Université Paris-Est Créteil Val de Marne Faculté Administration et échanges internationaux Master 2 AEI Spécialité Commerce Électronique



Documents pareils
Les principes de la sécurité

Gestion des utilisateurs et Entreprise Etendue

Fiche de l'awt La sécurité informatique

Gestion du centre de données et virtualisation

Gestion Electronique des Documents et la qualité documentaire au cœur du développement durable.

Concepts et définitions

CA ARCserve Backup. Avantages. Vue d'ensemble. Pourquoi choisir CA

État Réalisé En cours Planifié

Virtualisation des postes de travail

Notre solution l'«alter-shore», un regard différent de la solution de l «Off-Shore» Consulting & Ingénierie Partenaire des solutions Offshore

ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL

La gestion électronique de l information et des documents entreprise. Présentation


Dématérialisation et document numérique (source APROGED)

Cours 20411D Examen

Gestion des identités

I) - DEFINITIONS I-A) TERMINOLOGIE

SafeNet La protection

Chapitre 1 : Introduction aux bases de données

Votre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise

Politique de Référencement Intersectorielle de Sécurité (PRIS)

I partie : diagnostic et proposition de solutions

CONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION

Management de la sécurité des technologies de l information

Examen professionnel. Informatique, système d information. Réseaux et télécommunications

DOSSIER SOLUTION : CA RECOVERY MANAGEMENT

Cours 10219A: Configuration, Gestion Et Résolution Des Problèmes De Microsoft Exchange Server 2010

L I V R E B L A N C. En partenariat avec Esker. Franck Nassah Mars 2006

Formation SQL Server 2012 Administration des Instances

INDUSTRIALISATION ET RATIONALISATION

Cours 20412D Examen

Cloud Computing. Veille Technologique

Nomenclatures 2008 NAF rév. 2 - CPF rév. 2. Section M Division 70

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

Chapitre 2 Rôles et fonctionnalités

PICRIS. Le progiciel des métiers de la Retraite, de la Santé, de la Prévoyance et du Social

ADMINISTRATEUR WINTEL Dominique MAHIEU 35 ans WINDOWS 2008/2003, ACTIVE DIRECTORY, EXCHANGE, CITRIX, VMWARE

Architecture d'entreprise : Guide Pratique de l'architecture Logique

Cloud Computing dans le secteur de l Assurance

CATALOGUE DE SERVICES DE LA DIRECTION DU SYSTEME D INFORMATION DE L UNIVERSITE DE LIMOGES

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

Texte de l'arrêté "Site e-business"

SOUTIEN INFORMATIQUE DEP 5229

ISO la norme de la sécurité de l'information

SQL Server Administration d'une base de données transactionnelle avec SQL Server Management Studio (édition enrichie de vidéos)

ERP5. Gestion des Services Techniques des Collectivités Locales

ACCÈS AUX RESSOURCES NUMÉRIQUES

AccessMaster PortalXpert

Business et contrôle d'accès Web

ISMS. Politique de sécurité de l'information. (Information Security Management System) (Information Security Policy)

Prix de l'innovation financière 2013

Services aux personnes dépendantes, un enjeu durable. Une collaboration transfrontalière 10 mai 2011

DEMANDE D INFORMATION RFI (Request for information)

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

SOCIETE GENERALE. Etude de la relation client. Elodie Mouillet. Elodie Mouillet

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Citrix XenApp 7.5 Concepts et mise en oeuvre de la virtualisation d'applications

IAM et habilitations, l'approche par les accès ou la réconciliation globale

Dell Server PRO Management Pack 4.0 pour Microsoft System Center Virtual Machine Manager Guide d'installation

Table des matières Chapitre 1 Virtualisation, enjeux et concepts Chapitre 2 Ligne de produit XEN

Résultats de l Observatoire 2013 Etats des Lieux de l Open Source en France réalisé en décembre 2012

DAVION Didier 33 avenue Paul Cézanne HOUPLINES. Auditeur n NPC URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

SQL Server 2014 Administration d'une base de données transactionnelle avec SQL Server Management Studio

QU EST-CE QUE LE PLM?

QU EST-CE QUE LE PLM?

LANDPARK NETWORK IP LANDPARK NETWORK IP VOUS PERMET D'INVENTORIER FACILEMENT VOS POSTES EN RÉSEAU

1 JBoss Entreprise Middleware

Guide DinkeyWeb. DinkeyWeb solutions d authentification et de contrôle d accès WEB

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

BTS Assistant de manager(s) LES FINALITES PROFESSIONNELLES

Symantec Network Access Control

PMI PLACE DE MARCHE INTERMINISTERIELLE GUIDE D'UTILISATION UTILISATEUR OPERATEUR ECONOMIQUE

En outre 2 PDD sont impliqués dans le développement de politiques locales destinées à favoriser l'insertion des personnes handicapées.

