R a p p o rt d 'a ctiv itÃ© s 2 0 0 7 Rapport d'activitÃ©s 2007 - paperJam

More documents

Recommendations

Info

La surveillance des systEmes d’informations Le règlement grand-ducal du 13 juillet 2007 précise les exigences organisationnelles et les règles de conduite applicables aux entreprises d’investissement, en transposant la directive 2006/73/CE du 10 août 2006 portant mesures d’exécution de la directive 2004/39/CE. Ce règlement précise, notamment aux articles 13, 14 et 15 de la section 2, la notion d’externalisation des fonctions opérationnelles essentielles ou importantes. La CSSF souligne que la fonction informatique est à considérer a priori comme une fonction opérationnelle essentielle. Toute externalisation d’une fonction informatique essentielle au sens du règlement doit donc répondre aux exigences du règlement. 2. La pratique de la surveillance La surveillance porte sur la vérification de l’application du cadre légal et réglementaire par les entités surveillées, dans le but direct ou indirect de maintenir ou d’améliorer le professionnalisme des activités, avec un accent particulier sur les aspects liés aux technologies mises en œuvre en matière de systèmes d’informations et en tenant compte des particularités propres à l’externalisation de ces services auprès de PSF de support ou auprès de tiers, hors groupe ou intra-groupe. 2.1. Mobilité et accès distant à des services informatiques En 2007, le service chargé de la surveillance prudentielle des systèmes d’informations a été sollicité à plusieurs reprises afin de se prononcer sur des projets en relation avec la mobilité des acteurs, qu’il s’agisse de partenaires financiers ou d’employés du professionnel financier concerné. Les applications mobiles actuelles se justifient de plus en plus par : - Une disponibilité plus importante des informations et des services financiers envers les partenaires et intermédiaires financiers qui sont délocalisés. Certains projets concernent les accès à usage professionnel à des applications bancaires. Il s’agit en fait de services financiers accessibles par Internet, souvent de type web, mais orientés vers un usage professionnel et qui permettent à un intermédiaire de traiter plusieurs clients de la banque. Typiquement, les services portent sur la consultation ou la gestion de comptes de clients par des gestionnaires ou autre professionnels mandatés à cet effet. Ces applications requièrent un haut niveau de protection étant donné qu’elles donnent accès à des données de plusieurs clients et qu’elles permettent parfois d’effectuer des opérations pour leur compte. Les informations relatives aux clients sont alors rendues anonymes. - Une souplesse dans l’accessibilité des outils de travail aux employés, principalement dans le but d’intervenir plus rapidement lors de problèmes techniques, mais également afin d’améliorer l’efficacité des cadres en déplacement à l’étranger au sein du groupe. Cette souplesse consiste à permettre à certains employés d’intervenir à distance sur certains systèmes ou d’accéder à certaines applications. Les applications les plus couramment proposées sont la messagerie interne et les fonctions internes de support, comme la consultation de l’intranet. Plus spécifiquement, certains cadres disposent de la possibilité d’accéder aux applications en rapport avec leurs responsabilités afin de pouvoir rapidement analyser une situation ou résoudre un problème urgent. Les accès à distance aux systèmes par des employés du département informatique ou de la sécurité sont le plus souvent justifiés par l’augmentation du nombre d’employés frontaliers qui résident loin de leur lieu de travail et pour lesquels le temps d’intervention lié au déplacement, notamment durant les heures avancées de la nuit, pénalise le délai restant pour la résolution du problème avant ouverture de l’établissement le lendemain matin. 148
