La gestion des urgences informatiques dans les établissements de crédit ne doit pas être laissée au hasard. En cas d'urgence, toutes les parties concernées doivent savoir exactement ce qui doit être fait, quand et par qui. Sans une sensibilisation à l'échelle de l'entreprise et sans précautions claires en matière d'organisation et de procédures, cela n'est pas possible.
Quiconque a déjà jeté un coup d'œil à l'intérieur du moteur d'un avion de ligne aura sans doute vu le système complexe de tuyaux, de fils et d'autres composants mécaniques qui est contrôlé électroniquement depuis le cockpit. Mais que peut-il se passer en cas de dysfonctionnement ou même de panne de moteur d'avion ? Comment le pilote et le copilote peuvent-ils contrôler l'avion en toute sécurité avec une seule unité moteur restante ? Et quelles sont les options qui restent si cela aussi n'est plus possible et qu'un échec se transforme en urgence ? Les pilotes doivent rencontrer rapidement les décideurs appropriés pour maintenir la capacité de vol et (espérer) faire atterrir l'avion en toute sécurité.
Et même si l'expérience et l'"instinct" jouent certainement un rôle très important, l'exécution la plus précise possible des procédures standard préalablement établies au sein d'une équipe est décisive en fin de compte.
Les mesures d'urgence doivent être préparées
Pour s'assurer que cela réussisse en cas d'urgence, les pilotes s'entraînent aux mesures d'urgence dans des simulateurs et procèdent selon les procédures et les actions préalablement établies. Les événements et les connaissances qui en découlent sont documentés et discutés avec l'avionneur pour l'assurance qualité pendant les mesures de maintenance et pour la sécurité des vols en général. Néanmoins, il ne faut pas en négliger l'importance.
Le maintien des processus opérationnels de chaque banque dépend directement des opérations informatiques avec leurs dépendances, applications et processus fonctionnant, au moins, suffisamment bien et de la restauration convenue de ces opérations en cas de défaillance et d'urgence. Dans le même temps, la sécurité des données et, en fin de compte, la sécurité des dépôts et des fonds des clients sont toujours en jeu.
Les risques potentiels dans les opérations informatiques doivent donc être identifiés et des solutions appropriées doivent être développées et stockées. Cette nécessité se fait particulièrement sentir en ce qui concerne la maintenance des processus d'entreprise critiques.
En cas d'altérations fonctionnelles ou de défaillance d'applications, de composants ou de processus informatiques importants, une procédure claire doit être convenue et documentée, similaire à celle des opérations de vol. C'est la seule façon de rendre les dépendances, les procédures, les responsabilités et les obligations de rendre compte, suffisamment claires pour que toutes les parties concernées puissent agir rapidement et correctement en cas d'urgence.
Dans le cadre d'un système de gestion préventive des urgences et avec la participation de toutes les parties concernées, des activités et des processus doivent être définis en cas de défaillances ou d'urgences plus graves et leur mise en œuvre doit être testée lors d'essais d'urgence.
Les exigences légales et de surveillance bancaire pour la gestion des urgences
Les exigences légales et de surveillance bancaire de base pour la gestion des urgences (IT) des établissements se trouvent dans la loi bancaire et dans les exigences minimales pour la gestion des risques, pour tous les établissements.
Le paragraphe, qui régit les devoirs organisationnels spéciaux et les pouvoirs réglementaires, exige, par exemple :
- Qu’une institution doit avoir une organisation commerciale appropriée qui assure la conformité avec les dispositions légales à observer par l'institution et avec les exigences de gestion commerciale. (...)
- Une bonne organisation de l'entreprise doit notamment comprendre une gestion des risques appropriée et efficace, sur la base de laquelle l'établissement doit assurer en permanence sa capacité à supporter les risques. La gestion des risques comprend notamment, la définition d'un plan d'urgence approprié, en particulier pour les systèmes informatiques.
En raison notamment de l'importance de la gestion d'urgence pour l'évaluation de la capacité à supporter les risques, il y est précisé les exigences et doit y faire à nouveau référence dans le cadre de l'
externalisation. Les déclarations faites sont générales et se réfèrent à la gestion des urgences des institutions, à fournir de manière globale au sein de l'institution et ne comprennent aucune concrétisation des exigences spécifiques aux IT.
Par exemple, les exigences exigent que des précautions soient prises sous la forme d'un concept d'urgence pour les situations d'urgence impliquant des activités et des processus à délai critique.
Concretisation des exigences pour la gestion des urgences
Les "Banking Supervisory Requirements for Information Technology" (BAIT) publiées en novembre 2017 par l'Autorité fédérale de surveillance financière (BaFin) ne précisaient pas comment la gestion des urgences informatiques doit être mise en œuvre.
Pour d'autres domaines d'exigences, tels que la gestion des risques liés à l'information, la gestion des autorisations d'utilisation ou la gestion de l'externalisation des services informatiques, cela a déjà été fait par l'actuel BAIT.
Les autorités de surveillance allemandes sous la forme de la BaFin et de la Deutsche Bundesbank ont expliqué, lors d'un premier échange avec des établissements, des associations et de grands prestataires de services informatiques, comment les exigences en matière de gestion des urgences informatiques des établissements doivent être spécifiées concrètement et quels contenus possibles doivent être inclus dans le BAIT.
