R a p p o rt d 'a ctiv ité s 2 0 0 7 Rapport d'activités 2007 - paperJam
R a p p o rt d 'a ctiv ité s 2 0 0 7 Rapport d'activités 2007 - paperJam
R a p p o rt d 'a ctiv ité s 2 0 0 7 Rapport d'activités 2007 - paperJam
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
La surveillance des systEmes d’informations<br />
Bien que la mobilité constitue a priori, en l’état actuel des menaces cybercriminelles, une prise de<br />
risque supplémentaire, elle appo<strong>rt</strong>e néanmoins un premier élément de résilience en cas de crise,<br />
comme une pandémie ou d’éventuels problèmes d’accès au lieu de travail.<br />
2.2. Délocalisation simultanée des systèmes comptables, de paiement et de réconciliation<br />
Dans la mesure où la réglementation européenne impose, pour assurer la traçabilité d’un virement,<br />
la révélation de l’identité du donneur d’ordre dans le cadre de la lutte contre le blanchiment et le<br />
financement du terrorisme, les professionnels concernés, et notamment les banques, ont dû informer<br />
leurs clients de cette situation. En effet, l’information au client est nécessaire afin qu’il obtienne<br />
un avis éclairé sur les conséquences d’une opération de virement et que ces virements soient alors<br />
considérés comme compo<strong>rt</strong>ant un mandat implicite de fournir les informations d’identité tombant<br />
sous le secret professionnel, dans le but de permettre la finalité même de l’opération, c’est-à-dire le<br />
transfe<strong>rt</strong> de fonds ou autres valeurs.<br />
De ce fait, un ce<strong>rt</strong>ain nombre de banques appa<strong>rt</strong>enant à des groupes internationaux ont optimisé<br />
les systèmes de paiement et délocalisé leur accès à SWIFT auprès de leur maison mère ou auprès<br />
d’une entité spécialisée du groupe.<br />
La CSSF rappelle que cette délocalisation est possible, bien que des données confidentielles puissent y<br />
transiter, dans la mesure où les donneurs d’ordres ont connaissance du fait que le transfe<strong>rt</strong> comprend<br />
ce mandat implicite. Néanmoins, le professionnel financier qui procèdera à une délocalisation de<br />
ses systèmes de paiement ou de ses points d’accès à un système de paiement, devra être prudent<br />
quant aux conséquences d’une éventuelle fuite d’informations qui pourrait avoir lieu en dehors du<br />
cadre strict du transfe<strong>rt</strong>, puisque la finalité du transfe<strong>rt</strong> aura été atteinte et que la fuite aura lieu a<br />
posteriori, en raison d’un choix inadapté de l’externalisation. Sur ce point, la CSSF rappelle que le<br />
stockage, voire l’archivage des opérations de transfe<strong>rt</strong> ne devrait pas se faire à l’étranger.<br />
A ce risque vient s’ajouter celui d’une traçabilité accrue de l’ensemble des opérations d’un client<br />
devenu identifiable à la suite d’un virement, lorsque le système de paiement est délocalisé dans<br />
la même juridiction que le système principal d’informations ou de réconciliation des opérations.<br />
Il devient alors potentiellement possible de reconstruire l’historique des clients et de les rendre<br />
totalement transparents aux tiers. Une telle situation est incompatible avec la prudence qu’exige<br />
le secret professionnel et la CSSF ne peut dès lors soutenir d’externalisation qui combine à la fois<br />
l’accès délocalisé aux systèmes de paiement et au système principal d’informations du professionnel<br />
financier.<br />
2.3. Etat des vulnérabilités constatées dans les services financiers par Internet<br />
L’année <strong>2007</strong> a été marquée par l’apparition d’une vague de tentatives de fraude par des criminels<br />
qui essaient de s’approprier les données d’authentification des clients afin de passer des opérations<br />
en leur nom.<br />
Alors que les années précédentes étaient caractérisées par des vagues de phishing, c’est-à-dire de<br />
courriers électroniques trompeurs qui incitent les clients des banques à se connecter sur un site<br />
illicite afin d’y entrer leurs données d’authentification, l’année <strong>2007</strong> a vu l’apparition de chevaux<br />
de Troie, également appelés «Trojans», spécialisés dans le vol d’informations. Un Trojan est un<br />
programme créé par le criminel dans le but de prendre le contrôle du PC infecté. L’infection est<br />
obtenue en exploitant des vulnérabilités du système d’exploitation du PC ou de ce<strong>rt</strong>aines applications<br />
courantes. Une méthode courante d’infection consiste à pirater un site Internet connu et à y injecter<br />
un lien à l’aide d’un IFRAME, de telle so<strong>rt</strong>e que chaque utilisateur qui surfe sur ce site et qui est<br />
insuffisamment protégé par un anti-virus se retrouve sur le site pointé par le lien et télécharge le<br />
premier Trojan.<br />
150