Introduction

Fabrice Pesin,
Secrtaire gnral adjoint de lACP

27/11/2012

Banque de France - Autorit de Contrle Prudentiel

Sommaire
1re partie : le contrle des systmes dinformation
par lACP : objectifs, modalits, retour dexprience.
2me partie : les grands enjeux en banque et en
assurance (complexit des environnements,
sophistication des attaques, nouvelles exigences
de Solvabilit 2)

27/11/2012

Vido :
Mthodologie du contrle de lACP

27/11/2012

1re partie : le contrle des systmes dinformation par

lACP : objectifs, modalits, retour dexprience.
Confrence anime par Fabrice Pesin, secrtaire gnral
adjoint de lACP
1. Le contrle sur place des systmes dinformation
bancaires : objectifs, modalits, enseignements
Marc Andries, Inspecteur de la Banque de France et
Chef de mission l ACP
2. Le contrle sur place des systmes dinformation en
assurance : stratgie du contrle et premier retour
dexprience

27/11/2012

Sommaire
Les contrles informatiques dans le secteur de
la banque
1. Organisation
2. Objectifs
3. Modalits de ralisation
4. Principaux enseignements

27/11/2012

1. Organisation
La Dlgation au contrle sur place dans le secteur

de la banque (EC, EI, EP, changeurs) dispose dun

ple spcialis sur les contrles informatiques
depuis 1996
quipe dune dizaine de contrleurs informaticiens

Parcours de formation spcifique

Certification professionnelle (notamment CISA : Certified
Information Systems Auditor dlivr par lI.S.A.C.A)
Corpus mthodologique de contrle (rfrentiels)
Utilisation doutils spcifiques pour lanalyse de fichiers
Intgration dans les quipes de contrle sur place
Enqutes gnrales ou spcifiques

27/11/2012

2. Objectifs
Pourquoi des contrles informatiques ?
Quels sont les risques informatiques ?
Lintgration dans les risques oprationnels

27/11/2012

2.1 Pourquoi des contrles informatiques ?

La banque
1980

27/11/2012

La banque
2010

2.1 Pourquoi des contrles informatiques ?

Linformatique, outil du contrle
Capacit danalyse des informations bancaires (vrification de la
comptabilit, piste daudit)
Analyse de fichiers, de bases de donnes, indispensable la vrification
du respect des obligations lgales et rglementaires (cf. LCB-FT)
Importance de disposer doutils danalyse puissants

Linformatique, sujet de contrle

Dveloppement des systmes dinformation bancaire pour tous les
processus : comptabilit, oprations, mesure et contrle des risques,
reporting prudentiel
Forte complexit et htrognit des environnements (systmes,
rseaux, postes de travail)
La scurit et le bon fonctionnement des systmes dinformation sont
devenus essentiels (cf. livre blanc sur la scurit des SI 1996 ; livre
blanc Internet, quelles consquences prudentielles 2001) : lutte
contre la fraude, plans de continuit informatique, PCA
Prise en compte de ces problmatiques dans la notion de risque
oprationnel avec Ble 2 (2003)
27/11/2012

10

2.2 Quels sont les risques informatiques ?

Accidents

Conception
Programmation
Exploitation (manipulation,
paramtrage )

vnements naturels
Pannes et dfaillances des
matriels
Pertes de services essentiels
(lectricit, tlcoms )

Erreurs

Malveillance
Vol
Sabotage

27/11/2012

Vol
Sabotage
Attaques logiques :

11

2.3 Ces risques sont inclus dans les risques

oprationnels
Le risque oprationnel se dfinit
comme le risque rsultant dune
inadaptation ou dune dfaillance
imputable des procdures,
personnels et systmes internes
ou des vnements extrieurs.
Cela implique didentifier et de
mesurer les risques potentiels et
rsiduels
Des mesures de rduction des
risques informatiques doivent
tre adoptes et rgulirement
rvises
Les incidents donnent lieu
reporting et valuation, puis
ventuellement la rvision des
mesures de rduction des
risques