CHAPITRE VIII Chacun des projets de mobilité soumis à la CSSF est analysé au cas par cas en raison de la diversité des applications envisagées et des solutions techniques proposées. Etant donné que le concept de mobilité implique dans presque tous les cas un dépassement des frontières, la CSSF rappelle que les solutions de mobilité doivent interdire tout accès hors des frontières à des données confidentielles de nature à mettre en danger les obligations au secret professionnel décrites à l’article 41 de la loi modifiée du 5 avril 1993 relative au secteur financier. Ce point essentiel doit être pris en compte non seulement dans la définition des droits d’accès aux systèmes, aux bases de données et aux applications, mais également lors de la consultation de la messagerie d’entreprise qui ne doit alors pas contenir de référence risquant de dévoiler l’identité d’un client. La mise en place d’une solution de mobilité devrait, selon le principe de prudence qui suppose que la mobilité entraîne aujourd’hui un risque plus élevé d’usurpation d’identité ou de pouvoirs en raison des vulnérabilités humaines et techniques, respecter les points suivants : - Les droits d’accès d’un utilisateur devraient être restreints par rapport à ceux dont dispose l’utilisateur lorsqu’il est présent sur site, tout en restant néanmoins compatibles avec l’usage prévu. - Les horaires d’accès, voire la situation géographique de l’utilisateur identifié, devraient être corrélés à l’utilisation prévue afin d’éviter ou de mettre en évidence tout abus, tentative de fraude ou de menace envers cet utilisateur. Ainsi, il peut s’avérer anormal qu’un utilisateur se connecte au système pendant les heures de travail alors qu’il est censé être en congé. Bien entendu, il ne devrait jamais y avoir plus d’une connexion simultanée par utilisateur. - L’équipement d’accès mobile de l’utilisateur doit être sécurisé ce qui suppose : • Un cryptage des supports de mémoire, tels par exemple les disques ou la mémoire vive. • L’impossibilité, pour l’utilisateur ou un tiers autre que l’administrateur autorisé, de modifier un composant qui diminuerait le niveau de sécurité, tel le BIOS, le système d’exploitation, les applications de sécurité (anti-virus et pare-feu), etc.. • Une authentification forte vis-à-vis des systèmes et applications accédées. La résistance du mécanisme d’authentification à toute fraude devrait être proportionnelle au risque encouru par l’établissement financier au vu de l’application concernée. Ainsi, la consultation à distance par un utilisateur de multiples clients anonymes présente moins de risques en cas d’usurpation d’identité que le passage d’ordres de produits dérivés sur des portefeuilles gérés par pooling. • Une bonne appréciation du risque résiduel lié à la solution mise en place est recommandée. Une sous-estimation du risque, notamment par méconnaissance des menaces, est susceptible d’avoir une incidence majeure sur l’activité. Compte tenu de l’évolution des menaces, il est utile de réévaluer les risques résiduels selon un calendrier, lui-même variable en fonction des tendances constatées en matière de piratage informatique. • Une politique de sécurité ou une révision d’une politique de sécurité existante devrait être prévue, incluant également un engagement formel de l’utilisateur sur ses obligations spécifiques à une utilisation mobile des fonctions et équipements qui lui sont proposés. • Un cryptage des communications, tel que déjà prévu dans la circulaire CSSF 05/178. Une cryptographie SSL n’est cependant pas toujours suffisante, notamment en raison des faiblesses inhérentes au protocole et de l’attention requise à l’installation du certificat distant. Le recours à une connexion VPN (L2TP/IPSec ou autre) est préférable. • Dans la mesure du possible, il est préférable de ne pas donner un accès direct à l’application en mode web ou console. Le recours à une solution de présentation d’écran ou de session (type Citrix®) permet de réduire les risques d’injection de code dans le système central tout en bénéficiant d’un client applicatif léger. 149
Page 1 and 2:
Rapport d’activités 2007
Page 3 and 4:
PREFACE Malgré la crise du subprim
Page 5 and 6:
TABLE DES MATIERES VIII LA SURVE
Page 7:
ORGANES DIRIGEANTS Les organes d
