Module 13-10 Risques IT (Cyber et Informatique)

Dirigeants effectifs.
Membres d’un organe social appelés à exercer des fonctions de membre du conseil d’administration, du conseil de surveillance ou de tout autre organe exerçant des fonctions équivalentes d'un établissement assujetti.

• Comprendre les menaces et tendances actuelles en matière de risques informatiques et de cybersécurité.
• Identifier les zones de vulnérabilité majeures d’une entreprise bancaire dans un environnement numérique complexe.
• Renforcer la capacité des administrateurs à piloter les risques IT à travers une cartographie, des indicateurs, et des tableaux de bord.
• S’approprier les attentes du régulateur (BCE, ACPR, DORA) et les exigences de gouvernance face aux risques cyber et IA.

PARTIE 1 : LES ENJEUX INFORMATIQUES ET CYBER DANS LE CONTEXTE BANCAIRE

La typologie des risques.
Les couts de la menace cyber dans le monde
Nouveaux types de vulnérabilités dans les entreprises bancaires : Cloud, chaîne d’approvisionnement, sous-traitance IT, Shadow IT.
Vision systémique des vulnérabilités au-delà du périmètre dirigeant : applicatif, réseau, données, utilisateurs, partenaires.
Exemples concrets dans le secteur bancaire (ex : attaques SWIFT, ransomware ciblé, fraudes via partenaires externes).
Le dirigeant est une des premières cibles des cybercriminels.
Les nouveaux profils des cybercriminels.
Les risques à retenir pour les dirigeants / administrateur.
Les bonnes pratiques en matière de protection pour le dirigeant.

PARTIE 2 : LES ATTENTES DU RÉGULATEUR ET LES ENJEUX

L’arrêté du 3 novembre a évolué pour prendre en compte le risque informatique.
L’administrateur doit comprendre un des référentiels de risque IT et cyber (NIST, ISO27001, les guides d’hygiène de la sécurité informatique de l’ANSSI).
La BCE et l’ABE testent la résilience cyber et IT des banques.

L’administrateur doit se préoccuper de la mise en conformité des nouvelles règlementations :
DORA.
Les risques liés à l’Intelligence Artificielle générative.
Lien explicite entre exigences réglementaires et cartographie des risques (DORA : obligation d’identification, d’évaluation, de pilotage des risques IT).
Le pilotage par indicateurs clés (KRI) pour répondre aux attentes des régulateurs.
Les bonnes pratiques en matière de gouvernance prenant en compte les exigences de conformité bancaire.

PARTIE 3 : ZONES DE VULNERABILITES DANS L’ENVIRONNEMENT DU DIRIGEANT

Le risque informatique est un risque opérationnel.
L’ordinateur et les données personnelles du dirigeant sont sensibles.
L’administrateur utilise des applications sensibles et doit respecter les dispositifs en place.
Les banques restent une cible de choix des cyber attaquants.
La cartographie des vulnérabilités IT à l’échelle entreprise (cf. Cloud, RGPD, données critiques, obsolescence).
Bonnes pratiques à mettre en œuvre par le CA pour réduire ces vulnérabilités (audit, plan de remédiation, revue des politiques IT, simulation de crise).

PARTIE 4 : LA MAITRISE DES RISQUES INFORMATIQUES ET CYBERSÉCURITÉ DANS LE DISPOSITIF DE CONTRÔLE

Cartographie – Indicateurs – Pilotage" dans cette partie, en insistant sur le rôle stratégique du conseil :
Cartographie des risques : enjeux, méthodologie, fréquence de revue.
Indicateurs clés de performance et de risque (KRI, KPI).
Mécanismes de reporting au Conseil d’Administration.
Suivi des plans d’actions issus des audits ou incidents.
L’entreprise n’est pas seule et peut faire appel à un ensemble d’acteurs.
Le conseil d’administration inscrit le risque IT et cyber dans son agenda.
Le dirigeant/conseil d’administration suit les bonnes pratiques de la gouvernance.
Le dirigeant/conseil d’administration inscrit une feuille de route en 7 étapes.
Documents complémentaires pour aller plus loin.

• Documentation Power point.
• Alternance d’illustrations et d’exercices pratiques.
• QCU, Vrai/Faux, questions/réponses pour vérifier, réviser et confirmer les acquis.
• Synthèses.