GÉRER LE FARDEAU DE LA RÉGLEMENTATION: LA NÉCESSITÉ D INFORMATIONS EN TEMPS RÉEL ISSUES DU «BIG DATA» DE LA CONFORMITÉ N SYNTHÈSE Les organismes de réglementation investissent des millions en technologie pour supporter des approches prédictives et interventionnistes plus dynamiques vis-à-vis de la conformité. Leur travail a un impact significatif sur les volumes de données de conformité que les établissements de services financiers doivent gérer. Dans le même temps, la croissance dynamique des données générées par les mobiles de même que le besoin continu de sécurité, ajoutent au fardeau global et à la complexité d une conformité permanente. Pour assurer une surveillance continue de la conformité avec les réglementations, les responsables de la stratégie d entreprise et leurs homologues de la gestion du risque ont besoin d informations extraites du «big data de la conformité» (les données collectées au sein de l entreprise à partir de multiples sources, référentiels et applications) afin de prendre prendre des décisions avisées quant à la façon d agir par rapport à leur zone de responsabilité. Cet «Insight on» explique pourquoi les établissements financiers devraient envisager les avantages d une infrastructure informatique à hautes performances pour les aider à assurer leurs fonctions. EN SAVOIR PLUS
N On estime que les organismes de réglementation investissent plus de 500 millions d euros en vue de supporter des approches prédictives et interventionnistes plus dynamiques vis-à-vis de la conformité. La «gestion du big data de la conformité» devient de ce fait un impératif absolu, l objectif étant d éviter de lourdes amendes et autres pénalités limitant l expansion de l entreprise. Étant donné que les organismes de réglementation nouvellement investis développent des systèmes de suivi des performances toujours plus sophistiqués, les établissements financiers sont amenés à améliorer sans cesse leurs processus et leurs contrôles. Il s agit de veiller à ce que les stratégies relatives à la gestion du risque et de la conformité soient mises à jour, respectées et totalement démontrables. Ce n est pas une tâche facile. La croissance du big data lié à la gestion des risques et de la conformité est alimentée par les mises à jour des règles existantes, par exemple la 4e Directive anti-blanchiment de l UE. De nouvelles règlementations sont mises au point, par exemple la Loi FATCA (Foreign Account Tax Compliance Act) et il y a même eu un changement au niveau des organismes de réglementation. Les fonctions de la traditionnelle Autorité de réglementation des services financiers sont maintenant assurées par les ministères des finances des différents pays de l UE et, aux États-Unis, par l Internal Revenue Service (IRS). Tout ceci exige des systèmes informatiques disposant de niveaux élevés d évolutivité, d interopérabilité et d automatisation afin de pouvoir supporter les processus de conformité nécessaires tout en permettant aux établissements financiers de réagir rapidement face à l évolution des réglementations. 2
OBLIGATION DE DECLARATION EN TEMPS RÉEL Une nouvelle tendance qui va vers la prévention ou l intervention et non vers la «guérison» génère des exigences croissantes en matière de collecte de données, d analyse et de reporting en temps réel. Par exemple, la Directive EU Markets in Financial Instruments II (EU MiFID II) exige, à l appui de la nouvelle stratégie de réglementation, la collecte en temps réel des données relatives à la transparence des informations antérieures et postérieures aux transactions pour les produits dérivés. Les normes techniques pour la réglementation et la transparence des produits dérivés OTC (Over-The -Counter), avec les Référentiels Centralisés sur les contreparties et les transactions, présentent des délais allant de 15 mn à 1 jour après la transaction et sont couvertes par la Règlementation sur l infrastructure du marché de l UE (Réglementation EMIR). Une conformité efficace nécessite une intégration des systèmes entre les plates-formes internes et les référentiels externes, en temps quasi réel, les informations pouvant ensuite être assemblées en un seul enregistrement lequel est envoyé vers un référentiel de transactions. TABLEAU DE BORD POUR LA STRATÉGIE DE CONFORMITÉ Pour assurer une observation continue de la conformité avec les réglementations, les responsables de la stratégie d entreprise et leurs homologues de la gestion du risque ont besoin d informations extraites du «big data de la conformité» afin