jeudi 5 septembre 2013

Des solutions aux nouvelles exigences FINMA (part.1)

Pour les banques, la révision actuellement en cours de la circulaire 2008/21 sur les risques opérationnels aura des conséquences très concrètes en matière de traitement des données électroniques de clients (CID). Cet article en dresse la synthèse et propose quelques pistes concrètes de mise en oeuvre opérationnelle.

Dans le fond, si l'on va droit au but, que demande la finma aux banques ?-  D'assurer à ses clients la confidentialité dans le traitement de leurs données, ainsi que tout maître de fichiers au sens de la LPD est sensé le faire. Toutefois, dans le contexte particulièrement tourmenté que traverse les banques depuis quelques années, cette nouvelle réglementation prend un sens un peu plus concret et détaillé. Dans les faits, et très concrètement,  les banques doivent être capables  - d'ici à 2015 - d'identifier qu'elles sont les données liées à leurs clients, où sont-elles stockées, qui les utilisent et comment circulent-elles. Exprimé de cette manière, cela parait excessivement simple, voire simpliste. Mais d'un point de vue opérationnel, cela pose quelques difficultés liées au manque de renseignement de l'information (Information Intelligence).

Partout où nous avons l'occasion d'intervenir, que ce soit dans les services ou dans l'industrie, nous pouvons constater qu'il manque un lien entre la gouvernance de l'information et l'infrastructure informatique qui la supporte. De ce fait, les entreprises souffrent quand il s'agit retrouver les données les plus sensibles parmi la jungle de data qui inonde leur système d'information. En cela, les banques ne sont pas différentes des autres entreprises ni même des organisations publiques, juste un peu plus concernées par le risque de réputation peut-être...

Les neuf principes d'améliorations FINMA

DLP en réponse aux exigences finma

La Gouvernance
Comme pour tout autre actif, la gestion des risques qui y sont liés incombe aux plus hautes instances de l'entreprise. Les critères d'indépendance des unités concernées, la définition claire des responsabilités ainsi que des processus liés au traitement des données doivent tous être coordonnés afin de garantir la confidentialité des données.  Sur ce point, je pense que le plus grand changement est d'ordre culturel; il ne suffit pas (plus) de déléguer l'exécution "aux gars de l’informatique" en pensant avoir traité le sujet par la simple acceptation d'un budget d'investissement pour la "sécurité". De nos jours, la stratégie de sécurité ne doit plus se contenter d'empiler des technologies informatiques mais bien d'adresser le problème à sa racine, à savoir le contenu de l'information. Et là, nous adressons un changement culturel important car la sécurité orientée "contenu" demandera de la patience pour faire évoluer les mentalités.


Les données d'identification du client (CID)
Alors qu'il semble évident pour tout à chacun que la catégorisation des clients est quelque chose d'acquis depuis la nuit des temps, l'exigence sous jacente liée à ce point est à mes yeux celle qui posera le plus de problèmes aux banques. Certes, tous les clients sont catégorisés et aucune banque n'a de problème à dresser la liste de chaque catégorie. Tant que nous avons à faire des données structurées ai-je envie d'ajouter... Qu'advient-il des données non structurées, à savoir celles qui constituent l'immense majorité de la jungle du système d'information ? Peut-on garantir qu'elles sont vierges de toute CID ? - Non, bien évidemment. Il faudra donc que les banques travaillent sur la notion de classification de l'information afin de satisfaire à cette exigence.  Et la toute première étape d'un tel projet passe par l'identification des données sensibles afin de déterminer où elles se trouvent (non seulement leur endroit légitime, mais aussi et surtout:  partout où on les retrouve également, en totalité ou partiellement). Pour ce faire, et idéalement sur la base du résultat de l'analyse des risques (cf point sur la gouvernance), on s'appuiera sur des techniques de e-discovery qui permettront de séparer le bon grain de l'ivraie.

A suivre...

Aucun commentaire:

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?