Cyber-sécurité et services externalisés



Documents pareils
Face aux nouvelles menaces liées aux cyber attaques et l évolution des technologies, comment adapter son SMSI? CLUB27001 PARIS 22 novembre 2012

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Introduction Fabrice Pesin, Secrétaire général adjoint de l ACP

L externalisation des activités bancaires en France et en Europe

Attaques ciblées : quelles évolutions dans la gestion de la crise?

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

La sécurité informatique à l heure de la 3 ème plate-forme. Karim BAHLOUL Directeur Etudes et Conseil IDC France 20 mai 2014

PANORAMA DES MENACES ET RISQUES POUR LE SI

Gestion des cyber-risques

Gestion du risque numérique

Sécurité du cloud computing

Symantec CyberV Assessment Service

Atelier C06. Cyber résilience : Protéger ses données et celles de ses clients

SOLVENCY II - PILLAR 2 Vue générale. Jean-Francois DECROOCQ Présentation interne

Recommandations sur le Cloud computing

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

HySIO : l infogérance hybride avec le cloud sécurisé

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

Club des Responsables d Infrastructures et de la Production

AUDIT CONSEIL CERT FORMATION

L entreprise face à la Cybercriminalité : menaces et enseignement

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Les services de Cloud Computing s industrialisent, Cloud COmputing : Sommaire

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Tout sur la cybersécurité, la cyberdéfense,

Revue d actualité juridique de la sécurité du Système d information

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Connaître les Menaces d Insécurité du Système d Information

politique de la France en matière de cybersécurité

1. Le m-paiement. 2. Le régime juridique du m- paiement. 3. Le m-paiement et les failles de sécurité

Panorama de l'évolution du cloud. dans les domaines d'orchestration (cloud et virtualisation)

L'infonuagique, les opportunités et les risques v.1

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Quelles assurances proposer? Focus sur le cloud computing

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

SOLUTIONS INTELLIGENTES DE PRÉVENTION DES FRAUDES

Big Data : se préparer au Big Bang

The Arab Cloud Computing Study Days Tunis- Tunisia 4-5 December M elle Rafia BARKAT. Chargée d Etudes Experte

Indicateur et tableau de bord

RAPPORT 2015 SUR L ÉTAT DES MENACES DANS LE MONDE SYNTHÈSE

5 avril Le Cloud-Computing. Conférence Digitech Lausanne. Un nouveau paradigme, aussi pour les PMEs

Stratégie nationale en matière de cyber sécurité

NE PAS EXTERNALISER SA RESPONSABILITÉ

Le contrat Cloud : plus simple et plus dangereux

informatique internet télécommunications

Stratégie de gestion des cyber-risques dans les entreprises : Quelles (ré)actions?

3 minutes. cybersécurité. avec Orange Consulting. pour tout savoir sur la. mobile, network & cloud. maîtrisez vos risques dans le cybermonde

Réussir l externalisation de sa consolidation

NOTE D INFORMATION. Conseils sur l autoévaluation en matière de cybersécurité

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Les cyber risques sont-ils assurables?

Les recommandations de la Banque de France

Cycle de conférences sur Cloud Computinget Virtualisation. Le Cloud et la sécurité Stéphane Duproz Directeur Général, TelecityGroup

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

A propos de la sécurité des environnements virtuels

Ateliers Cloud Computing / ADIJ [Atelier n 2] Solutions aux risques juridiques et catalogue des meilleures pratiques contractuelles

ANSSI PROCEDURES DE REPORTING DES INCIDENTS AVEC LE CIRT RÔLES DES PARTIES PRENANTES 15/02/2014. SEMINAIRE DE Joly Hôtel

Présenté par : Mlle A.DIB

Cloud Computing Quels risques juridiques pour les banques?

La sécurité IT - Une précaution vitale pour votre entreprise

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

Malveillances Téléphoniques

Intelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites

Cyber Secure. Déjeuner SMCAR 13 Novembre 2014

Cloud computing. Des risques et des solutions CONFÉRENCE EUROCLOUD, 26 FÉVRIER 2013 CYRIL PIERRE-BEAUSSE

Atelier A10 Quelle(s) place(s) pour le Risk Management dans un projet de transformation SI?

Informations et réflexions autour de la Sécurité des SI et des SIH en particulier

Sécurité des entrepôts de données dans le Cloud Un SaaS pour le cryptage des données issues d un ETL

L exploitation des rapports de vérifications réglementaires : quels enjeux, quelle solution?

Nouveau usages, nouvelle gestion des identités?

Atelier B 06. Les nouveaux risques de la cybercriminalité

Cartographie des risques des réseaux sociaux v6. Clément Gagnon Tactika inc

Sécurité informatique: introduction

Conseil technique et stratégique en infrastructures IT

LES NOUVELLES MENACES

Recovery as a Service

GROUPE DE TRAVAIL «ARTICLE 29» SUR LA PROTECTION DES DONNÉES

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

PROFESSION COMPTABLE ET FINANCEMENT EXPORT

impacts du Cloud sur les métiers IT: quelles mutations pour la DSI?

Denis JACOPINI est l auteur de ce document. Il est joignable au et sur conferences@lenetexpert.fr

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

La Sécurité des Données en Environnement DataCenter

CONTACT EXPO FORUM - SALON INTERNATIONAL DES CENTRES DE CONTACTS, D APPELS ET D EXTERNALISATION DE CÔTE D IVOIRE.

