Technologies de l'information dans le secteur financier – Aspects de la réglementation et de la surveillance
Résumé
Des données en tout temps disponibles, complètes, robustes, reproductibles et traitées de manière fiable sont une condition indispensable pour le bon fonctionnement du système financier. La Commission fédérale des banques (CFB) est chargée de la surveillance des banques et négociants en valeurs mobilières établis en Suisse. La surveillance qu'elle exerce est microprudentielle. Elle porte sur les établissements financiers, pris individuellement, et met l'accent sur la protection des créanciers et des investisseurs. La Banque nationale suisse (BNS), en revanche, est chargée de contribuer à la stabilité du système financier; sa tâche est donc d'ordre macroprudentiel.
Dans la législation bancaire, les exigences en matière d'organisation de l'exploitation TI d'un intermédiaire financier se réfèrent non pas explicitement à la sécurité de l'information, mais à la notion de «gestion irréprochable et régulière». Pour la CFB, la sécurité de l'information n'est qu'un objectif parmi d'autres. Dans des circulaires, la CFB a cependant traité divers domaines sensibles, comme le traitement externe des données et l'externalisation d'activités. Le mandat de la BNS porte exclusivement sur le déroulement des opérations dans le trafic des paiements et dans le domaine des titres. La surveillance exercée par la BNS se concentre sur les systèmes qui recèlent une menace potentielle pour la stabilité du système financier suisse.
Les objectifs de la BNS dans le domaine de la sécurité de l'information englobent notamment la politique et l'organisation en matière de sécurité, la sécurité du personnel, l'exploitation de systèmes, le développement et la maintenance de systèmes, la communication et l'échange d'informations, mais aussi – last but not least – le «Business Continuity Management». Comme la CFB, la BNS a une approche double: elle s'appuie principalement sur les résultats des contrôles effectués par la révision interne et par les sociétés d'audit externes.
Des mesures multisystèmes complémentaires doivent être prises en commun par les principaux acteurs; elles doivent donc être harmonisées et coordonnées à un échelon supérieur. Un groupe de pilotage «Business Continuity Planning» (BCP) a ainsi examiné, sous la direction de la BNS, les mesures prévues par certaines entreprises dans le domaine du «Business Continuity Planning». Le rapport montre que les infrastructures importantes sous l'angle systémique et leurs principaux acteurs ont beaucoup progressé dans l'élaboration de leur BCP. Le rapport formule également des exigences concrètes pour les divers acteurs. Enfin, il identifie sur plusieurs points des potentiels d'amélioration. Une mesure, entre-temps déjà appliquée, porte sur la création d'une organisation chargée d'intervenir en cas d'alarme ou de crise à l'échelle du secteur financier.
En conclusion, je voudrais souligner qu'il incombe en premier lieu aux entreprises d'assurer la sécurité de l'information. Réglementation, surveillance et contrôle ne jouent qu'un rôle complémentaire. La sécurité de l'information est un thème qui doit être traité avec la priorité requise par tout conseil d'administration et toute direction, que l'entreprise soit à dimension internationale ou qu'il s'agisse d'une petite caisse d'épargne.