Introduction
Fabrice Pesin,
Secrtaire gnral adjoint de lACP
27/11/2012
Banque de France - Autorit de Contrle Prudentiel
�Sommaire
1re partie : le contrle des systmes dinformation
par lACP : objectifs, modalits, retour dexprience.
2me partie : les grands enjeux en banque et en
assurance (complexit des environnements,
sophistication des attaques, nouvelles exigences
de Solvabilit 2)
27/11/2012
�Vido :
Mthodologie du contrle de lACP
27/11/2012
�1re partie : le contrle des systmes dinformation par
lACP : objectifs, modalits, retour dexprience.
Confrence anime par Fabrice Pesin, secrtaire gnral
adjoint de lACP
1. Le contrle sur place des systmes dinformation
bancaires : objectifs, modalits, enseignements
Marc Andries, Inspecteur de la Banque de France et
Chef de mission l ACP
2. Le contrle sur place des systmes dinformation en
assurance : stratgie du contrle et premier retour
dexprience
27/11/2012
�Sommaire
Les contrles informatiques dans le secteur de
la banque
1. Organisation
2. Objectifs
3. Modalits de ralisation
4. Principaux enseignements
27/11/2012
�1. Organisation
La Dlgation au contrle sur place dans le secteur
de la banque (EC, EI, EP, changeurs) dispose dun
ple spcialis sur les contrles informatiques
depuis 1996
quipe dune dizaine de contrleurs informaticiens
Parcours de formation spcifique
Certification professionnelle (notamment CISA : Certified
Information Systems Auditor dlivr par lI.S.A.C.A)
Corpus mthodologique de contrle (rfrentiels)
Utilisation doutils spcifiques pour lanalyse de fichiers
Intgration dans les quipes de contrle sur place
Enqutes gnrales ou spcifiques
27/11/2012
�2. Objectifs
Pourquoi des contrles informatiques ?
Quels sont les risques informatiques ?
Lintgration dans les risques oprationnels
27/11/2012
�2.1 Pourquoi des contrles informatiques ?
La banque
1980
27/11/2012
La banque
2010
�2.1 Pourquoi des contrles informatiques ?
Linformatique, outil du contrle
Capacit danalyse des informations bancaires (vrification de la
comptabilit, piste daudit)
Analyse de fichiers, de bases de donnes, indispensable la vrification
du respect des obligations lgales et rglementaires (cf. LCB-FT)
Importance de disposer doutils danalyse puissants
Linformatique, sujet de contrle
Dveloppement des systmes dinformation bancaire pour tous les
processus : comptabilit, oprations, mesure et contrle des risques,
reporting prudentiel
Forte complexit et htrognit des environnements (systmes,
rseaux, postes de travail)
La scurit et le bon fonctionnement des systmes dinformation sont
devenus essentiels (cf. livre blanc sur la scurit des SI 1996 ; livre
blanc Internet, quelles consquences prudentielles 2001) : lutte
contre la fraude, plans de continuit informatique, PCA
Prise en compte de ces problmatiques dans la notion de risque
oprationnel avec Ble 2 (2003)
27/11/2012
10
�2.2 Quels sont les risques informatiques ?
Accidents
Conception
Programmation
Exploitation (manipulation,
paramtrage )
vnements naturels
Pannes et dfaillances des
matriels
Pertes de services essentiels
(lectricit, tlcoms )
Erreurs
Malveillance
Vol
Sabotage
27/11/2012
Vol
Sabotage
Attaques logiques :
11
�2.3 Ces risques sont inclus dans les risques
oprationnels
Le risque oprationnel se dfinit
comme le risque rsultant dune
inadaptation ou dune dfaillance
imputable des procdures,
personnels et systmes internes
ou des vnements extrieurs.