27/11/2012

7 CATEGORIES DEVENEMENTS
FRAUDE
INTERNE

FRAUDE
EXTERNE

PRATIQUE EN MATIERE
DEMPLOI ET DE
SECURITE DU TRAVAIL

CLIENTS, PRODUITS ET
PRATIQUES
COMMERCIALES

DOMMAGES
OCCASIONNES AUX
ACTIFS PHYSIQUES

INTERRUPTION DE
LACTIVITE ET
DYSFONCTIONNEMENT
DES SYSTEMES

EXECUTION,
LIVRAISON ET
GESTION DES
PROCESSUS

20 SOUS-CATEGORIES
12

3. Modalits de ralisation
La dmarche de contrle sur place dans le secteur

de la banque
Les principaux thmes de contrle
Textes de rfrence

27/11/2012

13

3.1 La dmarche de contrle sur place dans

le secteur de la banque
Les analyses de fichiers
Bases de donnes client, comptabilit, fichiers doprations sur comptes, listes
de personnes soumises vigilance dans le cadre de la LCB-FT
Objectif : slectionner et rapprocher de manire pertinente linformation pour
prparer les contrles (chantillonnage, rapprochements)
Utilisation doutils danalyse

Les analyses relatives la scurit et au bon fonctionnement des SI

Description et analyse de tout ou partie dun SI, apprciation de sa conception
et de son bon fonctionnement
Qualit des donnes
Continuit dactivit
Matrise des prestations essentielles externalises
Analyse de la gouvernance et du bon droulement dun projet
Analyse de scurit (lutte contre la fraude, vrification des habilitations)
Outil : corpus mthodologique de rfrence, construit sur des normes ISO
27/11/2012

14

3.2 Les principaux thmes de contrle

Analyse du SI, de sa scurit et de son bon fonctionnement
Matrise des prestations externalises
Vrification de leffectivit et de ladquation des plans de
continuit dactivit
Contrles LCB-FT
Validation des modles Ble 2 (vrification des modalits de
rapprochement entre le systme de gestion des informations
comptables et le systme de gestion des risques, ainsi que
modalits de dversement dans le systme de gestion des
reportings)
Vrification des outils de suivi du risque oprationnel, des

systmes de reporting (COREP)

27/11/2012

15

3.3 Les textes de rfrence (1/5)

Rglementation bancaire
Soft regulation
Normes (bonnes pratiques)

27/11/2012

16

3.3 Les principales rfrences rglementaires (2/5)

Qualit et auditabilit de linformation (article 5 CRBF 97-02)
Le systme de contrle des oprations et des procdures internes a
notamment pour objet () de :
c) vrifier la qualit de linformation comptable et financire () ;
d) vrifier les conditions dvaluation, denregistrement, de conservation et
de disponibilit de cette information, notamment en garantissant
lexistence de la piste daudit au sens de larticle 12 ;
e) vrifier la qualit des systmes dinformation et de communication

Scurit, continuit, intgrit, confidentialit (article 14 CRBF 97-02)

Le niveau de scurit des SI est priodiquement apprci et, le cas
chant, des actions correctrices sont entreprises
Des procdures de secours informatique sont disponibles afin dassurer
la continuit dexploitation
en toutes circonstances sont prserves lintgrit et la confidentialit des
informations
27/11/2012

17

3.3 Les principales rfrences rglementaires (3/5)

Continuit dactivit (y.c. ressources techniques)
(art. 14-1 CRBF 97-02)
LCB-FT (Code montaire et financier, rglementation)
Matrise des prestations essentielles externalises
(articles 37-1 et suivants CRBF 97-02)
Qualit des donnes (Ble 2) : (Art. 145 Arrt du 20
fvrier 2007)
Les tablissements assujettis mettent en place un systme
fiable pour valider lexactitude et la cohrence des systmes de
notation, des procds de notation ainsi que des estimations
des paramtres de risque pertinents

27/11/2012

18

3.3 Soft regulation (4/5)

Matrise de la scurit : rapport Lagarde
Huit lments de contrle interne
Dont la scurit des systmes informatiques et
la protection des codes daccs
Livres blancs de la Commission bancaire
(ex : Scurit des systmes dinformation,1996)
Analyses et commentaires de lACP (ou de la
Banque de France)

27/11/2012

19

3.3 Les principales normes (5/5)

ISO 27002, code de bonnes
pratiques pour la scurit de
linformation
Guide de contrle de la
scurit
ISO/IEC 38500 Corporate
Governance of information
technology :
Gouvernance du SI
Matrise de la conduite de
projets
Guidelines BRI, IOSCO, IAIS on
business continuity, 2006

27/11/2012

20

4. Principaux enseignements (1/2)

La matrise des risques
informatiques touche
la fois :
La gestion courante
Les changements lis aux
volutions, notamment
technologiques