Les ressources numériques

ITIL, le CMS et vous LIVRE BLANC DES MEILLEURES PRATIQUES

SuisseID Mon «moi numérique»

Annuaires LDAP et méta-annuaires

Université du Québec à Trois-Rivières Politique de gestion des documents actifs, semi-actifs et inactifs de l'u.q.t.r.

LA VoIP LES PRINCIPES

MICROSOFT DYNAMICS CRM & O Val

L ERP global et proactif des Entreprises Moyennes

A. À propos des annuaires

Le rôle Serveur NPS et Protection d accès réseau

En savoir plus pour bâtir le Système d'information de votre Entreprise

Dématérialiser les échanges avec les entreprises et les collectivités

Sommaire. Présentation OXIA. Le déroulement d un projet d infogérance. L organisation du centre de service. La production dans un centre de service

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

La carte d'achat dans les organisations françaises

Solutions informatiques (SI) Semestre 1

L offre de formation 2014 INSET de Dunkerque

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

Intitulé du poste : Ingénieur Réseau et télécommunication, chef de projet

LA COMPTABILITÉ DU COMITÉ D ENTREPRISE : DE NOUVELLES OBLIGATIONS DE TRANSPARENCE À PARTIR DU 1 er JANVIER 2015

Conditions générales de ventes - Hébergement

BTS Assistant de gestion de PME-PMI à référentiel commun européen

Configuration Et Résolution Des Problèmes Des Services De Domaine Active Directory Windows Server Référence Cours : 6238B

Transcription:

Université Paris-Est Créteil Val de Marne Faculté Administration et échanges internationaux Master 2 AEI Spécialité Commerce Électronique Sécurisation des Réseaux & Télécoms Travaux dirigés 2013/2014 Jalal BOULARBAH BNP Paribas, la sécurisation globale et permanente du SI En 2000, la fusion des deux banques permet la création du groupe BNB Paribas. À l'issue de cette opération, le groupe se positionne au rang de première banque de la zone euro par l'importance de ses résultats et de sa capitalisation boursière (47,15 MD en 2004) et au second rang dans le domaine des services bancaires et financiers. Ses multiples positions de leader légitiment sa stratégie de développement et de croissance sélective, interne ou externe, dans chacun de ses métiers. Le groupe est doté d'un solide ancrage en Europe et d'une forte présence aux États-Unis et en Asie avec 95 000 collaborateurs, dont 70 000 en Europe (52 000 en France), dans plus de 85 pays, et 2 450 agences en France pour la clientèle des particuliers et 24 centres d'affaires regroupant plusieurs expertises du groupe. BNP Paribas a réalisé en 2004 un chiffre d'affaires de 18 823 M. Les métiers du groupe sont structurés en grands domaines d'activité : Banque de financement et d'investissement, constituée des activités de marchés et de conseil aux entreprises, financements spécialisés et banque commerciale. L'activité Asset Management and Services (gestion institutionnelle et privée), qui englobe l'activité assurance et titres. L'activité banque de détail, représentée par des services financiers spécialisés (Cetelem, Cortal, Consors, etc.) en France et à l'international. BNB Paribas Capital, qui regroupe les activités de Private Equity (investissement au capital de sociétés non cotées, en vue de dégager à moyen terme un gain financier sous forme de plus-values). Lors de la création de BNP Paribas, l implémentation d'un nouveau système d'information est devenue une priorité pour la direction afin de consolider et de fusionner les activités des deux entreprises dans une triple optique : un service unifié proposé à la clientèle, un pilotage interne cohérent, une fiabilité des données adressées aux marchés et aux actionnaires. Dans cette perspective de mutualisation et d'homogénéisation sécurisées, le groupe BNP Paribas a mis en œuvre le projet «image» qui, en s'appuyant notamment sur les technologies Microsoft, visait à fournir à l'ensemble du groupe une plateforme standardisée, supervisée et administrée en ce qui concerne les postes de travail, les logiciels bureautiques de base et l'environnement de sauvegarde des données utilisateurs. La mise en place d'un SI unifié servait deux objectifs stratégiques : La sécurité et le contrôle des SI BNP Parisbas Page 1 / 5