Cela implique didentifier et de
mesurer les risques potentiels et
rsiduels
Des mesures de rduction des
risques informatiques doivent
tre adoptes et rgulirement
rvises
Les incidents donnent lieu
reporting et valuation, puis
ventuellement la rvision des
mesures de rduction des
risques
27/11/2012
7 CATEGORIES DEVENEMENTS
FRAUDE
INTERNE
FRAUDE
EXTERNE
PRATIQUE EN MATIERE
DEMPLOI ET DE
SECURITE DU TRAVAIL
CLIENTS, PRODUITS ET
PRATIQUES
COMMERCIALES
DOMMAGES
OCCASIONNES AUX
ACTIFS PHYSIQUES
INTERRUPTION DE
LACTIVITE ET
DYSFONCTIONNEMENT
DES SYSTEMES
EXECUTION,
LIVRAISON ET
GESTION DES
PROCESSUS
20 SOUS-CATEGORIES
12
�3. Modalits de ralisation
La dmarche de contrle sur place dans le secteur
de la banque
Les principaux thmes de contrle
Textes de rfrence
27/11/2012
13
�3.1 La dmarche de contrle sur place dans
le secteur de la banque
Les analyses de fichiers
Bases de donnes client, comptabilit, fichiers doprations sur comptes, listes
de personnes soumises vigilance dans le cadre de la LCB-FT
Objectif : slectionner et rapprocher de manire pertinente linformation pour
prparer les contrles (chantillonnage, rapprochements)
Utilisation doutils danalyse
Les analyses relatives la scurit et au bon fonctionnement des SI
Description et analyse de tout ou partie dun SI, apprciation de sa conception
et de son bon fonctionnement
Qualit des donnes
Continuit dactivit
Matrise des prestations essentielles externalises
Analyse de la gouvernance et du bon droulement dun projet
Analyse de scurit (lutte contre la fraude, vrification des habilitations)
Outil : corpus mthodologique de rfrence, construit sur des normes ISO
27/11/2012
14
�3.2 Les principaux thmes de contrle
Analyse du SI, de sa scurit et de son bon fonctionnement
Matrise des prestations externalises
Vrification de leffectivit et de ladquation des plans de
continuit dactivit
Contrles LCB-FT
Validation des modles Ble 2 (vrification des modalits de
rapprochement entre le systme de gestion des informations
comptables et le systme de gestion des risques, ainsi que
modalits de dversement dans le systme de gestion des
reportings)
Vrification des outils de suivi du risque oprationnel, des
systmes de reporting (COREP)
27/11/2012
15
�3.3 Les textes de rfrence (1/5)
Rglementation bancaire
Soft regulation
Normes (bonnes pratiques)
27/11/2012
16
�3.3 Les principales rfrences rglementaires (2/5)
Qualit et auditabilit de linformation (article 5 CRBF 97-02)
Le systme de contrle des oprations et des procdures internes a
notamment pour objet () de :
c) vrifier la qualit de linformation comptable et financire () ;
d) vrifier les conditions dvaluation, denregistrement, de conservation et
de disponibilit de cette information, notamment en garantissant
lexistence de la piste daudit au sens de larticle 12 ;
e) vrifier la qualit des systmes dinformation et de communication
Scurit, continuit, intgrit, confidentialit (article 14 CRBF 97-02)
Le niveau de scurit des SI est priodiquement apprci et, le cas
chant, des actions correctrices sont entreprises
Des procdures de secours informatique sont disponibles afin dassurer
la continuit dexploitation
en toutes circonstances sont prserves lintgrit et la confidentialit des
informations
27/11/2012
17
�3.3 Les principales rfrences rglementaires (3/5)
Continuit dactivit (y.c. ressources techniques)
(art. 14-1 CRBF 97-02)
LCB-FT (Code montaire et financier, rglementation)
Matrise des prestations essentielles externalises
(articles 37-1 et suivants CRBF 97-02)
Qualit des donnes (Ble 2) : (Art. 145 Arrt du 20
fvrier 2007)
Les tablissements assujettis mettent en place un systme
fiable pour valider lexactitude et la cohrence des systmes de
notation, des procds de notation ainsi que des estimations
des paramtres de risque pertinents
27/11/2012
18
�3.3 Soft regulation (4/5)
Matrise de la scurit : rapport Lagarde
Huit lments de contrle interne
Dont la scurit des systmes informatiques et
la protection des codes daccs
Livres blancs de la Commission bancaire
(ex : Scurit des systmes dinformation,1996)
Analyses et commentaires de lACP (ou de la
Banque de France)
27/11/2012
19
�3.3 Les principales normes (5/5)
ISO 27002, code de bonnes
pratiques pour la scurit de
linformation
Guide de contrle de la
scurit
ISO/IEC 38500 Corporate
Governance of information
technology :
Gouvernance du SI
Matrise de la conduite de
projets
Guidelines BRI, IOSCO, IAIS on
business continuity, 2006
27/11/2012
20
�4. Principaux enseignements (1/2)
La matrise des risques
informatiques touche
la fois :
La gestion courante
Les changements lis aux
volutions, notamment
technologiques
27/11/2012
21
�4. Principaux enseignements (2/2)
Culture, organisation : effet taille
Continuit dactivit : gnralisation des PSI, mais la
question de la localisation demeure
Principaux points dattention :
27/11/2012
Cartographie du SI, htrognit des environnements
Analyse des risques, implication des RSSI
Qualit des donnes, notamment dans le contexte Ble II
Matrise des projets
Matrise des prestations externalises
Paramtrage des outils de LCB/FT
Matrise des habilitations
Niveau de scurit du web-banking et du web-trading
22
�1re partie : le contrle des systmes dinformation par
lACP : objectifs, modalits, retour dexprience.