de prendre des décisions avisées quant à la façon d agir par rapport à leur zone de responsabilité. Ces informations peuvent être utilisées pour développer l intelligence prédictive afin d assurer un alignement avec la tendance actuelle privilégiant l intervention et pour préparer un cadre de supervision. Cadre systémique pour les établissements financiers L intérêt du client et l intégrité du marché sont-ils au cœur du mode de gestion de l entreprise Modèle d entreprise et analyse de la stratégie Gouvernance et culture Conception produit Processus de Vente Services après-vente et gestion des transactions Figure 1: Cadre systémique de l entreprise défini par le régulateur financier La plupart des organismes de règlementation s orientent vers une sorte de cadre systémique de l entreprise (ou FSF pour Firm Systemic Framework), l appliquant d abord aux plus grands établissements financiers puis au mid-market. Dans le cas où le régulateur décide qu un changement est nécessaire, il va intervenir plus vite et de façon plus décisive que par le passé, de sorte que l entreprise doit être prompte à réagir ou à défendre une position de manière appropriée, à la vitesse requise par le régulateur. Les infrastructures informatiques existantes sont incapables de gérer la charge de travail croissante ainsi créée et il est évident qu elles ne peuvent pas supporter l extraction et l analyse non perturbatrices de données en temps réel, sans inhiber les performances opérationnelles. Un changement urgent est nécessaire, car le nouveau cadre systémique est beaucoup plus ardu et intrusif que les formes précédentes d évaluation de la gestion des risques liés à la réglementation. 3
LE FARDEAU DE LA CONFORMITÉ DES DONNÉES MOBILES Dans le même temps, le big data généré par les mobiles connaît une croissance spectaculaire car les consommateurs s orientent de plus en plus vers les services bancaires mobiles et les directions des agences bancaires utilisent davantage d opérations bancaires mobiles lesquelles nécessitent des accès dynamiques fréquents aux données confidentielles stockées de manière centralisée et soumises à la Directive Européenne sur la Protection des données. Tous ces éléments influent directement sur les niveaux de satisfaction client. Un récent rapport de la British Bankers Association intitulée The Way We Bank Now (La banque aujourd hui), indique que près de 10 pour cent des titulaires de compte du ROYAUME-UNI se connectent quotidiennement à une forme ou une autre d internet bancaire via des ordinateurs ou des smartphones et environ 75% utilisent le même système sur une base mensuelle. Les transactions cumulées sont estimées à 8,06 milliards d euros par semaine ce qui représente une augmentation de 8 % sur 2013, facilitée par plus de 14 millions d applications bancaires téléchargées à la mi-2014. La situation devient plus complexe dans le domaine du conseil financier ou pour les établissements accordant des prêts non conformes, car un grand nombre de conseillers ou d agents sont des sous-traitants et non des employés et utilisent différents types de dispositifs d accès ainsi que des protocoles de sécurité variables. L approche BYOD (Bring Your Own Device) accroît encore la difficulté par rapport à la conformité avec la réglementation européenne sur la protection des données à un moment où les directives sont renforcées et où le défi de sécurité liée à la protection des données est de plus en plus important. CONFORMITÉ DE LA SÉCURITÉ ET DE LA CONTINUITÉ Les performances technologiques en matière de processus continuent à se développer pour l ensemble des services financiers, comme en témoignent les systèmes de transactions à haute fréquence, qui attirent les entreprises car ils génèrent beaucoup plus de revenus même si, dans le même temps, ils les exposent à un risque de sécurité plus élevé. S il est vrai que les services bancaires mobiles sont devenus un différenciateur pour les consommateurs, ces services présentent toutefois un risque élevé en termes de cyber sécurité. Il existe des éléments de preuve indiquant que les «incidents de sécurité» ont été multipliés par 10 pour l ensemble du secteur financier au cours des 12 derniers mois, avec un impact conséquent sur les pertes ou les indemnisations (sans tenir compte des amendes pour non conformité) et un impact négatif sur la réputation de l établissement et ses niveaux de satisfaction client. Processus Infrastructure Réseau ISO 22301 Norme de gestion de la continuité de l activité ISO 27017 Norme de gestion de la sécurité du cloud ISO 27001 Norme de gestion de la sécurité de l information ISO 27033 Norme de gestion de la sécurité des réseaux Figure 2: Les normes ISO relatives aux meilleures pratiques pour renforcer la stratégie de conformité avec les réglementations 4
