 Indicateurs de risques opérationnels

Indicateurs de risques opérationnels CRITERES POSSIBLES (R)Respect de la réglementation et de la législation (Nombre d’audit et revue réalisés, date du dernier audit) etc. 12/02/2001 Indicateurs de risques opérationnels

Gestion des risques entreprises Direction Générale Pilotage Décisions E X T E R N A L I S A T I O N Gestion des risques entreprises Indicateurs Directions Métiers Directions Informatiques Risques Risques D I C P O S R Échanges Procédures dégradées plan de continuité garantie de crédit non-liquidité intermédiation réputation blanchiment identification client ouverture de compte réglementation séparation des pouvoirs Secours informatique gestion du parc matériel sauvegardes sécurité physique contrôle d’accès tests d ’intrusion administration serveurs infogérance contrôle réseau audit et traces respect des lois (CNIL,…) Filtrage Internet Firewall antivirus gestion des adresses IP chiffrement/scellement notarisation cartes à puces certification (PP Internet) Départements métiers Départements informatiques Sécurité projets Exploitation des incidents Incidents Métiers Incidents Techniques Base de connaissance 12/02/2001 Indicateurs de risques opérationnels

Gestion des risques entreprises Direction Générale Pilotage Tableaux de bords Décisions E X T E R N A L I S A T I O N Gestion des risques entreprises alertes stratégiques Indicateurs Directions Métiers Directions Informatiques Critères Critères D I C P O S R Échanges -Procédures dégradées - PCA (Nbre de tests/an) -garantie de crédit (Nbre et type de contrôle) -non-liquidité - % de surv -intermédiation- % de surv -réputation - Nbre d’enquête -blanchiment - Nbre d’audit -identification client (Nbre de rappel d ’authentification.) -ouverture de compte Nbre de tests de secours/an Nbre de Maj parc matériel/an % de sauvegardes validées Nbre de revues physiques /an Nbre de tests d’intrusion/an Nbre audit d ’administration/an % de sensibilisation sécurité/an Nbre de revues d’habilitations/an Taux de disponibilité du réseau Nbre d’audit juridique/an Nbre de revue de lisibilité des traces/an, etc.. -Filtrage Internet -Firewall -antivirus -gestion des adresses IP -chiffrement -scellement -notarisation cartes à puces -certification (PP Internet) alertes graves Départements métiers Départements informatiques alertes corrigées Sécurité projets Exploitation des incidents Incidents Métiers Incidents Techniques Base de connaissance 12/02/2001 Indicateurs de risques opérationnels

Tableaux de bords - Direction Générale Constats Alertes Manque de secours efficace des informatiques de la banque qui se traduirait aujourd’hui en cas de sinistre par un arrêt sur plus d’un mois de 80% des services Dysfonctionnements dans le service de gestion des portefeuilles, de nature à faire partir les clients, plusieurs courriers font état d’anomalies Mécontentement social important des personnels d’agences suite aux fusions en cours, risque de mouvement social 12/02/2001 Indicateurs de risques opérationnels

Tableaux de bords Direction métiers ou informatiques Constats Alertes Chaîne de la comptabilité bloquée suite à un incident d’applications, transactionnel comptable et une partie des agences en attente de la reprise Déclaration à la CNIL non effectuée des fichiers comportant des données nominatives, suite à mise en production d ’une nouvelle application Essai de pénétration du réseau sans suite, plusieurs fois dans la nuit, la trace n’est pas significative pour analyser l’incident finement 12/02/2001 Indicateurs de risques opérationnels

Tableaux de bords Direction métiers ou informatiques Niveau de sécurité des systèmes informatique Disponibilité Niveau actuel Preuve Intégrité Cible à atteindre - moyenne national Confidentialité 12/02/2001 Indicateurs de risques opérationnels

Tableaux de bords Direction métiers ou informatiques Les projets prioritaires agences sont freinés par le contexte social Bonne progression de l’activité marché 12/02/2001 Indicateurs de risques opérationnels

Tableaux de bords - opérationnels Les incidents touchant la production sont en forte diminution. Le pic des incidents d’études du 3émé trimestre s’explique par la mise en production de nouvelles applications 12/02/2001 Indicateurs de risques opérationnels