1. Le contrle sur place des systmes dinformation
bancaires : objectifs, modalits, enseignements
Marc Andries, Inspecteur de la Banque de France et
Chef de mission l ACP
2. Le contrle sur place des systmes dinformation en
assurance : stratgie du contrle et premier retour
dexprience
Thierry Auran, Chef de service des contrles sur place
spcialiss (SCPS/DCST)
Frdric Merilhou, Responsable de mission au SCPS
Franois Philippe, Responsable de mission au SCPS
27/11/2012
23
�Sommaire
1. Le contrle des systmes dinformation par lACP :
pourquoi et comment
Pourquoi
Rfrentiel de contrle
Organisation des contrles
2. Retour dexprience sur 3 ans de contrles
3. Conclusion
27/11/2012
24
�1.1 Pourquoi
Pourquoi lACP contrle-t-elle les systmes dinformation
des organismes dassurance ?
La qualit des donnes utilises par lassureur est essentielle sa
prennit (valuation des engagements, segmentation, tarification,
solvabilit ...) et la correcte apprciation du respect des rgles
prudentielles par lAutorit.
Les crises financires et la ncessit daccrotre la rgulation
financire.
La qualit des informations fournies devient de plus en plus
ncessaire.
Limportance stratgique des systmes dinformations au sein des
entreprises dassurance.
27/11/2012
25
�1.2 Rfrentiel de contrle
Les bases juridiques - rgime prudentiel actuel
( solvabilit 1 )
Dispositions sur le contrle interne (R 336-1 et suivants du code
des assurances, R 931-43 du code de la scurit sociale, R 211-28
du code de la mutualit)
Piste dAudit A 343-1 Code assurances, A 931-11-9 Code scurit
sociale, 2.1.2 du rglement CRC n2002-06 pour la mutualit.
Registres (sinistres/polices) Art. A.342-5 et A.342-6 Code Ass.
Informations sur les clients (lutte anti-blanchiment) et information
relative la protection de lassur (L132-22)
Autres dispositions rglementaires (informations pour les assurs,
Lutte anti-blanchiment, informatique et liberts...) en vertu de lart.
L612-1 du Code montaire et financier
27/11/2012
26
�1.3 Organisation des contrles par lACP
Le ple contrle SI du SCPS au sein de lune des 3 directions de
contrle des assurances (Direction des contrles spcialiss et
transversaux)
Des contrles mens sur la base de lettres de mission spcifiques
Des objectifs diffrents de ceux dun audit interne
Principaux types de contrles SI
27/11/2012
approche globale par les risques
qualit des donnes
support la lutte anti-blanchiment
27
�2. Retour dexprience
Les principaux thmes de contrle
Gouvernance des systmes dinformation
Analyse des risques et contrle interne
Gestion de la scurit des systmes dinformation
Plan de continuit dactivit
Qualit des donnes
27/11/2012
28
�2.1 Gouvernance des systmes dinformation (1/2)
La gouvernance du SI dpasse le strict primtre de la DSI
La gouvernance du SI a pour objectif de mettre linformatique au
service de la stratgie de lentreprise et en conformit avec la
rglementation
les principes dorganisation : rle, comits, processus dcisionnels,
politiques SI
les principales fonctions et les processus de la DSI
Extrait du R 336-1 du code des assurances
2) b) activits menes selon des politiques et stratgies tablies par les
dirigeants et les procdures permettant de vrifier la conformit
Ce domaine fondamental montre souvent des faiblesses :
gouvernance des projets, dfaut durbanisme, primtre de
responsabilit mal dfini
27/11/2012
29
�2.1 Gouvernance des systmes dinformation (2/2)
La gouvernance des SI doit couvrir lensemble des
fonctions suivantes
Stratgiques
Alignement du SI sur la stratgie de lentreprise
Urbanisation du SI qui facilite lalignement du SI/mtier
Gestion du portefeuille projet
Gestion des risques SI
Oprationnelles
Processus (gestion de projet, de lexploitation, de la scurit, de
la maintenance, des achats...)
