LE LIVRE BLANC DE LA COMMISSION BANCAIRE

Publié en 1996 par la Banque de France et le Secrétariat Général de la Commission Bancaire (SGCB), le Livre Blanc sur la sécurité des systèmes d'informations dans les établissements de crédits constitue un document incontournable. Les banques et toutes les sociétés susceptibles de réaliser des opérations de crédit et de conservation de comptes (Crédit à la consommation, Bourse en ligne, etc.) doivent s'y référer afin d'appréhender les risques et les enjeux de l'informatique dans les milieux bancaires.

Les Enjeux

L'informatique au coeur du système bancaire

Le Livre Blanc demandeaux banques et aux établissements de créditd'assurer leur devoir de sécurité à l'égard de leur Système d'Information, de leurs clients et de l'ensemble du système bancaire. Cette demande provient du constat que l'outil informatique est devenu le coeur du fonctionnement bancaire et qu'il constitue, de ce fait, une source de risques bien plus importante que dans n'importe quelle autre industrie. L'informatique est l'outil de production des banques. Une défaillance informatique importante entraînerait des conséquences fâcheusespour les clients ainsi que pour les autres établissements qui sont en relation avec l'organisme victime. Ces risques sont d'autant plus importants que la possibilité de reconstitution a posteriori des données perdues ou endommagées est, aujourd'hui, devenue irréaliste, compte-tenu des volumes de transactions.

Une démarche Top-Down : sensibilisation au plus haut niveau de la banque

Afin de ne pas alourdir la réglementation bancaire déjà existante, la commission bancaire a préféré suivre le principe de type "Best Practices" avec la diffusion du Livre Blanc.

La démarche préconisée consiste à impliquer la Direction Générale de chaque établissement en lui attribuant l'application et le contrôle des moyens de sécurité informatique.

Le Livre Blanc propose, sans imposer, la méthode d'évaluation des risques "Marion" publiée par le CLUSIF.

Une démarche en 4 étapes pour maîtriser les risques

Comme il n'est possible d'agir efficacement que sur les risques identifiés, le Livre Blanc recommande une méthodologie d'évaluation des risques en 4 ETAPES : IDENTIFIER les risques, les CLASSER, les CHIFFRER et les ARBITRER.

Etape 1 : Identifier les risques

Il est nécessaire d'identifier et de lister les menace auxquelles le Système d'Information de la banque peut être confronté. Ces dernières peuvent être de différentes natures : naturelles, accidentelles (incendie), humaines (volontaire ou involontaire). Le rôle du DSI et du RSSI est alors de mettre en place des mesures de sécurité pour diminuer l'impact de ces menaces potentielles. Exemples de menaces non classées : - Inondation de la salle informatique principale - Attaques de « déni de service » sur le site web - Indisponibilité du réseau des distributeurs automatiques - « crash » d'une partie de la base de données clients, etc.

Etape 2 : Classer les risques identifiés selon les critères D.I.C.P

Chaque risque identifié lors de l'étape 1 doivent être classés en fonction des quatre critères suivants : Disponibilité, Intégrité, Confidentialité et Preuve.

• Disponibilité : Tous les éléments susceptibles d'interrompre la production : pannes informatiques, électriques ou de télécommunications.
  
• Intégrité : Tous les éléments capables de corrompre le contenu des données bancaires : valeurs sur un compte, modification impromptue des valeurs de change et/ou de titres.
  
• Confidentialité : Tous les éléments liés au secret bancaire. Seules les personnes habilitées peuvent accéder aux informations stockées.
  
• Preuve : Tous les éléments liés à l'audibilité et à la traçabilité des transactions : Z a transféré la somme X à Y le jour J
  
  

Quelques exemples DICP :

Risque de type Disponibilité: Un pirate informatique peut, volontairement, à partir d'Internet, « planter » le site web de la banque utilisé pour la consultation des comptes.

Risque de type Confidentialité: Un client malicieux qui possède un compte bancaire peut,par le biais du site web, lire les relevés de comptes d'un autre client.