27/11/2012

21

4. Principaux enseignements (2/2)

Culture, organisation : effet taille
Continuit dactivit : gnralisation des PSI, mais la

question de la localisation demeure

Principaux points dattention :

27/11/2012

Cartographie du SI, htrognit des environnements

Analyse des risques, implication des RSSI
Qualit des donnes, notamment dans le contexte Ble II
Matrise des projets
Matrise des prestations externalises
Paramtrage des outils de LCB/FT
Matrise des habilitations
Niveau de scurit du web-banking et du web-trading
22

1re partie : le contrle des systmes dinformation par

lACP : objectifs, modalits, retour dexprience.
1. Le contrle sur place des systmes dinformation
bancaires : objectifs, modalits, enseignements
Marc Andries, Inspecteur de la Banque de France et
Chef de mission l ACP
2. Le contrle sur place des systmes dinformation en
assurance : stratgie du contrle et premier retour
dexprience
Thierry Auran, Chef de service des contrles sur place
spcialiss (SCPS/DCST)
Frdric Merilhou, Responsable de mission au SCPS
Franois Philippe, Responsable de mission au SCPS
27/11/2012

23

Sommaire
1. Le contrle des systmes dinformation par lACP :
pourquoi et comment
Pourquoi
Rfrentiel de contrle
Organisation des contrles

2. Retour dexprience sur 3 ans de contrles

3. Conclusion

27/11/2012

24

1.1 Pourquoi
Pourquoi lACP contrle-t-elle les systmes dinformation
des organismes dassurance ?
La qualit des donnes utilises par lassureur est essentielle sa

prennit (valuation des engagements, segmentation, tarification,

solvabilit ...) et la correcte apprciation du respect des rgles
prudentielles par lAutorit.
Les crises financires et la ncessit daccrotre la rgulation

financire.
La qualit des informations fournies devient de plus en plus

ncessaire.
Limportance stratgique des systmes dinformations au sein des

entreprises dassurance.
27/11/2012

25

1.2 Rfrentiel de contrle

Les bases juridiques - rgime prudentiel actuel
( solvabilit 1 )
Dispositions sur le contrle interne (R 336-1 et suivants du code

des assurances, R 931-43 du code de la scurit sociale, R 211-28

du code de la mutualit)
Piste dAudit A 343-1 Code assurances, A 931-11-9 Code scurit

sociale, 2.1.2 du rglement CRC n2002-06 pour la mutualit.

Registres (sinistres/polices) Art. A.342-5 et A.342-6 Code Ass.
Informations sur les clients (lutte anti-blanchiment) et information

relative la protection de lassur (L132-22)

Autres dispositions rglementaires (informations pour les assurs,

Lutte anti-blanchiment, informatique et liberts...) en vertu de lart.

L612-1 du Code montaire et financier
27/11/2012

26

1.3 Organisation des contrles par lACP

Le ple contrle SI du SCPS au sein de lune des 3 directions de

contrle des assurances (Direction des contrles spcialiss et

transversaux)
Des contrles mens sur la base de lettres de mission spcifiques
Des objectifs diffrents de ceux dun audit interne
Principaux types de contrles SI

27/11/2012

approche globale par les risques

qualit des donnes
support la lutte anti-blanchiment

27

2. Retour dexprience
Les principaux thmes de contrle
Gouvernance des systmes dinformation
Analyse des risques et contrle interne
Gestion de la scurit des systmes dinformation
Plan de continuit dactivit
Qualit des donnes

27/11/2012

28

2.1 Gouvernance des systmes dinformation (1/2)

La gouvernance du SI dpasse le strict primtre de la DSI
La gouvernance du SI a pour objectif de mettre linformatique au

service de la stratgie de lentreprise et en conformit avec la

rglementation

les principes dorganisation : rle, comits, processus dcisionnels,

politiques SI
les principales fonctions et les processus de la DSI

Extrait du R 336-1 du code des assurances

2) b) activits menes selon des politiques et stratgies tablies par les

dirigeants et les procdures permettant de vrifier la conformit
Ce domaine fondamental montre souvent des faiblesses :

gouvernance des projets, dfaut durbanisme, primtre de

responsabilit mal dfini
27/11/2012

29

2.1 Gouvernance des systmes dinformation (2/2)

La gouvernance des SI doit couvrir lensemble des

fonctions suivantes
Stratgiques

Alignement du SI sur la stratgie de lentreprise

Urbanisation du SI qui facilite lalignement du SI/mtier
Gestion du portefeuille projet
Gestion des risques SI