Pilotage des services IT internes et externaliss
Supports
27/11/2012
Gestion de la performance des SI
Contrle interne des SI
Gestion des comptences
30
�2.2 Gestion des risques et contrle interne des
systmes dinformation (1/2)
Le code des assurances prvoit un dispositif de contrle
interne
Les risques SI doivent tre dfinis au sein dun rfrentiel
valid par la gouvernance et rgulirement mis jour
27/11/2012
Dfinition des modalits didentification et du processus
dvaluation des risques SI (probabilit de survenance,
impact)
Dfinition de lapptence (risk appetite) aux risques SI
Documentation de la cartographie des risques SI et du
processus de mise jour
31
�2.2 Gestion des risques et contrle interne
des systmes dinformation (2/2)
Les contrles sur place en assurance ont dcel des points de
vigilance particuliers :
Absence de connexion entre les risques SI et les risques
mtiers
Dfaillance du processus continu de contrle, de
consolidation et de pilotage des rsultats
Lacune de la culture du risque SI
27/11/2012
32
�2.3 Gestion de la scurit des systmes
dinformation
La scurit des SI a pour objectif de prserver la disponibilit, lintgrit,
la confidentialit et la traabilit de linformation sous toutes ses formes.
Les points relevs lors de nos contrles sur place :
Une PSSI approuve par la Direction Gnrale, dcline et
applique
Une analyse des risques, un recensement des actifs
informationnels (informations qui ont une valeur pour lentreprise)
Une organisation, des moyens humains et techniques
Un plan de contrle - mesurer rgulirement sa conformit et la
scurit du SI (garder des traces formalises)
Les prestations externalises
27/11/2012
33
�2.4 Plan de continuit dactivit
Des exigences de continuit dactivit
Les points relevs lors de nos contrles sur place :
Le PCA ne relve pas de la DSI
Faire valider lanalyse dimpact mtier (au-del de lexemple
grippe aviaire ) et une stratgie de reprise (RTO et RPO)
par la direction gnrale
Documenter le PCA avec des documents accessibles en cas
de ralisation dun risque (plans de continuit mtier,
annuaire...)
Plans de tests mtiers et informatiques
Rvaluer rgulirement le plan
27/11/2012
34
�2.5 Qualit des donnes (rgime prudentiel actuel)
Les contrles sur la qualit des donnes conduits depuis 2010
montrent :
Des dficiences dans la gestion des habilitations, dans la
traabilit
Des bases de donnes comportant un pourcentage non
ngligeable de dfauts
Des lacunes concernant la qualit des informations sur les
assurs
Parfois, une absence de cloisonnement de certains
environnements informatiques
Des possibilits de modifier les donnes sans laisser de trace
Des registres squentiels non conformes
27/11/2012
35
�3. Conclusion
Le contrle SI de lACP porte sur les risques majeurs et sur la
qualit des informations prudentielles
Le contrle de lACP attend des organismes dassurance quils
aient mis en place une organisation et une dmarche de matrise
du SI.