Risque de type Preuve: Un employé de la banque peut effectuer un virement de compte à compte sans qu'aucune trace ne puisse être présentée, en cas de litige, sur le montant et la date.

Risque de type Intégrité: Pendant la sauvegarde nocturne de la base de données du système central, il est possible que les dates de valeurs soient effacées ou bien réinitialisées lors d' une coupure de courant qui surviendrait au même moment.

Une fois que ces risques ont été identifiés et classés selon l'un des critères DICP, l'évaluation peut commencer.

Etape 3 : Evaluer son risque maximal tolérable (RMT)

Comme l'indique le Livre Blanc : " Tout ne peut pas être fait tout de suite et à n'importe quel prix pour éviter toute forme de risque ". Il est donc nécessaire d'établir des priorités en chiffrant les risques identifiés. Le Livre Blanc apporte le concept de calcul du Risque Maximal Tolérable (RMT). Le calcul de ce facteur RMT servira ensuite de base à la stratégie de gestion des risques.

Etape 4 : Classer les risques selon deux catégories : "Stratégiques" et "Non stratégiques"

La Direction Générale arbitre les risques identifiés en fonction de l'impacts qu'ils ont sur l'activité de l'établissement. Pour cela, la commission bancaire propose une échelle à 5 niveaux (de 0 à 4) où seuls les risques de niveau 2 et plus doivent être pris en compte.

Niveau 0 : Risques « Extrêmement faibles » Risques dont l'impact financier est négligeable. Exemple : Panne momentanée d'un distributeur de billet. Niveau 1 : Risques « Faibles » Risques susceptibles d'occasionner des pertes financières faibles et peu gênantes pour le client. Exemple : Panne d'un poste de travail ou fonctionnement temporaire en mode dégradée d'une agence.

• Niveau 2 : Risques « Sensibles »
  Risques susceptibles d'entraîner des pertes financières significatives, de nuire à l'image de marque de l'établissement ou de générer une infraction mineure à la législation.
  Exemple : Indisponibilité du site web pendant plus d'une heure.
  
  
• Niveau 3 : Risques « Critiques »
  Risques qui peuvent engendrer des pertes financières inacceptables (ex : 30 % du RMT), ou bien une perte importante de clientèle.
  Exemple : Failles de sécurité dans le site web transactionnel qui permettrait de voler et de transférer l'argent de comptes clients.
  
  
• Niveau 4 : Risques « Stratégiques »
  Risques susceptibles de causer l'arrêt immédiat (ou à court terme) d'une activité de l'établissement, ou d'entraîner des sanctions judiciaires.
  Exemple : Panne informatique qui entraînerait la perte de la base de données avec l'impossibilité de restaurer une partie des comptes clients sous des délais raisonnables.
  
  

Le problème du RMT : Evaluer le risque tolérable

Le Livre Blanc apporte le concept de Risque Maximal Tolérable dans sa démarche en quatre étapes présentée ci-dessus.

Le RMT au centre des attentions

Pour bien saisir le rôle du RMT au sein du Livre Blanc Bancaire, il existe deux formules simplifiées.
Pour un scénario « sinistre informatique » dans la banque, le risque est défini par la formule suivante :

Le livre Blanc stipule que la somme des risques doit être inférieure au RMT:



L'évaluation du montant du RMT constitue donc une étape fondamentale pour l'établissement bancaire : le RMT est le majorant de l'équation de gestion des risques.

Comment calcule-t-on le RMT ?

Quelle somme d'argent la banque accepte-t-elle de perdre en cas de panne informatique pour ne pas couler ?

Cette perte peut-elle être « amortie » par les bénéfices annuels et par les assurances ?

Le RMT c'est la « VALUE AT RISK »

La détermination fine du montant du RMT peut s'avérer être un véritable casse-tête. Le choix de l'évaluation du RMT incombe uniquement à la Direction Générale, seule entité habilitée à arbitrer parmi les différents enjeux.