Pour l'autorité de surveillance, il est clair que la gestion des urgences informatiques doit faire partie intégrante de la gestion globale des urgences et que, par conséquent, il est essentiel que la gestion centrale de la continuité des activités (BCM) et la gestion de la continuité informatique (ITCM) soient liées.
Les institutions et les fournisseurs de services informatiques doivent mettre en œuvre un cycle continu de gestion des urgences informatiques. Il doit dresser la carte de la gestion des urgences dans son ensemble, définir le champ d'application et inclure les exigences et spécifications légales de base ainsi qu'un objectif concret, et enfin planifier et établir les exigences organisationnelles.
À cette fin, les banques et les prestataires de services doivent également définir les rôles et responsabilités et élaborer des lignes directrices et des manuels d'urgence. Lors de leur conception, les organismes responsables doivent tenir compte du fait qu'ils disposent d'un inventaire à jour des systèmes et processus informatiques, et identifier et hiérarchiser les processus, systèmes informatiques et plans d'urgence (critiques en termes de temps) afin de pouvoir se conformer aux processus définis et aux objectifs de protection informatique.
Comme autre base importante, il doit y avoir une "gestion de crise définie" avec des spécifications claires de l'organisation du flux de travail, y compris les processus et les tâches pour la crise, ainsi qu'une communication interne et externe réglementée, par exemple avec les clients, les partenaires et les autorités de surveillance.
Pour vérifier l'efficacité des plans d'urgence, il faut les tester régulièrement avec la participation de toutes les personnes concernées et documenter la procédure et les résultats. À l'avenir, les tests et les exercices doivent être effectués avec encore plus de force selon des scénarios d'urgence réalistes et, idéalement, également dans les systèmes productifs.
En général, les autorités de surveillance rappellent aux dirigeants la responsabilité globale de la direction, qui doit s'assurer du bon fonctionnement de la gestion des situations d'urgence des établissements.
Mesures et activités possibles des établissements de crédit
Pour satisfaire aux exigences de surveillance, un certain nombre de mesures et d'activités de base sont requises dans les établissements de crédit. Comme base de toutes les mesures conceptuelles et opérationnelles dans le cadre de la gestion des urgences informatiques, chaque institution doit d'abord examiner ou créer les conditions organisationnelles nécessaires pour elle-même, si celles-ci n'existent pas.
L'accent est mis ici sur la mise en place d'une unité organisationnelle ou d'un service qui crée un concept de gestion des urgences approprié pour la prévention et le traitement des urgences en cas d'incident et coordonne sa mise en œuvre dans toute l'institution conformément aux exigences.
À cette fin, une unité ou un département qui fonctionne indépendamment des opérations informatiques et du développement ou du soutien des applications peut être mis en place dans l'organisation informatique existante. En tant que GICT, cette unité ou ce service est alors responsable des précautions d'urgence complètes avec des mesures de réduction des risques, du rétablissement des performances informatiques le plus rapidement possible ou conformément aux exigences en cas d'urgence, et de la gestion des crises. Il est également chargé d'élaborer et de mettre à jour le concept de prévention des urgences informatiques, le plan d'urgence informatique (y compris les plans de reprise et de redémarrage) et un concept de test d'urgence informatique, ainsi que de coordonner les tests d'urgence réguliers impliquant les prestataires de services informatiques mandatés et de contrôler les résultats.
Toutefois, les tâches et responsabilités impliquées ne doivent pas être confondues avec celles de la "gestion de la disponibilité", tout aussi nécessaire, qui peut faire partie intégrante des opérations informatiques.
Pour que la mise en œuvre de la gestion des urgences (informatiques) soit couronnée de succès, il faut absolument créer une "sensibilisation" dans toute l'institution. Selon la nature et la complexité de l'organisation concernée, des mesures de communication étendues visant à promouvoir la compréhension et la clarification des termes et des définitions sont parfois nécessaires. Ces tâches nécessitent également un contrôle central, qui devrait être effectué dans le cadre d'une GICT.
En disposant d'une unité centrale responsable qui rassemble et évalue les informations pertinentes, il est également possible d'anticiper les éventuelles interruptions des opérations informatiques et de prendre les mesures de précaution appropriées. Les tâches à accomplir par l'ITCM dans le cadre des mesures de précaution ou de la gestion des urgences informatiques peuvent être résumées en termes simplifiés.
Première évaluation et perspectives
Une gestion fonctionnelle des urgences informatiques des institutions est très importante. Il est donc logique que les exigences en matière de surveillance dans le BAIT soient précisées en termes plus concrets, en suivant l'exemple du contenu précédent et en maintenant le principe de proportionnalité, ce qui augmenterait la transparence.
Toutefois, il est essentiel de toujours se demander si et dans quelle mesure un effort supplémentaire est nécessaire ou justifiable. En ce qui concerne les tests d'urgence et les exercices de fonctionnement productif requis, il est essentiel d'évaluer dans quelle mesure ces tests sont réellement nécessaires, car ils impliquent des risques inutiles pour les opérations. L'autorité de contrôle devrait donc une fois de plus faire preuve de tact et de sensibilité dans les mesures concrètes en suspens et poursuivre le dialogue déjà entamé avec les instituts et les associations. Il reste à voir dans quelle mesure cet objectif sera atteint et comment la pratique de l'audit de surveillance se développera à l'avenir.