Stratégie IT : au cœur des enjeux de l entreprise

dans un contexte d infogérance J-François MAHE Gie GIPS

Management de la sécurité des technologies de l information

Les clauses sécurité dans un contrat de cloud

Transcription:

Contrôle général Inspection générale Délégation au contrôle sur place Cyber-sécurité et services externalisés Les attentes du superviseur en matière d outsourcing Paris, 9 décembre 2015 Marc Andries Inspecteur de la Banque de France Chef de mission à l ACPR

Sommaire 1. Exposition des systèmes informatiques externalisés à la menace cyber 2. Principaux cas d usage 3. Le cadre réglementaire applicable 4. Principaux points d attention 5. Cloud computing, quels enjeux? Forum des Compétences : «Cyber-sécurité et services externalisés Paris, 9 décembre 2015 2

1. La menace cyber Quelle définition retient-on pour la cyber-sécurité? Définition pragmatique: Ensemble des mesures organisationnelles et des moyens mis en œuvre pour protéger les différents actifs d un système d information contre les menaces conduites par des moyens informatiques pouvant affecter leur disponibilité, leur confidentialité ou leur intégrité, ainsi que la traçabilité des opérations; Menaces Vulnérabilités Risques Menaces DDoS Phishing Spear phishing APT, malware Défacement Intrusion Vulnérabilités Protection physique insuffisante Protection logique insuffisante Moyens de détection et de traçabilité insuffisants Moyens de réaction insuffisants Comportement imprudent Risques Indisponibilité, Saturation, blocage Compromission de données Fraude Vol, espionnage Chantage Destruction de données ou de systèmes Forum des Compétences : «Cyber-sécurité et services externalisés Paris, 9 décembre 2015 3

1. La menace cyber Menace cyber et prestations externalisées Un SI bancaire externalisé reste un SI bancaire Mais c est un changement de paradigme auquel le superviseur est attentif Pression sur les coûts Niveau de sécurité moins bon Chaîne de délégation nonmaîtrisée Multiplication de points d entrée peu surveillés Grands prestataires à l état de l art Appui sur les solutions de résilience du prestataire Maîtrise de solutions innovantes face à certaines attaques Forum des Compétences : «Cyber-sécurité et services externalisés Paris, 9 décembre 2015 4

2. Principaux cas d usage de l externalisation informatique Développement logiciel Support progiciel Production informatique Solutions réseaux Cyber-surveillance Nouveaux usages : Cloud computing, big data, authentification forte Forum des Compétences : «Cyber-sécurité et services externalisés Paris, 9 décembre 2015 5

3. Le cadre réglementaire relatif à l externalisation (1/2) CEBS Guidelines on Outsourcing, 2006 Externalisation = prestations externes ou intra-groupe Attention est sur les prestations répondant à des critères d importance ( materiality ) Responsabilisation du senior management Conditions à l externalisation de services soumis à agrément Risk management et système de contrôle Maîtrise contractuelle: SLAs, sous-délégation, confidentialité des données Inspections sur place des autorités de supervision Principe de proportionnalité Risque de concentration Forum des Compétences : «Cyber-sécurité et services externalisés Paris, 9 décembre 2015

3. Le cadre réglementaire relatif à l externalisation (2/2) Arrêté du 3/11/14 relatif au contrôle interne Prestations de Services Essentielles ou autres tâches matérielles importantes : «toute prestation de services lorsqu une anomalie ou une défaillance dans son exercice est susceptible de nuire sérieusement à la capacité de l assujetti de se conformer en permanence aux conditions et obligations de son agrément et à celles relatives à l exercice de son activité, à ses performances financières ou à la continuité de ses services et activités» Responsabilité des instances dirigeantes Inclus dans le dispositif de contrôle permanent et périodique Dispositif contractuel Obligations de suivi de la qualité de la prestation, maintien des compétences internes Garantie de la protection de la confidentialité des informations Dispositif de continuité d activité ACPR, «Les risques associés au Cloud computing», juillet 2013 Forum des Compétences : «Cyber-sécurité et services externalisés Paris, 9 décembre 2015

4. Principaux points d attention pour le superviseur Vision stratégique sur la part des services externalisés, sur l offshoring, le risque de concentration Concertation sur les décisions d externalisation et validation par les instances dirigeantes Politique d externalisation Encadrement contractuel conforme Dispositif de contrôle permanent Absence de limitation au droit d audit du banquier Droit de contrôle sur place du superviseur Maîtrise des sous-délégations Niveau de sécurité du système d information Sécurité physique Forum des Compétences : «Cyber-sécurité et services externalisés Paris, 9 décembre 2015

5. Points d attention relatifs au Cloud computing Marché dominé par des acteurs de taille mondiale Prestations standardisées Localisation possible des données hors du territoire Respect du cadre réglementaire? Pouvoir contractuel Accès aux données Localisation des données Droits d audit Forum des Compétences : «Cyber-sécurité et services externalisés Paris, 9 décembre 2015

Merci pour votre attention Forum des Compétences : «Cyber-sécurité et services externalisés Paris, 9 décembre 2015 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back