R a p p o rt d 'a ctiv ité s 2 0 0 7 Rapport d'activités 2007 - paperJam
R a p p o rt d 'a ctiv ité s 2 0 0 7 Rapport d'activités 2007 - paperJam
R a p p o rt d 'a ctiv ité s 2 0 0 7 Rapport d'activités 2007 - paperJam
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
La surveillance des systEmes d’informations<br />
Le règlement grand-ducal du 13 juillet <strong>2007</strong> précise les exigences organisationnelles et les règles de<br />
conduite applicables aux entreprises d’investissement, en transposant la dire<strong>ctiv</strong>e 2006/73/CE du 10<br />
août 2006 po<strong>rt</strong>ant mesures d’exécution de la dire<strong>ctiv</strong>e 2004/39/CE. Ce règlement précise, notamment<br />
aux a<strong>rt</strong>icles 13, 14 et 15 de la section 2, la notion d’externalisation des fonctions opérationnelles<br />
essentielles ou impo<strong>rt</strong>antes. La CSSF souligne que la fonction informatique est à considérer a priori<br />
comme une fonction opérationnelle essentielle. Toute externalisation d’une fonction informatique<br />
essentielle au sens du règlement doit donc répondre aux exigences du règlement.<br />
2. La pratique de la surveillance<br />
La surveillance po<strong>rt</strong>e sur la vérification de l’application du cadre légal et réglementaire par les entités<br />
surveillées, dans le but direct ou indirect de maintenir ou d’améliorer le professionnalisme des<br />
a<strong>ctiv</strong>ités, avec un accent pa<strong>rt</strong>iculier sur les aspects liés aux technologies mises en œuvre en matière<br />
de systèmes d’informations et en tenant compte des pa<strong>rt</strong>icularités propres à l’externalisation de ces<br />
services auprès de PSF de suppo<strong>rt</strong> ou auprès de tiers, hors groupe ou intra-groupe.<br />
2.1. Mobilité et accès distant à des services informatiques<br />
En <strong>2007</strong>, le service chargé de la surveillance prudentielle des systèmes d’informations a été sollicité<br />
à plusieurs reprises afin de se prononcer sur des projets en relation avec la mobilité des acteurs, qu’il<br />
s’agisse de pa<strong>rt</strong>enaires financiers ou d’employés du professionnel financier concerné.<br />
Les applications mobiles actuelles se justifient de plus en plus par :<br />
- Une disponibilité plus impo<strong>rt</strong>ante des informations et des services financiers envers les pa<strong>rt</strong>enaires<br />
et intermédiaires financiers qui sont délocalisés.<br />
Ce<strong>rt</strong>ains projets concernent les accès à usage professionnel à des applications bancaires. Il s’agit<br />
en fait de services financiers accessibles par Internet, souvent de type web, mais orientés vers<br />
un usage professionnel et qui permettent à un intermédiaire de traiter plusieurs clients de la<br />
banque. Typiquement, les services po<strong>rt</strong>ent sur la consultation ou la gestion de comptes de clients<br />
par des gestionnaires ou autre professionnels mandatés à cet effet. Ces applications requièrent un<br />
haut niveau de protection étant donné qu’elles donnent accès à des données de plusieurs clients<br />
et qu’elles permettent parfois d’effectuer des opérations pour leur compte. Les informations<br />
relatives aux clients sont alors rendues anonymes.<br />
- Une souplesse dans l’accessibilité des outils de travail aux employés, principalement dans le but<br />
d’intervenir plus rapidement lors de problèmes techniques, mais également afin d’améliorer<br />
l’efficacité des cadres en déplacement à l’étranger au sein du groupe.<br />
Cette souplesse consiste à permettre à ce<strong>rt</strong>ains employés d’intervenir à distance sur ce<strong>rt</strong>ains<br />
systèmes ou d’accéder à ce<strong>rt</strong>aines applications. Les applications les plus couramment proposées<br />
sont la messagerie interne et les fonctions internes de suppo<strong>rt</strong>, comme la consultation de l’intranet.<br />
Plus spécifiquement, ce<strong>rt</strong>ains cadres disposent de la possibilité d’accéder aux applications en<br />
rappo<strong>rt</strong> avec leurs responsabilités afin de pouvoir rapidement analyser une situation ou résoudre<br />
un problème urgent.<br />
Les accès à distance aux systèmes par des employés du dépa<strong>rt</strong>ement informatique ou de la<br />
sécurité sont le plus souvent justifiés par l’augmentation du nombre d’employés frontaliers qui<br />
résident loin de leur lieu de travail et pour lesquels le temps d’intervention lié au déplacement,<br />
notamment durant les heures avancées de la nuit, pénalise le délai restant pour la résolution du<br />
problème avant ouve<strong>rt</strong>ure de l’établissement le lendemain matin.<br />
148