De nombreuses stratégies de conformité sont maintenant inscrites dans des cadres standard, dans lesquels les pratiques et les procédures métiers sont alignées avec les processus et les contrôles supportés par la technologie. L avantage est un modèle de meilleures pratiques reconnu internationalement dans lequel l établissement financier et ses fournisseurs de services informatiques ont des accords enregistrés indépendamment ce qui a pour effet de rassurer les responsables de la conformité, les cadres chargés de la gestion des risques, les vérificateurs et le régulateur, car ils peuvent vérifier que le risque est correctement géré. Ce modèle implique de disposer d une capacité de déploiement rapide et efficace des logiciels et des mises à jour de sécurité sur la totalité de l infrastructure informatique. La gestion manuelle de telles tâches est à l évidence sujette aux erreurs, si bien qu il devient critique d automatiser davantage de processus pour assurer une sécurité de bout en bout. 5
IT PLUS INTELLIGENTE Selon les estimations, les données liées à la conformité représentent déjà plus de 30 % de toutes les données collectées par un établissement financier. Dans un tel contexte, l efficacité à répondre aux exigences réglementaires est un problème critique pour les entreprises. La nécessité de collecte, d analyse et de déclaration obligatoires du big data de la conformité, en temps quasi réel, pour toute une variété d organismes de réglementation, a créé des tensions. Les questions quant à la meilleure façon d extraire des informations critiques et d être proactif pour garder une longueur d avance sur les organismes de réglementation, seront mieux résolues en comprenant comment atteindre l évolutivité informatique et la capacité, la sécurité et la disponibilité, avec des investissements, des risques et des bouleversements réduits au minimum. FLEXIBILITÉ, ÉVOLUTIVITÉ ET RÉACTIVITÉ L intégration des processus et des contrôles de conformité peut nécessiter d accéder aux données, de les regrouper et de les analyser à partir de l ensemble de l écosystème informatique, depuis les comptes clients, les systèmes d échange, les processus de gestion de la relation client et des sources de données externes. Dans le même temps, l entreprise doit conserver des canaux de reporting séparés pour le déploiement efficace de ses objectifs commerciaux. Tout ceci nécessite souvent un certain niveau de ré-ingénierie de l infrastructure de data center afin de fournir la capacité requise et de supporter un écosystème plus automatisé et virtualisé permettant de simplifier la gestion des systèmes et fournissant les niveaux de flexibilité, d évolutivité et de réactivité en temps réel exigés par la conformité avec les réglementations. La ré-ingénierie plutôt que le remplacement global des systèmes existants nécessite que les performances des systèmes et de l infrastructure soient examinées attentivement afin d optimiser la valeur présente tout en déterminant comment des investissements spécifiques pourraient améliorer la fiabilité ou la résilience des systèmes. LES SIMILITUDES AUTORISENT LA CONSOLIDATION L approche en silos n est certainement pas la bonne option. En commençant par le «big data de la conformité» et les stratégies métiers liées aux réglementations associées, il est possible d identifier le potentiel de similitude entre les différentes règlementations ce qui permet simultanément de réduire les coûts et d améliorer les performances. 6
LA SOLUTION DU BIG DATA DE LA CONFORMITÉ L étude de rentabilité en vue d investir dans une infrastructure de data center à hautes performances (pour permettre l extraction d informations en temps réel à partir des volumes croissants du «big data de la conformité») est basée essentiellement sur l atténuation des risques et le contrôle des coûts. Ce modèle mixte est conçu pour rassurer les responsables des stratégies métier liées à la conformité, les responsables de la gestion des risques et les tiers, notamment les auditeurs, de même que les cadres en charge de la gestion du réseau. Il permet en effet de démontrer que le système est suffisamment résilient pour les objectifs opérationnels définis et qu il pourra fournir des réponses en