Risque informatique : l’ACPR lance une consultation

Réseaux

Risque informatique : l’ACPR lance une consultation

Le superviseur des banques et des assurances propose une définition et une catégorisation du risque informatique afin de l’intégrer à la gestion des risques opérationnels.

Face à l’émergence des cyberattaques, l’Autorité de contrôle prudentiel et de résolution (ACPR) souhaite apporter un cadre aux banques et assurances. À cet effet, le superviseur a élaboré un « document de réflexion » sur le risque informatique, ou risque de gestion du système d’information, qu’il soumet à consultation jusqu’au 15 juin 2018. « La maîtrise du risque informatique n’est plus seulement un sujet propre aux équipes informatiques mais s’inscrit dans la démarche générale de contrôle et de maîtrise des risques pilotée par la fonction de gestion des risques », relève l’ACPR. Dans cette organisation, les instances dirigeantes sont directement impliquées, à la fois pour la mise en cohérence de la stratégie informatique et de l’appétit au risque, mais aussi pour la mise en oeuvre et le suivi d’un cadre de maîtrise des risques.

UNE DÉFINITION ENGLOBANTE

Afin de constituer un « socle commun », l’ACPR a élaboré une définition et une catégorisation du risque informatique, afin d’en couvrir les différentes dimensions et de pouvoir le traiter dans sa globalité. Le « risque informatique » est ainsi défini comme le « risque de perte résultant d’une organisation inadéquate, d’un défaut de fonctionnement, ou d’une insuffisante sécurité du système d’information, entendu comme l’ensemble des équipements systèmes et réseaux et des moyens humains destinés au traitement de l’information de l’institution ». Le superviseur fait ainsi le choix d’une définition « englobante », qui inclut la cybersécurité sans toutefois s’y limiter.

UNE CATÉGORISATION SUR PLUSIEURS NIVEAUX

L’ACPR propose une catégorisation de ce risque en fonction de trois « macroprocessus » : l’organisation du système informatique, le fonctionnement et la sécurité du SI. Pour chacun de ces processus, sont identifiés des risques principaux et secondaires. « Cette catégorisation peut servir aux établissements placés sous son contrôle pour élaborer ou renforcer leur propre cartographie », précise l’autorité.

 

Source : Argus de l’Assurance


Risque informatique 1

Risque informatique 2

Risque informatique 3

Partagez