Page 10 and 11:
La surveillance des banques 1. L’
Page 12 and 13:
La surveillance des banques La vent
Page 14 and 15:
La surveillance des banques Situati
Page 16 and 17:
La surveillance des banques Bilan a
Page 18 and 19:
La surveillance des banques Ventila
Page 20 and 21:
La surveillance des banques La marg
Page 22 and 23:
La surveillance des banques Ratios
Page 24 and 25:
La surveillance des banques 1.8.2.
Page 26 and 27:
La surveillance des banques Le grap
Page 28 and 29:
La surveillance des banques 1.10. B
Page 30 and 31:
La surveillance des banques 2.3. Co
Page 32 and 33:
La surveillance des banques 2.7. Co
Page 34 and 35:
La surveillance des banques Parmi l
Page 36 and 37:
La surveillance des banques - Pour
Page 38 and 39:
Page 40 and 41:
Page 42 and 43:
La surveillance des organismes de p
Page 44 and 45:
Page 46 and 47:
Page 48 and 49:
Page 50 and 51:
Page 52 and 53:
Page 54 and 55:
Page 56 and 57:
Page 58 and 59:
Page 60 and 61:
Page 62 and 63:
Page 64 and 65:
Page 66 and 67:
Page 68 and 69:
Page 70 and 71:
Page 72 and 73:
Page 74 and 75:
Page 76 and 77:
Page 78 and 79:
Page 80 and 81:
Page 82 and 83:
Page 84 and 85:
Page 86 and 87:
Page 88 and 89:
La surveillance des fonds de pensio
Page 91 and 92:
CHAPITRE IV L a s u r v e i l l a n
Page 93 and 94:
CHAPITRE IV Au niveau de la répart
Page 95 and 96:
CHAPITRE IV Le graphique suivant mo
Page 97 and 98: CHAPITRE IV 3.2.2. Fonds en attente
Page 99 and 100: CHAPITRE V L a s u r v e i l l a n
Page 101 and 102: CHAPITRE V Quant au champ d’appli
Page 103 and 104: CHAPITRE V Dans la pratique, pourra
Page 105 and 106: CHAPITRE V 2.3.4. Compartimentage L
Page 107 and 108: CHAPITRE V b. Emission de valeurs m
Page 109: CHAPITRE V 2.5. Surveillance pruden
Page 112 and 113: LA SURVEILLANCE DES PSF 1. L’evol
Page 114 and 115: LA SURVEILLANCE DES PSF 1.1. Evolut
Page 116 and 117: LA SURVEILLANCE DES PSF En considé
Page 118 and 119: LA SURVEILLANCE DES PSF 1.4. Evolut
Page 120 and 121: LA SURVEILLANCE DES PSF Nom du PSF
Page 122 and 123: LA SURVEILLANCE DES PSF Le Royaume-
Page 124 and 125: LA SURVEILLANCE DES PSF La CSSF eff
Page 126 and 127: LA SURVEILLANCE DES PSF 3.5. Fusion
Page 128 and 129: LA SURVEILLANCE DES MARCHES D’ACT
Page 145 and 146: CHAPITRE VIII L a s u r v e i l l a
Page 147: CHAPITRE VIII En ce qui concerne le
Page 151 and 152: CHAPITRE VIII Les investigations de
Page 153: CHAPITRE VIII En conséquence, le p
Page 156 and 157: Les mesures de sanction de la CSSF
Page 159 and 160: CHAPITRE X Le SecrEtariat GEnEral 1
Page 161 and 162: CHAPITRE X Par la suite, afin de me
Page 163 and 164: CHAPITRE X Il est également utile
Page 165 and 166: CHAPITRE X 2.2.3. Taux d’intérê
Page 167 and 168: CHAPITRE X confirmée par une déci
Page 169 and 170: CHAPITRE XI La Surveillance General
Page 171 and 172: CHAPITRE XI 2. La cooperation au se
Page 173 and 174: CHAPITRE XI Le groupe de travail a
Page 175 and 176: CHAPITRE XI 2.1.5. CEBS - Expert Gr
Page 177 and 178: CHAPITRE XI Finalement, CESR a envo
Page 179 and 180: CHAPITRE XI Le groupe d’experts a
Page 181 and 182: CHAPITRE XI Ainsi, en juillet 2007,
Page 183 and 184: CHAPITRE XI - la publication d’un
Page 185 and 186: CHAPITRE XI A l’instar des année
Page 187 and 188: CHAPITRE XI 2.5. Groupe de travail
Page 189 and 190: CHAPITRE XI 2.9.3. EGAOB - Sub-Grou
Page 191 and 192: CHAPITRE XI • Capital Monitoring
Page 193 and 194: CHAPITRE XI En matière de normes d
Page 195 and 196: CHAPITRE XI • Standing Committee
Page 197: CHAPITRE XI 3.5. AML/CFT Expert Gro
Page 200 and 201:
La legislation et la reglementation
Page 202 and 203:
Page 204 and 205:
Page 206 and 207:
A g e n t s e n g a g E s e n 2 0 0
Page 208 and 209:
L’organisation interne de la CSSF
Page 210 and 211:
Page 212 and 213:
Page 214 and 215:
Page 216 and 217:
Page 218 and 219:
Page 220 and 221:
ANNEXES 1. La CSSF en chiffres Surv
Page 222 and 223:
ANNEXES 3. Liste tElEphonique Commi
show all

R a p p o rt d 'a ctiv itÃ© s 2 0 0 7 Rapport d'activitÃ©s 2007 - paperJam

Create successful ePaper yourself

Delete template?

Save as template?