temps opportun pour les obligations de déclaration. LE PROBLÈME DE CONFORMITÉ DU RÉSEAU DE DATA CENTER POUR LES SERVICES FINANCIERS GESTION DES RISQUES Sécurité des données Gouvernance des données Continuité de l activité Rapports réglementaires Exécution d algorithmes complexes Extraction des informations du Big Data Consolidation du processus de conformité ARCHITECTURE DE DATA CENTER ETHERNET CLASSIQUE À PROCESSUS STATIQUES Complexe à gérer et non fiable Non faisable économiquement Risque élevé dû à un temps de réponse trop long Risque accru en raison de nouveaux paramètres de performance pour le reporting Exige beaucoup de temps Indisponible Non consolidé ; remplacement des commutateurs par de grands gestionnaires centralisés multi-port UN DATA CENTER INTÉGRÉ, CONSOLIDÉ ET VIRTUALISÉ Le Backbone du Data Center fournit une protection continue des données, une sécurité et un cryptage natifs Stockage multi niveaux pour la gestion du cycle de vie de l information et l alignement avec la stratégie de conformité de l entreprise Moins d éléments réduisent le risque de discontinuité et la virtualisation offre une meilleure résilience Géré par un réseau à hautes performances avec capacité d extraction d informations en temps réel Hiérarchisation de la Qualité de service fournie grâce à un réseau adaptatif Géré jusqu au temps réel sans affecter les performances opérationnelles Consolidé avec des serveurs lame et la virtualisation du stockage plus des performances optimisées et la disponibilité d applications métiers de la couche supérieure 7
COÛT D EXPLOITATION Exploitation des actifs Limitée Inter-fonctionnement maximisé entre les actifs nouveaux et existants du data center Capacité de stockage Proportionnelle à l empreinte des serveurs et du stockage Des serveurs et un stockage virtualisés augmentent l efficacité et la capacité tout en réduisant l encombrement Libération d'espace Non faisable Espace du centre de données entièrement optimisé Intervention hiérarchisée Réduction des coûts énergétiques S adapte aux nouvelles exigences Connexions physiques rigides pour les plates-formes de serveur et de stockage Non disponible ou limitée Absence de souplesse Relations flexibles des serveurs et du stockage virtuels avec des pools de ressources partagés Une virtualisation totale des serveurs et du stockage réduit la consommation d énergie de 50% ou plus Mobilité des machines virtuelles pour optimiser les ressources et réagir au changement Retour sur investissement (ROI) Bring-Your-Own-Device (BYOD) Coûts d investissement élevés avec coûts d exploitation continus importants pour la gestion, l évolutivité et la maintenance Accès mobile et sans fil limité car l infrastructure est conçue pour des environnements de bureau Prix et performances exceptionnels déployés à l aide de Brocade Network Subscription avec paiement à l utilisation Facturation à la hausse comme à la baisse Accès avec une solution mobile compatible Bring-Your-Own-Device (BYOD) via un réseau sans fil à hautes performances 8
Vous souhaitez en savoir plus sur la façon dont vous pouvez sécuriser la conformité avec les réglementations en temps réel et mieux supporter les opportunités de croissance? EN SAVOIR PLUS >> Siège européen Genève, Suisse T: +41-22-799-56-40 emea-info@brocade.com 2015 Brocade Communications Systems, Inc. Tous droits réservés. 01/15. ADX, AnyIO, Brocade, Brocade Assurance, le symbole B-wing, DCX, Fabric OS, ICX, MLX, MyBrocade, OpenScript, VCS, VDX et Vyatta sont des marques déposées et HyperEdge, The Effortless Network, et The On-Demand Data Center sont des marques de Brocade Communications Systems, Inc., aux Etats-Unis et/ou dans d autres pays. Les autres marques, produits ou services mentionnés peuvent être des marques appartenant à leurs détenteurs respectifs. Avis : Ce document est fourni à titre informatif uniquement et n établit aucune garantie, expresse ou implicite, concernant tout équipement, fonction d équipement ou service offert ou à offrir par Brocade. Brocade se réserve le droit d apporter des modifications à ce document à tout moment, sans préavis et n assume aucune responsabilité quant à son utilisation. Ce document informatif décrit des fonctions qui peuvent ne pas être disponibles actuellement. Contactez l équipe commerciale de Brocade pour plus d informations sur les fonctions et la disponibilité des produits. L exportation des données techniques contenues dans ce document peut nécessiter une licence d exportation du gouvernement des États Unis