Le contrle porte aussi une attention particulire la prsence de
documentation et de cartographies, dutilisation de rfrentiels
Il peut sappuyer sur les rapports daudit
27/11/2012
36
�QUESTIONS
27/11/2012
37
�PAUSE
27/11/2012
38
�2me partie : les grands enjeux en banque et en assurance
Confrence anime par Frdric Visnovsky, secrtaire
gnral adjoint de lACP
1. Impact de Solvabilit II sur le contrle des systmes
dinformation des organismes dassurances de lACP
Thierry Auran, Chef de service des contrles sur place
spcialiss (SCPS/DCST)
Caroline Eraud, Cellule Modles Internes (CMI/DCST)
2. Le contrle sur place des systmes dinformation
bancaires : enjeux et perspectives
27/11/2012
39
�Vido :
Les grands enjeux venir
27/11/2012
40
�Sommaire
1. Exigences prudentielles enrichies
2. Gouvernance et gestion des risques SI (Pilier II)
3. Prparation des bases de donnes pour le futur
rgime (tous piliers)
4. Qualit des donnes sous Solvabilit II
5. Mise en pratique dans le cas des modles internes
27/11/2012
41
�1. Des exigences prudentielles enrichies
Bilan prudentiel - Evaluation des exigences de capital
(SCR, MCR) - Qualit des donnes pour les PT (Directive
2009/138/EC art 48 - art 82 - Article 121)
Gouvernance et gestion des risques, contrle et audit
interne (Directive 2009/138/EC art 41 et suivants)
Systme des gestion des risques et de contrle interne
Systme de Gestion des risques oprationnels (art 44-e)
ORSA (Own Risk and Solvency Assessment-art 45)
Plan durgence (art 41)
Dispositions sur le Pilier 3 (art 35 et art 50)
27/11/2012
42
�2. Le systme de gouvernance et le systme
de gestion des risques
Le systme de gouvernance de Solvabilit II concerne lensemble du
fonctionnement de lorganisme
En matire de risques SI, Solvabilit II identifie/formalise des
systmes/fonctions qui existent dj dans nombre dentreprises
91% des organismes disposent de cartographie des risques comme le
montrent les rponses lenqute de prparation
En revanche, seulement 67% des organismes dclarent disposer dun
PCA (85% pour les socits anonymes contre 55% pour les mutuelles)
27/11/2012
43
�3. Prparation des bases de donnes : un
panorama contrast
41 % des organismes nont pas tabli de mapping entre les lignes du bilan
prudentiel et les diffrentes sources d'information ncessaires la production de
celui-ci (15% pour les SA).
Concernant la prparation des tats prudentiels Solvabilit II, 56% des
organismes nont pas commenc de retro planning identifiant les services
fournisseurs d'information dans la perspective de la mise en production. 61%
nont pas effectu de connexion entre la production des tats et d'autres sources
de donnes.
La prparation des bases des donnes sera un sujet de contrle SI
27/11/2012
44
�4. Qualit des donnes sous Solvabilit 2 (1/4)
Des critres de qualit de donnes formaliss
Les critres de Solvabilit II : exhaustivit, pertinence et exactitude
(Article 82 sur les provisions techniques Art 121.3. modle interne)
Traabilit (art 77)
Apprciation de la qualit et la suffisance par la fonction actuarielle
Extrait de lArticle 48 de la Directive
Les entreprises dassurance et de rassurance mettent en place une
fonction actuarielle efficace afin de (..) apprcier la suffisance et la qualit
des donnes utilises dans le calcul des provisions techniques
27/11/2012
45
�4. Qualit des donnes sous Solvabilit 2 (2/4)
Gouvernance de la qualit des donnes (article 41 Directive)
Responsabilits
Dictionnaire des donnes
Des tableaux de bord sur la qualit de donnes
Existence dune gouvernance de donnes
27/11/2012
46
�4. Qualit des donnes sous Solvabilit 2 (3/4)
Politique de qualit des donnes
Critres de qualit des donnes (tude)
Des seuils doivent tre dfinis et revus rgulirement par lentreprise.
Les cas de non-qualit doivent faire lobjet de plans daction documents.
Existence dune politique des donnes
27/11/2012
47
�4. Qualit des donnes sous Solvabilit 2 (4/4)
Le contrle SI sattache analyser la cartographie applicative
Dispositif de contrle interne li aux flux de donnes (article 46)
Dispositif de contrle interne li la gestion des systmes des
domaines audits
Vrification de la qualit des donnes lors des contrles SI de
lACP
Premiers constats effectus lors des contrle SI :
Dictionnaires des donnes pas termins ou incomplet
Absence de critres de qualit sur les donnes
Gestion de certains projets incomplte : absence de gestion de la scurit des SI,
absence de planification du mode permanent
Externalisation de la production de donnes pas forcment matrise
Absence dune piste daudit suffisante sur les transformations de donnes
27/11/2012
48
�5. Mise en pratique dans le cas des modles internes (1/3)
LACP apprciera si les systmes didentification, de
mesure, de contrle, de gestion et de dclaration des
risques de lentreprise sont adquats (art. 112-5) et quil
existe des dispositifs garantissant que le MI fonctionne
correctement de manire continue (art. 116).
