Article
Cas d'usage
Livre blanc
Vidéo
Webinaire
Évènement
La mise œuvre de pratiques industrialisées de « Gouvernance, Risques et Conformité » (GRC) au sein des institutions financières, a pris une place prépondérante depuis l’implémentation des réglementations Bâle (II puis III) et Solvabilité. Pour répondre à l’enjeu de bonne gouvernance des données, stipulé dans les piliers de ces réglementations, les entreprises multiplient les efforts pour recruter les meilleurs dans le domaine de la GRC - Gestion des Risques au sens large, du Contrôle Interne, de l’Audit Interne et de la Conformité.
Selon une étude réalisée par la société de conseil Optimind Winter et mandatée par la Observatoire des métiers de la Banque[1], ?Les entreprises bancaires sont également victimes de nouveaux risques et doivent créer de nouveaux profils d'emploi pour faire face à ces nouveaux défis. Les départements GRC doivent faire face à de nouveaux défis, tels que la couverture du risque systémique, le développement du Cloud Computing ou de la Mobile Bank (nomadisme technologique). Nous parlons ici de la numérisation du secteur bancaire et de l'utilisation d'Internet pour gérer les comptes bancaires personnels. Les banques et les compagnies d'assurance ont ainsi mis en œuvre des solutions pour protéger les données de leurs clients contre les cyberattaques. Bien que les efforts déployés pour sécuriser les données des clients se soient avérés efficaces, la menace se trouve maintenant au sein des entreprises financières dans leur flux de travail quotidien.
Les nouvelles méthodes de travail se sont accompagnées d’un nouveau phénomène, le Shadow IT, qui désigne toute application ou processus de transmission d'information utilisé dans un processus métier sans l'aval de la direction des SI. Ignorant fréquemment son existence, la direction informatique ne l'a pas réalisé et ne lui fournit donc aucun support. Un tel processus génère des données "officieuses" et non contrôlées qui peuvent contrevenir aux standards et réglementations en vigueur telles que Bâle et Solvabilité.
Les deux révélateurs de cette pratique sont le BYOD[2] et l’utilisation de logiciels/applications non répertoriés dans le catalogue de la DSI. Associés, ils représentent un réel danger pour l’entreprise en terme de traçabilité et gouvernance des données se caractérisant par la fuite et le vol de données.
Prenons l’exemple de la traduction automatique. Qui aujourd’hui, au sein des institutions financières, s’en soucie vraiment ? Qui s’interroge sur le fait d’outiller ses équipes avec une solution sécurisée de traduction automatique ? Pourtant, les banques s’internationalisent et les employés sont de plus en plus amenés à :
- Communiquer à l’international avec leurs collègues et clients, qu’ils soient en Chine, au Japon, en Allemagne où ailleurs
- Traduire de plus gros volume de documents dans une multitude de langues.
Sans solution logicielle de traduction automatique proposée dans le catalogue de la DSI, vos employés utiliseront un service gratuit en ligne sans se soucier du risque qu’ils font encourir à leur société. Je ne fais pas référence à de simples échanges entre collègues sur le prochain séminaire mais plutôt, par exemple, à des échanges confidentiels d’emails sur des données financières sensibles, des contrats que le service juridique doit traduire et amender, des rapports du comité d’audit, des analyses de risques financiers ou opérationnels, ou encore des dossiers d’architecture IT concernant de grands projets de refonte des infrastructures informatiques au sein des banques.
Rappelons que ces données sont la propriété de l’entreprise, que cette dernière est donc légalement responsable de leur utilisation, et qu’une fois exposées sur la toile l’intégrité de ces données est fortement compromise. La passivité des organisations sur ce sujet m’étonne quand les scandales sur la divulgation de leurs données et les piratages à grande échelle se multiplient. En effet, ce n’est pas seulement entre les mains des géants du web que vous remettez vos données confidentielles mais c’est aussi entre celles de pirates malveillants. En toute logique, la question n’est donc pas de savoir si vous allez vous faire pirater, mais comment, et quand ?
Bien sûr, il est possible de mettre en place des politiques de restriction d’accès à ces services en ligne sur le lieu de travail. Mais que pouvez-vous faire concrètement face à votre employé modèle qui, par soucis de professionnalisme, terminera un dossier urgent en traduisant de chez lui sur son ordinateur personnel de la documentation confidentielle ou qui consulte ses emails le soir et peut être amené à traduire certains échanges ?
Avant qu’il ne soit trop tard, la Direction des Systèmes d’Information doit mettre en œuvre un programme de sécurité IT, piloté par le Chief Information Security Officer (CISO) en collaboration avec le département Compliance, pour encadrer la pratique du BYOD par la mise à disposition d’un patrimoine applicatif complet et, notamment, d’une solution de traduction automatique installée sur les infrastructures IT de l’entreprise. Il vous faudra bien sûr communiquer en interne sur l’existence de cet outil de traduction – message sur le RSE, formations dédiées – dans le cadre de la conduite du changement.
Cette brique applicative de traduction implémentée dans le processus de traitement des données permettra aux Banques & Assurances de respecter les réglementations qui exigent une traçabilité complète de l’information, des systèmes IT et des processus qui servent à produire de l’information. Exigences qui portent non seulement sur la qualité des données mais également sur la gouvernance du système d’information en matière de sécurité et de disponibilité des données.
[1] http://www.observatoire-metiers-banque.fr/mediaServe/Etude_Les_metiers_du_risque_et_du_controle_dans_la_banque_site.pdf?ixh=2723623858704744574
[2] [ii] Bring Your Own Device consiste à utiliser son propre matériel à des fins professionnels pour, par exemple, consulter ces emails ou accéder aux applications de l’entreprise depuis son domicile ou lors de déplacement. Certaines entreprises se prémunissent déjà du BYOD - pour des raisons de sécurité IT et juridiques - par une approche COPE - Corporate Owned, Personally Enabled - mais toutes n’ont pas les moyens d’équiper leurs milliers d’employés.