développer l'offre commerciale, en centralisant les données opérationnelles, en analysant l'activité et les risques liés et en élargissant et adaptant l'offre commerciale ; générer des synergies régionales, en créant des liens entre les différents centres de traitement informatique régionaux et en centralisant les back-offices. De nombreux chantiers informatiques ont été mis en œuvre entre juin 2000 et juin 2002, qui ont mobilisé mille personnes et coûté environ 400 M. Six à huit mois ont été nécessaires pour cartographier et évaluer les deux systèmes existants et choisir ensuite les meilleures «briques» et réfléchir à l'interfaçage et aux combinaisons. À l'issue de cette démarche accompagnée par des cabinets de conseil (Boston Consulting Group et 1GS, etc.), le groupe BNP Paribas a opté pour une stratégie de gouvernance SI qui fédère, au niveau global, un système d'information de groupe dont les fonctions centrales sont la gestion de la sécurité, de l'infrastructure globale, des normes et standards d'urbanisme. La production informatique du groupe est ainsi mutualisée par zone géographique, avec un site de traitement et un back-up par continent. Elle est constituée de cinq groupes «métiers banque» et de deux groupes transverses (ingénierie systèmes et services). Au niveau local, des systèmes d'information propres à chaque activité étaient mis en place. Chaque métier dispose de ses équipes de développement d'applications informatiques propres à ses besoins et à son contexte. Comme l'indique Hervé Gouèzel, directeur des systèmes d'information du groupe BNB Paribas : «Le directeur informatique métier gagne en réactivité, tout en s'appuyant sur une cohérence commune et des ressources partagées.» Des groupes de travail mixtes BNP et Paribas ont été formés. Quelque 180 solutions applicatives ont été retenues et une infrastructure cible a été définie pour le groupe au niveau mondial. Cette nouvelle plateforme logicielle est basée sur les systèmes d'exploitation de Microsoft que sont Windows Server 2000, Windows XP Professionnel et Office XP. L'organisation BNB Paribas mobilise ainsi environ 6 000 informaticiens en interne et près de 4 000 spécialistes issus de sous-traitants. Au niveau central, une entité Systèmes d'information groupe (SIG) a été créée, représentant 40 % de l'ensemble de l'effectif et du budget. Le parc informatique est constitué de près de 90 000 postes de travail, d'environ 8 500 serveurs NT et UNIX ainsi que de deux mainframes de 13 000 MIPS (Million Instructions Per Second) supportant près de 500 millions de transactions par mois. L'ensemble de ces investissements a permis non seulement le maintien de l'opérationnalité des systèmes d'information et le développement du cross-selling (ou ventes croisées, technique commerciale particulièrement adaptée à Internet qui permet de proposer au client d'un site, intéressé par un produit, un ensemble d'autres produits complémentaires), mais également d'assurer une meilleure sécurité en centralisant la production et en unifiant l'infrastructure. Grâce aux innovations technologiques et multimédias, de nombreux projets informatiques ont ainsi été mis en œuvre par le groupe BNP Paribas pour pouvoir développer des applications de gestion, notamment la gestion de la relation client avec l'approche multicanale (Internet, agences, courrier et téléphone), la création des centres d'appels, l'automatisation de la force de vente et le développement des applications Web liées au Knowledge Management pour sauvegarder et partager le La sécurité et le contrôle des SI BNP Parisbas Page 2 / 5

capital intellectuel de l'entreprise. Le SI participe ainsi à la sécurisation et à la pérennisation de l'entreprise en facilitant le stockage et la réutilisation des compétences. La seconde orientation des projets, intimement liée à la «Webisation» de nombreuses applications de l'entreprise, concerne les investissements en matière de sécurité informatique et de contrôle. Dans la mesure où la législation sur la sécurité des données personnelles se développe en se focalisant sur les problématiques liées à la capture, au traitement et au stockage de ces données, il est difficile pour les entreprises, et plus particulièrement les banques, de satisfaire à l'ensemble des exigences et contraintes réglementaires (lois de 1978 et 2004 prolongées par les directives de la CNIL) qui régissent la confidentialité des données, la sécurité et la prévention des risques. Une gestion organisée et préventive des utilisateurs est devenue essentielle pour garantir l'accès des seuls individus autorisés aux ressources sensibles. Le groupe BNP Paribas s'est inscrit dans cette démarche pour se conformer à la législation, mais surtout pour renforcer son image de marque vis-à-vis de ses clients et partenaires. Pour proposer des produits et services plus sûrs à ses clients, BNP Paribas agit sur deux grands dispositifs : la sécurisation des transactions électroniques bancaires et la signature électronique. En effet, avec l'automatisation des processus métier et la dématérialisation des flux documentaires, la manipulation manuelle et le traitement physique des données personnelles sont devenus de plus en plus difficiles et risqués. BNP Paribas a donc mis en place vers 2001 un système d'authentification, par certificat numérique et par signature électronique. L'intégration de ce dispositif dans une application en ligne (Web) de dématérialisation de flux documentaires sensibles lui confère une sécurité en-figeant le document et une valeur juridique équivalente à celle d'un flux de documents papier signés «manuscritement», en fonction des certificats employés. La signature électronique est désormais reconnue comme preuve formelle au même titre que la signature manuscrite et vaut ordre d'exécution. Elle est transmise à l'aide d'une carte à microprocesseur et est transportée avec les fichiers des opérations. Ce dispositif s'est accompagné de la mise en place de certaines normes qui favorisent la sécurité des échanges informatiques avec le groupe, telles que la norme ETEBAC5 (échange télématique banque-client). Cette norme de sécurisation des transferts permet de transporter des fichiers de format fixe ou variable, indépendamment de leur contenu. Elle repose sur quatre principes : l'authentification réciproque, qui permet de vérifier l'identité des partenaires mis en relation lors de la transmission ; l'intégrité, qui garantit la nonaltération des données lors du transport du fichier ; la non-répudiation, qui permet aux deux parties de prouver l'envoi et la réception d'une télétransmission ; la confidentialité, qui empêche la lecture ou l'interprétation des données par un tiers non habilité. Pour renforcer et sécuriser davantage sa relation avec les entreprises clientes, BNP Paribas a mis à leur disposition, vers 2003, un espace d'échanges électroniques sécurisés pour la dématérialisation de leurs transactions. S'appuyant sur la solution technique Kotio CommonBox (Kotio est un éditeur de logiciels d'infrastructure de gestion de preuve) qui permet de contrôler et de sécuriser le processus de diffusion et l'approbation des documents déposés, cet espace de travail collaboratif réservé La sécurité et le contrôle des SI BNP Parisbas Page 3 / 5

