Chapitre 4 : Présentation de BOURSORAMA - Le Groupe ...

More documents

Recommendations

Info

4.3.3 Sécurité et qualité des systèmes 4.3.3.1 Sécurité informatique BOURSORAMA a un Responsable de la Sécurité des Systèmes d’Information (RSSI). La sécurité est décomposée selon trois grands axes qui sont : • la confidentialité, • l’intégrité, • la disponibilité. Les missions du RSSI sont les suivantes : • la mise en place et le suivi d'une gestion centralisée des habilitations ; • la mise en place et le suivi de la politique de sécurité ; • l’organisation d'un Comité de Sécurité mensuel ; • le suivi global de la Sécurité des Systèmes d’Informations. 4.3.3.1.1 Sécurité des Systèmes d’information – Confidentialité La sécurité étant un des éléments clés du développement du site Internet client, l’accès au site Internet transactionnel est crypté par le système SSL (Secure Socket Layer), solution largement éprouvée dans le monde de l’Internet, qui assure aux utilisateurs dispersés dans le monde entier un niveau de qualité optimal. Les clients peuvent aussi utiliser l’outil GTS (Global Trading System – logiciel de trading client-server). Plusieurs composantes propriétaires ATOS ORIGIN du système GTS, utilisées pour le codage et le transport des données entre le poste client et le site central (il ne s'agit pas d'une interface Web standard), contribuent à assurer l’intégrité et la confidentialité du contact en ligne GTS. Accès des clients à leur compte : L’accès aux comptes se fait à travers un identifiant et un mot de passe, confidentiels. Pour les ordres téléphonés, le nom du client et son numéro de compte personnel sont requis. Néanmoins, il faut souligner que BOURSORAMA n’encourage pas ses clients à passer leurs ordres par téléphone et facture spécifiquement chaque ordre téléphoné (en plus des frais de courtage). Il est également important de noter que les transferts de fonds à partir du compte client vers un tiers ne peuvent être effectués en ligne et protègent ainsi le client d'accès frauduleux éventuels. Protection et gestion de la base clients : Les bases nominatives des clients dans chaque pays sont des ressources et des actifs stratégiques de BOURSORAMA. L'accès et la manipulation de ces bases sont strictement contrôlés aussi bien en interne chez BOURSORAMA qu’en externe. 4.3.3.1.2 Sécurité des Systèmes d’information – Intégrité Veille et suivi de l’exploitation : Les serveurs Web de BOURSORAMA bénéficient du suivi d’une équipe dédiée d’exploitants. Outre les tâches d’exploitation quotidiennes, cette équipe a aussi pour mission de suivre les alertes de sécurité quotidiennes et d’appliquer les correctifs et patchs appropriés à l’ensemble du parc des serveurs Web. De fait, une réactivité importante et un suivi strict des failles de sécurité sont essentiels pour garantir une sécurité optimale des serveurs Web qui accueillent les connexions des internautes. La sécurité est un des éléments importants du développement du site transactionnel, sous-traité à ATOS ORIGIN. Une solution de détection de perte d’intégrité, sur les systèmes et des procédures de sécurité, permettent d’avoir un cadre rigoureux de réponse lors de tentatives d’attaques, d’agressions ou d’intrusions logiques venant de l’extérieur. Des tableaux de bord de sécurité sont inclus dans les tableaux de bord mensuels fournis à BOURSORAMA par ATOS ORIGIN. Panorama externe de la sécurité : Des tests d’intrusion sur l'ensemble des systèmes frontaux ("front office") sont menés sur demande de BOURSORAMA par un prestataire spécialisé et indépendant des partenaires actuels de BOURSORAMA. Ces mesures régulières et récurrentes permettent à BOURSORAMA d’apprécier les évolutions des dispositifs et les moyens mis en œuvre dans le domaine de la sécurité par chacun de ses partenaires. Ainsi, BOURSORAMA dispose de ses propres informations sur la vulnérabilité de ses infrastructures, qu’elles soient hébergées par des prestataires extérieurs ou gérées en interne et a ainsi une vue globale de la sécurité des systèmes mise en œuvre. A la demande de BOURSORAMA, ATOS ORIGIN sollicite pour son compte propre une autre société spécialisée et reconnue pour l’audit récurrent semestriel de ses systèmes (aspects techniques et organisationnels) dédiés à BOURSORAMA, dont BOURSORAMA a connaissance des résultats. 33