Oprationnelles

Processus (gestion de projet, de lexploitation, de la scurit, de

la maintenance, des achats...)
Pilotage des services IT internes et externaliss

Supports

27/11/2012

Gestion de la performance des SI

Contrle interne des SI
Gestion des comptences
30

2.2 Gestion des risques et contrle interne des

systmes dinformation (1/2)
Le code des assurances prvoit un dispositif de contrle

interne
Les risques SI doivent tre dfinis au sein dun rfrentiel

valid par la gouvernance et rgulirement mis jour

27/11/2012

Dfinition des modalits didentification et du processus

dvaluation des risques SI (probabilit de survenance,
impact)

Dfinition de lapptence (risk appetite) aux risques SI

Documentation de la cartographie des risques SI et du

processus de mise jour

31

2.2 Gestion des risques et contrle interne

des systmes dinformation (2/2)

Les contrles sur place en assurance ont dcel des points de

vigilance particuliers :
Absence de connexion entre les risques SI et les risques

mtiers
Dfaillance du processus continu de contrle, de

consolidation et de pilotage des rsultats

Lacune de la culture du risque SI

27/11/2012

32

2.3 Gestion de la scurit des systmes

dinformation
La scurit des SI a pour objectif de prserver la disponibilit, lintgrit,
la confidentialit et la traabilit de linformation sous toutes ses formes.
Les points relevs lors de nos contrles sur place :
Une PSSI approuve par la Direction Gnrale, dcline et

applique
Une analyse des risques, un recensement des actifs
informationnels (informations qui ont une valeur pour lentreprise)
Une organisation, des moyens humains et techniques
Un plan de contrle - mesurer rgulirement sa conformit et la
scurit du SI (garder des traces formalises)
Les prestations externalises

27/11/2012

33

2.4 Plan de continuit dactivit

Des exigences de continuit dactivit
Les points relevs lors de nos contrles sur place :
Le PCA ne relve pas de la DSI
Faire valider lanalyse dimpact mtier (au-del de lexemple

grippe aviaire ) et une stratgie de reprise (RTO et RPO)

par la direction gnrale
Documenter le PCA avec des documents accessibles en cas

de ralisation dun risque (plans de continuit mtier,

annuaire...)
Plans de tests mtiers et informatiques
Rvaluer rgulirement le plan
27/11/2012

34

2.5 Qualit des donnes (rgime prudentiel actuel)

Les contrles sur la qualit des donnes conduits depuis 2010
montrent :
Des dficiences dans la gestion des habilitations, dans la

traabilit
Des bases de donnes comportant un pourcentage non

ngligeable de dfauts
Des lacunes concernant la qualit des informations sur les

assurs
Parfois, une absence de cloisonnement de certains

environnements informatiques
Des possibilits de modifier les donnes sans laisser de trace
Des registres squentiels non conformes
27/11/2012

35

3. Conclusion
Le contrle SI de lACP porte sur les risques majeurs et sur la

qualit des informations prudentielles

Le contrle de lACP attend des organismes dassurance quils

aient mis en place une organisation et une dmarche de matrise

du SI.
Le contrle porte aussi une attention particulire la prsence de

documentation et de cartographies, dutilisation de rfrentiels

Il peut sappuyer sur les rapports daudit

27/11/2012

36

QUESTIONS

27/11/2012

37

PAUSE

27/11/2012

38

2me partie : les grands enjeux en banque et en assurance

Confrence anime par Frdric Visnovsky, secrtaire
gnral adjoint de lACP
1. Impact de Solvabilit II sur le contrle des systmes
dinformation des organismes dassurances de lACP
Thierry Auran, Chef de service des contrles sur place
spcialiss (SCPS/DCST)
Caroline Eraud, Cellule Modles Internes (CMI/DCST)
2. Le contrle sur place des systmes dinformation
bancaires : enjeux et perspectives

27/11/2012

39

Vido :
Les grands enjeux venir

27/11/2012

40

Sommaire
1. Exigences prudentielles enrichies
2. Gouvernance et gestion des risques SI (Pilier II)
3. Prparation des bases de donnes pour le futur
rgime (tous piliers)
4. Qualit des donnes sous Solvabilit II
5. Mise en pratique dans le cas des modles internes

