Logo Exeis Conseils
Logo Exeis Conseils
Article

Risque informatique : l’ACPR renforce ses exigences pour les dirigeants et la fonction Risque

Juillet 2019
L’ACPR a publié en janvier un document structurant pour les dirigeants et les Directions informatiques, les Directions des Risques et du Contrôle permanent. L’ACPR insiste sur le fait que le risque informatique, en tant que risque opérationnel, n’est plus l’apanage des seules DSI. Risque informatique Exeis Conseil

L’ACPR a publié en janvier un document structurant pour les dirigeants et les Directions informatiques, les Directions des Risques et du Contrôle permanent. L’ACPR insiste sur le fait que le risque informatique, en tant que risque opérationnel, n’est plus l’apanage des seules DSI. Le principe des 3 lignes de défense reste plus que jamais primordial. La fonction Risque a donc un rôle central en tant que contrôle de 2ème niveau. En publiant une nouvelle taxonomie prenant en compte jusqu’à 64 facteurs de risques, l’ACPR rajoute dans le champ de la supervision la gouvernance, la stratégie IT, le pilotage de l’informatique et des projets, et rappelle l’importance de l’implication opérationnelle des dirigeants.


En janvier 2019, l’ACPR a publié la version finale de son document de réflexion sur le risque informatique. Emanant du régulateur français, ce document fait écho au dernier livre blanc sur le risque informatique, qui date de …. 1996 ! Dans un contexte où le poids de l’ACPR et de la BCE se fait plus important, ce document consultatif donne un cadre général éclairant sur les attentes et les exigences en matière de risque informatique. Il constitue une synthèse de l’esprit des régulateurs en matière de périmètre de risques et de dispositifs à mettre en place.


Une approche globale alliée à une vision élargie de la notion de risque informatique

Destiné à l’ensemble de la profession régulée par l’ACPR, donc mêlant l’ensemble du monde de l’assurance et de la banque et faisant référence aux principes clés du Comité de Bâle et aux principes Solvabilité 2, l’ACPR appréhende le risque informatique de manière globale, en partant d’une taxonomie des risques très large. Avec 3 macro-processus (« organiser le SI et sa sécurité », « faire fonctionner le SI », « sécuriser le SI »), les rédacteurs précisent 17 facteurs principaux et 64 facteurs secondaires de risque, définissant un périmètre large et englobant toute la fonction informatique.


L’impérieuse nécessité d’impliquer l’entreprise au plus niveau, au-delà du périmètre de la DSI

Outre les risques déjà identifiés (cyber sécurité, intrusions, sécurité des données, plan de secours et de continuité d’activité…), l’ACPR s’attaque au management de l’informatique dans son ensemble. En spécifiant en premier lieu le macro-processus « Organiser le Système d’Information et sa sécurité », l’ACPR pointe la nécessité pour une société d’avoir une vision stratégique de son informatique, en prenant en compte l’urbanisation, l’implication des dirigeants et leur compréhension des enjeux. La vision prospective de l’alignement des SI et de la prise en compte des besoins métiers est également soulignée.


Le principe des trois lignes de défense est réaffirmé

Le risque informatique est une composante du risque opérationnel, et doit être géré et supervisé en tant que tel. Comme pour l’ensemble des risques opérationnels, le principe des 3 lignes de défense reste clé, avec une première ligne de la responsabilité du métier informatique, une 2ème ligne de défense généralement assuré par la fonction des risques, enfin une 3ème ligne de défense par l’audit interne, selon les principes actuels des lignes de défense de contrôle permanent et de contrôle périodique

articulation dispositif controle interne

Dans cette perspective, les rédacteurs en déroulent les exigences concernant les aspects organisationnels en matière de dispositif de contrôle interne, en soulignant l’importance de réaliser une cartographie des risques, identifiés et évalués, et un contrôle de 2ème niveau, assumé par la fonction Risques. Ce texte pose l’esprit avec lequel les régulateurs, de l’ACPR ou de la BCE, réaliseront leurs missions d’inspection, tant dans le secteur bancaire qu’en assurance, santé et prévoyance. Cela pourra constituer une nouveauté pour des structures peu acculturées à une régulation forte, comme certaines mutuelles ou des start-up bancaires. Ce nouveau livre blanc n’oublie pas les aspects liés au « shadow IT ». C’est au final une vision top-down et très large qui pourra en bousculer certains, notamment les acteurs ayant une appréhension plus restrictive du périmètre du risque informatique.



Pour aller plus loin ...

Les entreprises peuvent regarder les axes de travail possibles dans une approche top-down, notamment sur la gouvernance et la boucle de pilotage stratégique et opérationnel, la maîtrise et l’accès à la documentation informatique par les Direction des risques, outil essentiel de la vision globale, la maîtrise des externalisations, et enfin l’acquisition d’une bonne vision d’ensemble par la réalisation de taxonomies des risques adaptées, à jour et acceptées par tous.


Expertises EXEIS Conseil : pilotage de projet réglementaire, dispositif de contrôle permanent, cartographie des risques opérationnels, mise en conformité, solvabilité et reportings risques & finance