aux «ayants droit» leur permet d'accélérer la gestion de leurs projets en toute sécurité. En 2003, le groupe BNP Paribas lance un vaste projet visant à renforcer le contrôle d'accès à ses systèmes et applications stratégiques au moyen d'une gestion centralisée des utilisateurs et de leurs droits d'accès. L'objectif est de gérer de façon précise et centralisée les processus d'habilitation et de juridiction des utilisateurs, de faciliter l'audit des systèmes informatiques transactionnels, d'accroître la productivité des collaborateurs et de réduire les coûts. La société CA (Computer Associates International est un éditeur de logiciels de gestion informatique) est en charge de ce projet. Les solutions adoptées par le groupe s'appuient sur deux applications. Pour protéger les serveurs existants dans l'entreprise contre d'éventuelles intrusions et du piratage, l'entreprise a choisi l'application etrust Access Control. Celle-ci assure un contrôle d'accès individuel pour les connexions système, pour l'accès aux objets, aux ressources, aux programmes, aux fichiers, aux processus, aux services et aux applications. En outre, elle sécurise l'infrastructure informatique et réduit les vols d'informations en régulant l'accès aux informations confidentielles de l'entreprise et aux services qui présentent un aspect stratégique. Cette solution offre un contrôle basé sur la gestion des mots de passe qui autorisent les personnes à accéder à des ressources spécifiques et aux utilisations qu'elles peuvent en faire, dans des périodes précises. Grâce à l'établissement d'un journal de l'ensemble des actions et accès des utilisateurs, l'application assure également la traçabilité des activités de substitution d'identité, en les associant aux utilisateurs authentifiés à l'origine. Afin de gérer la quantité d'informations personnelles des clients stockées dans les différents systèmes informatiques, l'entité Global Procurement Group de BNP Paribas (chargée de la négociation des contrats avec les fournisseurs externes) a mis en place l'application etrust Admin de CA. Cette application lui permet de gérer les identités de manière sécurisée au sein de l'entreprise sur un ensemble de systèmes physiques et de services Web. Elle automatise entièrement la gestion des comptes utilisateurs et peut-être alimentée par des informations qui proviennent de sources autorisées de référence, par exemple les référentiels du service des ressources humaines. Hervé Gouëzel précise : «Nous avons retenu etrust Admin pour le support des différentes technologies présentes à la Banque, pour sa parfaite intégration dans l'environnement global de production et notamment les outils de pilotage en place, dont Unicenter.» Le déploiement de l'application etrust Admin a été progressif : entre 2004 et 2005, cette solution a été appliquée auprès de 5 000 utilisateurs du «System Information Group» qui a en charge l'ensemble des systèmes et applications stratégiques de la banque ainsi que la fourniture de toute l'infrastructure y compris les échanges inter-applicatifs. À terme, la solution concernera l'ensemble des collaborateurs du groupe BNP Paribas dans le monde. La sécurité et le contrôle des SI BNP Parisbas Page 4 / 5

Questions 1. Faites une synthèse des différents aspects de la sécurisation du SI de BNP Paribas. 2. Dans les projets de sécurisation du SI, comment répartissez-vous leurs composantes entre les dimensions managériale, organisationnelle et technologique? 3. Quels sont les problèmes spécifiques de sécurisation que pose une opération de fusion entre deux entreprises sur le plan de la sécurisation du SI? 4. Comment une banque de taille mondiale comme BNP Paribas aborde-t-elle la sécurisation globale et locale de son SI? La sécurité et le contrôle des SI BNP Parisbas Page 5 / 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back