27/11/2012

41

1. Des exigences prudentielles enrichies

Bilan prudentiel - Evaluation des exigences de capital

(SCR, MCR) - Qualit des donnes pour les PT (Directive

2009/138/EC art 48 - art 82 - Article 121)
Gouvernance et gestion des risques, contrle et audit

interne (Directive 2009/138/EC art 41 et suivants)

Systme des gestion des risques et de contrle interne
Systme de Gestion des risques oprationnels (art 44-e)
ORSA (Own Risk and Solvency Assessment-art 45)
Plan durgence (art 41)
Dispositions sur le Pilier 3 (art 35 et art 50)

27/11/2012

42

2. Le systme de gouvernance et le systme

de gestion des risques
Le systme de gouvernance de Solvabilit II concerne lensemble du

fonctionnement de lorganisme
En matire de risques SI, Solvabilit II identifie/formalise des

systmes/fonctions qui existent dj dans nombre dentreprises

91% des organismes disposent de cartographie des risques comme le

montrent les rponses lenqute de prparation

En revanche, seulement 67% des organismes dclarent disposer dun

PCA (85% pour les socits anonymes contre 55% pour les mutuelles)
27/11/2012

43

3. Prparation des bases de donnes : un

panorama contrast
41 % des organismes nont pas tabli de mapping entre les lignes du bilan

prudentiel et les diffrentes sources d'information ncessaires la production de

celui-ci (15% pour les SA).
Concernant la prparation des tats prudentiels Solvabilit II, 56% des

organismes nont pas commenc de retro planning identifiant les services

fournisseurs d'information dans la perspective de la mise en production. 61%
nont pas effectu de connexion entre la production des tats et d'autres sources
de donnes.

La prparation des bases des donnes sera un sujet de contrle SI

27/11/2012

44

4. Qualit des donnes sous Solvabilit 2 (1/4)

Des critres de qualit de donnes formaliss
Les critres de Solvabilit II : exhaustivit, pertinence et exactitude

(Article 82 sur les provisions techniques Art 121.3. modle interne)

Traabilit (art 77)
Apprciation de la qualit et la suffisance par la fonction actuarielle

Extrait de lArticle 48 de la Directive

Les entreprises dassurance et de rassurance mettent en place une
fonction actuarielle efficace afin de (..) apprcier la suffisance et la qualit
des donnes utilises dans le calcul des provisions techniques

27/11/2012

45

4. Qualit des donnes sous Solvabilit 2 (2/4)

Gouvernance de la qualit des donnes (article 41 Directive)

Responsabilits

Dictionnaire des donnes

Des tableaux de bord sur la qualit de donnes

Existence dune gouvernance de donnes

27/11/2012

46

4. Qualit des donnes sous Solvabilit 2 (3/4)

Politique de qualit des donnes

Critres de qualit des donnes (tude)

Des seuils doivent tre dfinis et revus rgulirement par lentreprise.

Les cas de non-qualit doivent faire lobjet de plans daction documents.

Existence dune politique des donnes

27/11/2012

47

4. Qualit des donnes sous Solvabilit 2 (4/4)

Le contrle SI sattache analyser la cartographie applicative
Dispositif de contrle interne li aux flux de donnes (article 46)
Dispositif de contrle interne li la gestion des systmes des
domaines audits
Vrification de la qualit des donnes lors des contrles SI de

lACP
Premiers constats effectus lors des contrle SI :
Dictionnaires des donnes pas termins ou incomplet
Absence de critres de qualit sur les donnes
Gestion de certains projets incomplte : absence de gestion de la scurit des SI,
absence de planification du mode permanent
Externalisation de la production de donnes pas forcment matrise
Absence dune piste daudit suffisante sur les transformations de donnes
27/11/2012

48

5. Mise en pratique dans le cas des modles internes (1/3)

LACP apprciera si les systmes didentification, de

mesure, de contrle, de gestion et de dclaration des
risques de lentreprise sont adquats (art. 112-5) et quil
existe des dispositifs garantissant que le MI fonctionne
correctement de manire continue (art. 116).
Sagissant de la qualit des donnes, seront distingus :

27/11/2012

Lenvironnement de modlisation

Lenvironnement de production

49

Mise en pratique dans le cas des modles internes (2/3)

Environnement de modlisation : donnes utilises pour le
calibrage du modle
Exigences rglementaires : les donnes utilises aux fins du

modle interne sont exactes, exhaustives et appropries. Les

assureurs actualisent au moins une fois par an les sries de
donnes (article 121-3)