Risque de piratage des codes d’accès des clients : Plusieurs composantes propriétaires ATOS ORIGIN du système GTS, utilisées par ATOS ORIGIN pour le codage et le transport des données entre le poste client et le site central (il ne s'agit pas d'une interface Web standard), contribuent à assurer l’intégrité et la confidentialité du contact en ligne GTS. Les mots de passe confidentiels peuvent être modifiés sur l’initiative du client. BOURSORAMA encourage d’ailleurs ses clients à modifier régulièrement leur mot de passe confidentiel. Il est également important de noter que les transferts de fonds à partir du compte client vers un tiers ne peuvent être effectués en ligne. Risque de non-disponibilité ou de perte d’intégrité du système transactionnel suite aux traitements automatiques de nuit par lots terminés en erreur : Le site transactionnel est surveillé et exploité, par une présence humaine jusqu’à la fermeture des marchés. Le matin, une équipe vérifie le bon déroulement des traitements d’intégration et effectue un suivi rigoureux des processus. De même, quotidiennement avant l’ouverture des marchés, l’ensemble des applications et des canaux d’accès est vérifié par un opérateur, qui peut réagir et contacter les personnes responsables en cas de difficulté. 4.3.3.1.3 Sécurité des Systèmes d’information – Disponibilité Site transactionnel de secours : Outre la sécurité interne, un site physique de secours a été mis en place par ATOS ORIGIN fin 2000, grâce auquel les services transactionnels de BOURSORAMA peuvent revenir en ligne, en cas d’indisponibilité du site principal d'hébergement du système. Cette solution de « reprise après désastre » assure les fonctions essentielles, en particulier la possibilité d'effectuer des transactions et d'en vérifier l'exécution. De plus, le site Web de « backup » développé par BOUR- SORAMA et hébergé par ATOS ORIGIN, tout comme le nom de domaine (backup.boursorama-invest.com) garantit aux clients l’accès à leur portefeuille même si le site principal est hors d’usage. Risque de panne d’équipement informatique sur site transactionnel : L’ensemble des équipements réseaux, informatique et de connectique sont dupliqués de façon à éviter les interruptions en cas de panne sur un équipement particulier. Risque de panne d’électricité sur le site transactionnel : Le site transactionnel principal dispose de courant ondulé et de deux groupes électrogènes, testés régulièrement. Un contrat avec une raffinerie de pétrole permet une livraison en quatre heures. Le site transactionnel secondaire dispose lui aussi d’un groupe électrogène de secours. Ceci vient en surcroît des batteries électriques ne permettant qu’une autonomie limitée. 4.3.3.2 Les niveaux de contrôle BOURSORAMA est soumis à des contrôles qui peuvent être classés en deux catégories : • Des contrôles a priori Ce sont les contrôles effectués avant la réalisation d'une opération (contrôle automatique lors d'une saisie dans une application avec interdiction de valider tant que les informations ne sont pas correctes et exhaustives). • Des contrôles a posteriori Ils constituent le dispositif de Contrôle Interne au sens le plus large. On distingue les niveaux suivants : - la Surveillance permanente : elle consiste en un contrôle hiérarchique et permanent d’un certain nombre d’éléments (procédures, comptes de gestion interne et comptables). Il s’agit de vérifications régulières, concernant l’ensemble des services d’une entité, qui sont effectuées par tous les niveaux hiérarchiques dans le but de s’assurer de la correcte exécution des tâches opérationnelles, dans le respect des procédures internes et des obligations réglementaires ; - le contrôle assuré par l’audit interne de BOURSORAMA ou celui de la SOCIETE GENERALE ; - le contrôle assuré par l'Inspection Générale de la SOCIETE GENERALE le cas échéant ; - le contrôle assuré par les contrôleurs externes (Commissaires aux Comptes, autorités de tutelle). BOURSORAMA fait donc l’objet de contrôles réguliers de la part des autorités de tutelle et de l’audit interne. 4.3.3.2.1 Les autorités de tutelle BOURSORAMA a été dûment habilité par le CECEI en tant que banque prestataire de services d’investissement et est donc soumis à différents contrôles, notamment ceux de la Commission Bancaire et de l’Autorité des Marchés Financiers.
Page 1 and 2: 4. Renseignements concernant l’ac
Page 3 and 4: 2004 Mars : lancement de Boursorama
Page 5 and 6: COURTAGE EN LIGNE Nombre d'ordres e
Page 7 and 8: Le courtage en ligne au Royaume-Uni
Page 9 and 10: 4.3.1.2.1 Particuliers Sur son acti
Page 11 and 12: 4.3.2.1.2 Organisation des directio
Page 13 and 14: TALOS Holding Ltd est la filiale d
Page 15 and 16: Ramon BLANCO, Directeur Général d
Page 17: • Transmission d’ordres SELFTRA
Page 21 and 22: 4.3.3.2.3 Mesures de contrôle du F
Page 23 and 24: Le Marché des dérivés • En Fra
Page 25 and 26: des sociétés non concurrentes de
Page 27: dans un passé récent une incidenc

Chapitre 4 : Présentation de BOURSORAMA - Le Groupe ...

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?