Actualités de l'assurance cyber-risques

L'Autorité de contrôle prudentiel et de résolution consulte sur les cyber-risques

Publié le 06 avril 2018
 | Rédigé par
819 vues Pas encore de commentaire, soyez le premier.

Institution chargée de la surveillance de l'activité des banques et des assurances en France, l’Autorité de contrôle prudentiel et de résolution (ACPR) a décidé de lancer une consultation sur les cyber-risques. Objectif : définir et catégoriser ce risque spécifique. Coup de projecteur.

 

L’implication des instances dirigeantes face au risque informatique

En écho notamment aux cyber-risques, l’ACPR souhaite offrir un cadre aux établissements bancaires et aux compagnies d’assurances.

 

Pour ce faire, l’institution a mis au point un « document de réflexion » qui s’intéresse au risque informatique, également dénommé « risque de gestion du système d’information ». Ce texte fait l’objet d’une consultation jusqu’au 15 juin 2018.

 

Comme le signale avec justesse l’ACPR, la « maîtrise du risque informatique » ne concerne plus seulement les « équipes informatiques » puisqu’elle vient désormais s’inscrire dans la « démarche générale de contrôle et de maîtrise des risques » dont le pilotage est assuré par la « fonction de gestion des risques ».

 

Cela suppose aussi une implication directe des instances dirigeantes pour la cohérence de la stratégie informatique ou la mise en œuvre d’un cadre relatif à la maîtrise des risques.

 

Une définition large du risque informatique retenue par l’ACPR

Pour la constitution d’un « socle commun », l’ACPR a mis au point une définition ainsi qu’une catégorisation du risque informatique pour la couverture de ses différents aspects et un traitement dans son intégralité.

 

Selon l’institution, le risque informatique se définit comme suit : « risque de perte résultant d’une organisation inadéquate, d’un défaut de fonctionnement, ou d’une insuffisante sécurité du système d’information, entendu comme l’ensemble des équipements systèmes et réseaux et des moyens humains destinés au traitement de l’information de l’institution ». Cette définition plutôt large du risque informatique inclut la cybersécurité mais ne se limite pas à cette seule menace.

 

Pour catégoriser le risque informatique, l’ACPR s’appuie sur 3 processus principaux, à savoir la sécurité du système informatique (SI), son fonctionnement ainsi que son organisation. Et, pour chacun de ces processus, l’institution a identifié plusieurs risques qui présentent un caractère principal ou secondaire.

Laisser un commentaire
@
* champs obligatoires
Pas encore de commentaire, soyez le premier