Revue de la qualit statistique des donnes

Revue du processus dactualisation ou de contrles annuels

Exemples :
suffisance de la profondeur dhistorique
reprsentativit de lchantillon

Zones de risque : intervention du jugement dexpert dans le

choix et lutilisation des donnes utilises

27/11/2012

Exemples :
choix de la fentre dobservation
retraitements des ruptures dhistorique ou des valeurs aberrantes.
50

Mise en pratique dans le cas des modles internes (3/3)

Environnement de production du SCR : donnes de portefeuille
utilises en entre de modle pour le calcul du SCR (2)
Donnes de portefeuille dj utilises dans les chaines comptables

Revue de la qualit des contrles mis en uvre

Revue des retraitements effectus pour la production du SCR

Exemples :
construction des model points
portefeuilles intgrs a posteriori

Zones risque : donnes hors des chanes comptables et des tats

rglementaires

27/11/2012

Exemples :
Donnes dexposition : sommes sous risque ; gocodage (cat nat)
Informations qualitatives (personnalit morale ou physique en
pargne, slection mdicale)
51

Conclusion
La prparation du SI pour le rgime Solvabilit II est
un chantier lourd, souvent sous-estim comme le
montre lenqute de prparation, notamment en
matire de connexion avec les bases de donnes
sources
Les contrles des SI effectus montrent une forte
marge damlioration sur le dispositif li la qualit
des donnes

27/11/2012

52

2me partie : les grands enjeux en banque et en assurance

1. Impact de Solvabilit II sur le contrle des systmes

dinformation des organismes dassurances de lACP
2. Le contrle sur place des systmes dinformation
bancaires : enjeux et perspectives
Marc Andries, Inspecteur de la Banque de France et
Chef de mission l ACP

27/11/2012

53

Sommaire
1. Matriser la complexit des environnements

informatiques
2. Faire face la sophistication des attaques
3. Les perspectives, cas pratique du cloud computing

27/11/2012

54

1. Matriser la complexit des SI

Gouvernance et matrise des SI
Complexit des systmes, des rseaux et des process,
Manque de vision densemble,
Besoin durbanisation
Contrle des droits, notamment dadministration
Auditabilit et qualit des donnes
Matrise des prestations externalises (outsourcing,

offshoring)
Matrise des projets informatiques (valuer les

moyens informatiques et la capacit dvelopper

une nouvelle activit)
Gestion des mises en production
Gestion des changements (cf. bug RBS en dbut danne)

27/11/2012

55

2. Faire face la sophistication des attaques

Risques de fraude interne

Contrle des habilitations,

Traabilit,
Outils de dtection

Risques de fraude externe, hausse de la cybercriminalit

Scurit web banking, web trading,
Phishing, malwares

Risques dintrusion ou de blocage

Risques de dtournement des donnes
Vol de donnes, dissmination
Ncessit de renforcer la protection des donnes sensibles
Matrise de la localisation des donnes et de leur accs (cf. cloud
computing)

27/11/2012

56

3. Cas pratique, le Cloud computing (1/2)

Service daccs via le rseau,
la demande et en libre-service,
des ressources informatiques
virtualises et mutualises,
gnralement factures
lusage.
Outsourcing de services de
production, de dveloppement,
de stockage, de services
logiciels
Plusieurs configurations :
les clouds privs internes
les clouds privs externes
les clouds publics
les clouds hybrides
27/11/2012

O sont localises mes donnes ?

Qui peut y accder ?
Comment puis-je en tre sr ?
Quelles sont les dispositions de
droit local applicables mes
donnes ?
Comment puis-je contrler mon
prestataire ?
57

3. Cas pratique, le Cloud computing (2/2)

Prendre en compte les dispositions applicables

aux prestations essentielles externalises (PSEE)

Ncessit dune analyse de risques prenant en

compte les caractristiques dune telle prestation

Importance du cadre contractuel : accs aux

donnes, clauses daudit, conditions de terminaison

de la prestation
Mesures de scurit ddies : chiffrement ?

27/11/2012

58

QUESTIONS

27/11/2012

59

CONCLUSION
Frdric Visnovsky,
Secrtaire gnral adjoint de lACP

27/11/2012

Banque de France Autorit

de Contrle
Prudentiel
Secrtariat
gnral de
la Commission bancaire

60