Aller au contenu
Impact des normes et réglementations sur le risque opérationnel
Qu’elles soient nouvelles ou plus anciennes, vos réglementations (souvent suite à des affaires retentissantes) vous obligent à appliquer les normes IAS – IFRS depuis 2005. Mais aujourd’hui les entreprises n’ont pas toutes mis en place une gestion des habilitations permettant d’être en conformité et d’assurer leur gouvernance.
Les nouvelles technologies et les outils qui y sont liés peuvent faciliter l’intégration de vos nouvelles normes, notamment lors de la consolidation de vos comptes. Pour valider ceux-ci, votre entreprise doit démontrer qu’elle peut savoir à tout moment « Qui a le droit à quoi, comment et pourquoi ».
Voici quelques normes et règlementations actuellement en vigueur :
Bâle
PCI DSS
LSF
RGPD
LPM
Bâle
Le Pilier 2 de cette réglementation Bâle impose une gouvernance plus stricte :
Le but du contrôle de la gouvernance interne est de s’assurer que votre corps managérial est expressément, en toute transparence, responsable de votre stratégie, de votre organisation et de votre gouvernance interne.
Le comité de Bâle définit le risque opérationnel comme le « risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes ».
Cette définition signifie que votre risque de perte peut provenir :
- d’une défaillance du système informatique sur lequel travaille un personnel de l’organisme financier
- d’une erreur, d’une défaillance ou d’une intention frauduleuse de votre personnel.
PCI DSS
Le PCI DSS (Payment Card Industry Data Security Standard) est un standard de sécurité s’adressant aux entreprises qui stockent, traitent ou transmettent des données des cartes de paiement.
Condition : restreindre vos accès aux données de titulaires de carte aux seuls individus qui doivent les connaître.
Pour veiller à ce que vos données stratégiques ne soient accessibles qu’au personnel autorisé, des systèmes et des processus doivent être mis en place pour restreindre vos accès à ces données aux seuls individus qui doivent les connaître et en fonction de leurs responsabilités professionnelles. En d’autres termes, vos droits d’accès ne sont accordés qu’au plus petit nombre de données nécessaires et en fonction des tâches à effectuer.
Directive : plus le nombre de personnes ayant accès à vos données de titulaires de carte est élevé, plus il y a de risques que le compte d’un utilisateur soit utilisé de manière frauduleuse. Restreindre vos accès aux seuls individus qui ont une raison professionnelle légitime aide votre entreprise à prévenir la manipulation des données de titulaires de carte par des utilisateurs inexpérimentés ou malveillants.
Source : PCI DSS v3.2
LSF
La Loi de Sécurité Financière (LSF), aussi appelée Loi Mer s’applique à toutes les sociétés anonymes ainsi qu’aux sociétés faisant appel à l’épargne publique ; ces dispositions sont applicables pour les exercices comptables ouverts à partir du 1er janvier 2003.
Comme la loi américaine Sarbanes-Oxley, la loi de sécurité financière repose principalement sur :
- Une responsabilité accrue des dirigeants
- Un renforcement du contrôle interne
- Une réduction des sources de conflits d’intérêt
RGPD
La Réglementation Générale sur la Protection des Données (RGPD), s’applique à toutes les sociétés européennes mais également aux entreprises ou organismes non européens qui traitent des données de citoyens européens.
Cette réglementation repose principalement sur la mise en place d’une politique de protection des données par les entreprises, assurant ainsi la confidentialité, la sécurité et la conformité des données.
Les conséquences de non-conformité étant importantes, la mise en place d’une stratégie de gouvernance des données devient un impératif.
En effet vous devez savoir précisément quels utilisateurs ont accès à quelles ressources et si leurs niveaux d’autorisation sont adéquats.
LPM
La Loi de Programmation Militaire (LPM), s’applique aux Opérateurs d’Importance Vitale (OIV), entreprises utilisant des installations et ouvrages dont l’indisponibilité risqueraient d’impacter la défense, l’économie et la sécurité du pays.