Sagissant de la qualit des donnes, seront distingus :
27/11/2012
Lenvironnement de modlisation
Lenvironnement de production
49
�Mise en pratique dans le cas des modles internes (2/3)
Environnement de modlisation : donnes utilises pour le
calibrage du modle
Exigences rglementaires : les donnes utilises aux fins du
modle interne sont exactes, exhaustives et appropries. Les
assureurs actualisent au moins une fois par an les sries de
donnes (article 121-3)
Revue de la qualit statistique des donnes
Revue du processus dactualisation ou de contrles annuels
Exemples :
suffisance de la profondeur dhistorique
reprsentativit de lchantillon
Zones de risque : intervention du jugement dexpert dans le
choix et lutilisation des donnes utilises
27/11/2012
Exemples :
choix de la fentre dobservation
retraitements des ruptures dhistorique ou des valeurs aberrantes.
50
�Mise en pratique dans le cas des modles internes (3/3)
Environnement de production du SCR : donnes de portefeuille
utilises en entre de modle pour le calcul du SCR (2)
Donnes de portefeuille dj utilises dans les chaines comptables
Revue de la qualit des contrles mis en uvre
Revue des retraitements effectus pour la production du SCR
Exemples :
construction des model points
portefeuilles intgrs a posteriori
Zones risque : donnes hors des chanes comptables et des tats
rglementaires
27/11/2012
Exemples :
Donnes dexposition : sommes sous risque ; gocodage (cat nat)
Informations qualitatives (personnalit morale ou physique en
pargne, slection mdicale)
51
�Conclusion
La prparation du SI pour le rgime Solvabilit II est
un chantier lourd, souvent sous-estim comme le
montre lenqute de prparation, notamment en
matire de connexion avec les bases de donnes
sources
Les contrles des SI effectus montrent une forte
marge damlioration sur le dispositif li la qualit
des donnes
27/11/2012
52
�2me partie : les grands enjeux en banque et en assurance
1. Impact de Solvabilit II sur le contrle des systmes
dinformation des organismes dassurances de lACP
2. Le contrle sur place des systmes dinformation
bancaires : enjeux et perspectives
Marc Andries, Inspecteur de la Banque de France et
Chef de mission l ACP
27/11/2012
53
�Sommaire
1. Matriser la complexit des environnements
informatiques
2. Faire face la sophistication des attaques
3. Les perspectives, cas pratique du cloud computing
27/11/2012
54
�1. Matriser la complexit des SI
Gouvernance et matrise des SI
Complexit des systmes, des rseaux et des process,
Manque de vision densemble,
Besoin durbanisation
Contrle des droits, notamment dadministration
Auditabilit et qualit des donnes
Matrise des prestations externalises (outsourcing,
offshoring)
Matrise des projets informatiques (valuer les
moyens informatiques et la capacit dvelopper
une nouvelle activit)
Gestion des mises en production
Gestion des changements (cf. bug RBS en dbut danne)
27/11/2012
55
�2. Faire face la sophistication des attaques
Risques de fraude interne
Contrle des habilitations,
Traabilit,
Outils de dtection
Risques de fraude externe, hausse de la cybercriminalit
Scurit web banking, web trading,
Phishing, malwares
Risques dintrusion ou de blocage
Risques de dtournement des donnes
Vol de donnes, dissmination
Ncessit de renforcer la protection des donnes sensibles
Matrise de la localisation des donnes et de leur accs (cf. cloud
computing)
27/11/2012
56
�3. Cas pratique, le Cloud computing (1/2)
Service daccs via le rseau,
la demande et en libre-service,
des ressources informatiques
virtualises et mutualises,
gnralement factures
lusage.
Outsourcing de services de
production, de dveloppement,
de stockage, de services
logiciels
Plusieurs configurations :
les clouds privs internes
les clouds privs externes
les clouds publics
les clouds hybrides
27/11/2012
O sont localises mes donnes ?
Qui peut y accder ?
Comment puis-je en tre sr ?
Quelles sont les dispositions de
droit local applicables mes
donnes ?
Comment puis-je contrler mon
prestataire ?
57
�3. Cas pratique, le Cloud computing (2/2)
Prendre en compte les dispositions applicables
aux prestations essentielles externalises (PSEE)
Ncessit dune analyse de risques prenant en
compte les caractristiques dune telle prestation
Importance du cadre contractuel : accs aux
donnes, clauses daudit, conditions de terminaison
de la prestation
Mesures de scurit ddies : chiffrement ?
27/11/2012
58
�QUESTIONS
27/11/2012
59
�CONCLUSION
Frdric Visnovsky,
Secrtaire gnral adjoint de lACP
27/11/2012
Banque de France Autorit
de Contrle
Prudentiel
Secrtariat
gnral de
la Commission bancaire
60