Il est important de ne pas oublier que le RMT n'est qu'une estimation. Sa détermination permet de fixer une valeur précise dans un univers de risques flous. Celle-ci sera ensuite utilisée comme base pour des arbitrages.

La plus grande valeur ajoutée, en ce qui concerne le calcul du RMT, n'est pas l'exactitude de la valeur obtenue mais le fait que la Direction Générale engage une telle démarche de maîtrise des risques informatiques.

La preuve par l'exemple

Exemple d'évaluation du RMT

Afin d'illustrer les éléments théoriques présentés ci-dessus, nous proposons l'étude du cas d'un établissement financier. Celui-ci propose à ses clients l'achat et la vente de produits financiers (actions, options, futures, warrants) uniquement sur Internet. Les achats peuvent être réglés comptant ou de manière différée (SRD). L'établissement réalise donc des opérations de crédit.

Nous commençons par l'évaluation du montant du RMT.

Hypothèses : L'établissement possède 15 millions d'euros de fonds propres et nous fixons, comme le recommande le Livre Blanc, a à 20%. L'établissement réalise 5 millions d'euros de résultats bruts. La direction générale choisit de fixer ß à 10%. C'est-à-dire que 10% des résultats d'exploitation peuvent servir à éponger les pertes en cas de sinistre.

Enfin, nous ne choisissons pas la valeur du montant de l'assurance Y. Cette variable sera l'inconnue de notre équation. Nous tenterons ainsi d'en faire une évaluation afin de choisir au mieux le système d'assurance que l'établissement doit adopter.

Reprenons la formule du calcul du RMT :

Et dans notre cas :



Nous avons donc le montant du RMT de l'établissement. Il nous faut encore définir "i", la part du RMT global associée aux risques informatiques (le RMTi). Nous fixons cette part à 1/5. C'est-à-dire que 20% des risques de l'établissement peuvent être attribués à des sinistres informatiques.

Dans notre cas, nous identifions deux risques R1 et R2. L'un est de type Intégrité et l'autre, de type Disponibilité.

R1 : « Piratage d'un compte sur le site avec transfert frauduleux vers un compte extérieur »
Le montant maximum d'un transfert depuis le site vers un compte extérieur est de 500 000 euros. Soit V1 = 500 000 €

Reste à définir la probabilité d'occurrence µ1 d'un tel sinistre.

R2 : « Attaque Internet du site web entraînant une indisponibilité d'une journée »
La somme des pertes engendrées, pour l'ensemble des clients, par l'impossibilité de vendre ou d'acheter en fonction des variations des marchés financiers peut être très importante. Nous fixons la perte totale à 20 millions d'euros, soit V2 = 20 000 000 €.

Imaginons alors 3 cas de figures :

Le suivi permanent du RMTi et des nouveaux risques

Après les calculs, les arbitrages, les contrôles et les audits, il conviendra de faire évoluer en permanence le calcul du RMT et du RMTi. Comme l'indique le Livre Blanc : "Toute création ou modification importante de logiciel applicatif développé en interne, ou tout achat de progiciel applicatif doit faire l'objet d'une analyse de vulnérabilité donnant lieu à l'établissement d'un chapitre sécurité formalisé : consultable, maintenable et accessible".

Les banques font aujourd'hui face à de nouveaux risques comme le "phishing", qu'elles intègrent à leur calcul du RMT.

Conclusion

Le Livre Blanc de la commission bancaire est un document incontournable pour tous les établissements bancaires ou les établissements de crédits. Ecrit il y a plus de 10 ans, ce document demeure une référence en matière de gestion raisonnée des risques informatiques.

Les audits de sécurité et les tests d'intrusion constituent des outils efficaces pour évaluer et réduire les risques liés à l'informatique dans un milieu bancaire.

Bibliographie

[1] Livre Blanc sur la sécurité des systèmes d'information
http://www.banque-france.fr/fr/supervi/supervi_banc/publi/lbsecusys.htm