Cette réglementation vise à améliorer la défense des OIV en imposant des règles de sécurité renforcées aux systèmes d’information, tels que :
- L’application des pratiques de sécurité indiquées dans le guide d’hygiène de l’ANSSI
- La cartographie et la déclaration les systèmes d’information d’importance vitale
- La déclaration des incidents de sécurité
Bâle
Le Pilier 2 de cette réglementation Bâle impose une gouvernance plus stricte :
Le but du contrôle de la gouvernance interne est de s’assurer que votre corps managérial est expressément, en toute transparence, responsable de votre stratégie, de votre organisation et de votre gouvernance interne.
Le comité de Bâle définit le risque opérationnel comme le « risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’événements externes ».
Cette définition signifie que votre risque de perte peut provenir :
- d’une défaillance du système informatique sur lequel travaille un personnel de l’organisme financier
- d’une erreur, d’une défaillance ou d’une intention frauduleuse de votre personnel.
PCI DSS
Le PCI DSS (Payment Card Industry Data Security Standard) est un standard de sécurité s’adressant aux entreprises qui stockent, traitent ou transmettent des données des cartes de paiement.
Condition : restreindre vos accès aux données de titulaires de carte aux seuls individus qui doivent les connaître.
Pour veiller à ce que vos données stratégiques ne soient accessibles qu’au personnel autorisé, des systèmes et des processus doivent être mis en place pour restreindre vos accès à ces données aux seuls individus qui doivent les connaître et en fonction de leurs responsabilités professionnelles. En d’autres termes, vos droits d’accès ne sont accordés qu’au plus petit nombre de données nécessaires et en fonction des tâches à effectuer.
Directive : plus le nombre de personnes ayant accès à vos données de titulaires de carte est élevé, plus il y a de risques que le compte d’un utilisateur soit utilisé de manière frauduleuse. Restreindre vos accès aux seuls individus qui ont une raison professionnelle légitime aide votre entreprise à prévenir la manipulation des données de titulaires de carte par des utilisateurs inexpérimentés ou malveillants.
Source : PCI DSS v3.2
LSF
La Loi de Sécurité Financière (LSF), aussi appelée Loi Mer s’applique à toutes les sociétés anonymes ainsi qu’aux sociétés faisant appel à l’épargne publique ; ces dispositions sont applicables pour les exercices comptables ouverts à partir du 1er janvier 2003.
Comme la loi américaine Sarbanes-Oxley, la loi de sécurité financière repose principalement sur :
- Une responsabilité accrue des dirigeants
- Un renforcement du contrôle interne
- Une réduction des sources de conflits d’intérêt
RGPD
La Réglementation Générale sur la Protection des Données (RGPD), s’applique à toutes les sociétés européennes mais également aux entreprises ou organismes non européens qui traitent des données de citoyens européens.
Cette réglementation repose principalement sur la mise en place d’une politique de protection des données par les entreprises, assurant ainsi la confidentialité, la sécurité et la conformité des données.
Les conséquences de non-conformité étant importantes, la mise en place d’une stratégie de gouvernance des données devient un impératif.
En effet vous devez savoir précisément quels utilisateurs ont accès à quelles ressources et si leurs niveaux d’autorisation sont adéquats.
LPM
La Loi de Programmation Militaire (LPM), s’applique aux Opérateurs d’Importance Vitale (OIV), entreprises utilisant des installations et ouvrages dont l’indisponibilité risqueraient d’impacter la défense, l’économie et la sécurité du pays.
Cette réglementation vise à améliorer la défense des OIV en imposant des règles de sécurité renforcées aux systèmes d’information, tels que :
- L’application des pratiques de sécurité indiquées dans le guide d’hygiène de l’ANSSI
- La cartographie et la déclaration les systèmes d’information d’importance vitale
- La déclaration des incidents de sécurité