Comment naviguer dans la conformité lors d’une évolution de l’IT ?

Il est certain que les entreprises doivent évoluer, ne serait-ce que pour suivre les nouvelles tendances, répondre aux nouvelles demandes de marché,… Cependant, il est du devoir du Compliance Officer de garder le contrôle sur le business, qu’importent les décisions prises. En effet, il va de soi qu’aucun dirigeant ne se permettrait de risquer la sécurité de son entreprise. Dès lors, ce même raisonnement doit être également appliqué à l’informatique en général.

Boîte à outils pour les Compliance Officers

Pour ce faire, différents outils sont mis à disposition des Compliance Officers. Ils peuvent tout d’abord s’appuyer sur les recommandations émises par l’autorité bancaire européenne (EBA). Ensuite, des circulaires CSSF sont rédigées afin de guider les PSF et de former un socle de réglementation à  laquelle ces dernières doivent se conformer. Parmi celles-ci, nous pouvons en trouver certaines relatives à la sous-traitance des services informatiques, d’autres concernant les infrastructures informatiques en nuage ou « Cloud Computing », ainsi qu’une série portant sur les solutions informatiques se trouvant directement sur le site du client.

Ne laissez pas l’entreprise conduire l’IT toute seule !

Une des premières étapes à ne pas négliger est la bonne compréhension du besoin rencontré afin de l’aborder de la meilleure manière qui soit. De plus, il est essentiel de se renseigner sur les produits concurrents, mais également de s’interroger sur l’infrastructure informatique de l’entreprise en tant que telle (quel modèle est mis en place ? quel est le type d’actifs traités ? combien de positions ? qu’est-il mis en place en cas de sinistre ? un support est-il disponible ? la sécurité fait-elle partie intégrante de la stratégie ?…). Enfin, pour clore le processus de réflexion à suivre, il faut tenir compte des limitations/contraintes (légales, de conformité, sécuritaires, temporelles, budgétaires,…), et détecter les potentielles faiblesses.

Approbation et encadrement de la solution sélectionnée

Arrive ensuite l’étape d’évaluation de la solution sélectionnée. Il est conseillé de réaliser une due diligence, mais également de considérer différents scénarios de risque/menace, ainsi que des vulnérabilités que l’entreprise peut avoir. Ainsi, les risques réels et résiduels pourront être étudiés pour chaque scénario envisagé.

Une fois la solution approuvée, il est important de réduire les risques liés à l’utilisation de cette solution. Pour ce faire, divers points peuvent être abordés : en cas de sous-traitance, il faut veiller à ce qu’un contrat soit rédigé et signé, puis vérifier les conditions de celui-ci. Ensuite, il peut être utile d’écrire un protocole de formations internes afin de les encadrer de manière la plus efficace possible. Enfin, des politiques internes d’utilisation ainsi que des politiques de sécurité informatique doivent être formulées.

Communication auprès de la CSSF

La tâche des Compliance Officers n’est pas encore finie. En effet, s’il a été décidé d’utiliser une solution cloud (externalisée ou non) pour des activités matérielles, et traitant des données confidentielles, ils sont obligés de demander une autorisation préalable auprès de la CSSF. Dans ce cas de figure, différentes documentations devront être fournies telles qu’un résumé des risques, le design de la solution, ainsi que les protocoles de sécurité et de formation. Si en revanche, la solution choisie ne remplit pas ces conditions, une simple notification à la CSSF est suffisante.