Menu


Le Livre Blanc

SREP IT, les établissements financiers sont visés par le régulateur au mois de juillet 2020 sur la maitrise des risques cyber sécurité. Quels sont les thèmes abordés et comment faire ?



Teddy Ramanakasina, Directeur de mission audit interne, Orange et auto entrepreneur.

Teddy Ramanakasina, Directeur de mission audit interne, Orange et auto entrepreneur. Doté d’une solide expérience professionnelle dans les domaines de l’audit mais aussi des systèmes d’information, Teddy Ramanakasina, Directeur de mission audit inter




Comment vous êtes- vous intéressé à la gouvernance des systèmes d’information ?

Teddy Ramanakasina : Mes différentes expériences professionnelles ont un seul fil rouge : la maitrise des données à la fois en termes d’analyse, de migration des systèmes d’information ou des aspects réglementaires et bien sûr des missions d’audit liées à la sécurité.
Depuis 4 ans, je ressentais le besoin de transmettre ce que j’avais appris au cours de ma carrière.
J’en ai eu l’opportunité au sein de l’IFACI et l’AFGES d’animer plusieurs formations autour de  
« la gouvernance de la cyber sécurité » 
auprès des établissements financiers comme la BNP, les filiales de la Société Générale, les filiales du Crédit Agricole, l’ACPR, la Banque de France et des régulateurs africains comme la BKAM ou la BEAC pour ne citer que quelques exemples. Ces formations m’ont fait connaitre le magazine VeilleMag et donc de Cyberday.
 

Mais que veut dire le mot SREP et pourquoi on doit s’y intéresser?


T.R. : SREP veut dire « Supervisory Review and Evaluation Process » autrement dit le processus d’évaluation de Banque Centrale. Les contrôleurs bancaires évaluent et mesurent régulièrement les risques pesant sur chaque banque. Cette activité essentielle est menée au titre du « processus de surveillance et d'évaluation prudentielle » (Supervisory Review and Evaluation Process, SREP).
Il existe un volet particulier des risques informatiques dans le questionnaire SREP envoyé aux établissements financiers et la cyber sécurité est au cœur des préoccupations.
https://www.bankingsupervision.europa.eu/ecb/pub/html/ssm.aroutcomesrepitriskquestionnaire202007~9ed9aaa17d.en.html
 

  • « la cyber sécurité est un des thèmes principaux du SREP IT récemment mise en lumière comme une faiblesse des organisations. C’est un sujet d’actualité  »

Quels sont les principaux risques liés à la cyber sécurité dans SREP IT ?

T.R. : Le volet sécurité fait partie des principaux risques de SREP IT résumés comme suit :
  • accès non autorisé à des systèmes informatiques critiques depuis l’institution à des fins différentes et par diverses techniques;
  • manipulations informatiques non autorisées en raison de procédures et de pratiques de gestion des accès informatiques inadéquates;
  • les menaces à la sécurité dues à un manque de sensibilisation à la sécurité, les employés ne comprenant pas, négligent ou ne respectent pas les politiques et procédures de sécurité informatique;
  • stockage non autorisé ou transfert d'informations confidentielles à l'extérieur de l'établissement.
  • Le risque d'une sécurité informatique physique inadéquate, telle que l'utilisation abusive ou le vol d'actifs informatiques via un accès physique, causant des dommages;

Quels sont les contrôles recommandés dans le SREP IT pour maitriser les risques cyber ?

T.R. : Afin d'évaluer leur maîtrise des risques en matière de sécurité informatique, les établissements se sont vu poser des questions détaillées sur:
1- Les politiques et procédures de sécurité de l'information
2- Les revues de sécurité, en général effectuées par une entité indépendante
3- Sensibilisation à la sécurité informatique
4- Sécurité physique
5- Gestion des identités et des accès
6- Gestion des correctifs et des vulnérabilités
7- Sécurité du réseau, y compris l'accès à distance
8- Journalisation et surveillance des événements de sécurité
9- Prévention des logiciels malveillants
10 - Classification des données
 

Quel est votre retour d’expérience ?

Mon retour d’expérience pour les établissements vient de plusieurs filiales européennes et africaines des services de paiement mobile qui doivent respecter des multiples réglementations nationales et internationales en matière de sécurité informatique.
Nous nous efforçons de faire nos évaluations à partir des normes mondialement reconnues comme l’ISO27001 ou NIST.
Un seul thème peut devenir très complexe car il peut couvrir plusieurs contrôles difficiles à évaluer. Du coup, les entreprises surévaluent la maitrise des risques cyber et elles sont très vite rattraper par le régulateur qui pourrait sanctionner sévèrement toute négligence constatée. Le nombre d’attaques cyber sécurité dans les établissements bancaires est en hausse.
De plus les banques disposent souvent des technologies obsolètes encore maintenues et vulnérables à la cyber sécurité.  Parfois les membres du Conseil d’administration n’ont pas l’expertise IT pour apprécier le risque cyber. L’humain reste le cœur de cette fragilité.
 

Quel est le lien entre le sujet de la cyber sécurité SREP IT et Cyberday ?

T.R. : Cyberday est un événement annuel autour de la gouvernance de la cyber sécurité et c’est une occasion unique de rencontrer des professionnels du métier et de partager l’expérience des problèmes et des solutions rencontrées. Il est nécessaire de voir d’autres bonnes pratiques en dehors de son entreprise soit en animant des ateliers et séminaires soit en participant à des sessions thématiques. Cette année le thème principal tourne autour de l’humain et j’ai été particulièrement séduit par le programme  « L’humain, comme première ligne de défense. Sensibilisation, engagement et formation. »
 
« Cyberday permet d’échanger avec des professionnels de la gouvernance de cyber sécurité»
 
Retrouvons-nous et Pour en savoir plus : https://www.cyber-day.info/
 

Auteur

Teddy Ramanakasina
Après des études scientifiques, Teddy Ramanakasina s’est orienté d’abord vers l’informatique de gestion. MBA Audencia à Nantes et Executive education HEC à Paris sont venus compléter sa formation, ainsi que de nombreuses certifications (IFACI IIA, CRMA, CRISC, CISA, CDPSE, PRINCE2, ITIL...).
Collaborateur chez Nokia puis Nortel en tant que Business analyst et chef de projet, il a pu aborder tous les aspects de manipulation et analyse de données, d’indicateurs de performance au niveau international. Entré chez Orange en 2000 comme chef de projet de systèmes d’information avant de devenir en 2009 Directeur de mission audit interne, il a participé aux différentes phases de diversification de l’entreprise, notamment dans les domaines financier et bancaire, en faisant appel aux connaissances de Business Analyst, de gestion de projet et d’audit des systèmes.
 

Coup d'oeil Programme 2020 | Le Livre Blanc | La newsletter