Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article s’appuie sur notre blog précédent qui fournit des conseils pratiques sur la façon de renforcer la résilience opérationnelle et de gérer le risque de concentration dans les institutions de services financiers (SIF).
Pour assurer la cohérence avec les réglementations existantes et à venir, nous avons intégré dans notre approche la main des conseils réglementaires pour les ISF, y compris des consultations continues sur le thème de la résilience opérationnelle.
Cela comprend :
- Consultation du Conseil de stabilité financière (CSF) sur l’amélioration de la gestion et de la surveillance des risques par les tiers (consultation du CSF du 22 juin 2023)
- Loi de l’UE sur la résilience opérationnelle numérique (DORA)
- Royaume-Uni SS1/21 : Résilience opérationnelle et sous-traitance SS2/21 et gestion des risques tiers
- Régime CTP du Royaume-Uni : tiers critiques pour le secteur financier britannique (PS16/24, SS6/24 & SS7/24)
- Conseils interagences des États-Unis sur les relations tierces
- Rapport du Trésor américain sur le cloud computing
- Lignes directrices sur les risques de tiers au Canada
- Création par l’Autorité monétaire de Singapour d’un forum sur la résilience du cloud
- Principes de l’IOSCO 2021 sur l’externalisation
Notre approche est cohérente avec les publications répertoriées et sera mise à jour au fil du temps. Notre objectif est d’aider les clients à croître et à innover de manière responsable et conforme, conformément aux réglementations FSI existantes et futures.
Vue d’ensemble
Lorsqu’il s’agit de l’utilisation de la technologie cloud dans les FSI, la résilience opérationnelle et le risque de concentration sont liés, car ils sont traités par le renforcement de la résilience opérationnelle dans diverses réglementations. Tous deux s’intéressent à un large éventail de mesures, y compris l’identification et la surveillance des relations tierces critiques, les exigences pour renforcer la gouvernance et la gestion des risques, et des conseils sur la continuité de l’activité et la planification des sorties.
Nous visons à aider les FSI à gérer et à renforcer leur résilience opérationnelle pour les aider à gérer le risque de concentration au niveau de l’entreprise d’une manière conforme aux directives réglementaires. Il est important que cette rubrique soit traitée de manière holistique et en tenant compte de toutes les relations tierces. L’utilisation des services cloud et des dépendances sur les produits logiciels locaux doit être conservée et sécurisée. En outre, la sous-traitance par rapport aux fonctions critiques est également couramment abordée dans les directives réglementaires.
Lors de la consultation du CSF du 22 juin 2023, un service critique a été défini comme un service dont la défaillance ou l’interruption pouvait nuire de manière significative à la viabilité d’une institution financière, à ses opérations critiques ou à sa capacité à respecter des obligations juridiques et réglementaires clés. Ce sont principalement ces services qui se concentrent sur la gestion des risques de concentration.
La concentration doit être distinguée du risque de concentration. La concentration des dépendances tierces est courante aujourd’hui dans de nombreux services FSI critiques, et il n’est peut-être pas possible de l’éliminer. Par instance, si vous considérez l’utilisation à grande échelle des réseaux d’information financière (par exemple, Bloomberg ou Thomson Reuters) et des éditeurs de logiciels tels qu’IBM et Oracle, il devient évident que la substitution complète serait difficile. On peut concevoir un plan de sortie pour un service tiers spécifique, mais il devient difficile d’arrêter toute utilisation d’une solution tierce pour les grandes institutions financières. Par conséquent, l’accent devrait être mis sur la réduction du risque de concentration afin qu’il reste dans les tolérances au risque d’un organization.
Bien que certains de ces exemples soient déjà d’importance systémique, ils ne sont pas souvent perçus comme présentant des niveaux élevés de risque de concentration, car ils sont répartis entre plusieurs emplacements géographiquement dispersés. Par conséquent, la plupart des échecs n’ont qu’un impact limité (non global). Ils offrent également les plus hauts niveaux de résilience grâce à une conception de pointe, comme des opérations sécurisées et résilientes, l’utilisation de l’automatisation et l’implémentation de Confiance nulle. Ces conceptions ont été confirmées par plusieurs tiers indépendants par le biais de divers processus de certification. Cet ensemble collectif de mesures a réduit le profil de risque global même si, à un niveau ferme, la concentration est toujours en place.
Les ISF doivent se concentrer sur le renforcement de la résilience opérationnelle, et cela doit être fait d’une manière qui soit conforme aux règlements et aux lignes directrices. Il est important de noter que les réglementations ne forcent pas les FSI à déployer des solutions hybrides ou multiclouds, mais qu’elles prennent plutôt une approche basée sur des principes, basée sur les risques et neutre sur la technologie pour résoudre les risques de concentration. Ces risques peuvent également exister dans un environnement local.
Au-delà des aspects opérationnels, la réglementation met également en évidence les risques non opérationnels en ce qui concerne l’externalisation, en particulier les risques d’insolvabilité financière et les approches de résolution. Les risques nonopéraux ne peuvent pas être gérés par des mesures technologiques, mais sont plutôt traités par des mesures juridiques pendant la phase de contrat et en appelant la stratégie de sortie.
Une approche en 6 étapes pour la gestion des risques opérationnels dans les services financiers
Plusieurs éléments doivent être pris en compte avant de faire des choix critiques sur la façon de gérer les risques opérationnels, c’est pourquoi nous avons introduit une approche en six étapes pour traiter les risques de concentration et renforcer la résilience opérationnelle :
Étape 1 : Mettre à jour la gouvernance des risques cloud
La technologie cloud dans la réglementation des services financiers est aujourd’hui principalement régie par des directives d’externalisation tierces qui s’appliquent spécifiquement dans ce contexte, avec différents ensembles de réglementations s’appliquant à l’environnement TIC local. Les consultations plus récentes, comme indiqué dans l’introduction, ont une approche holistique lorsqu’il s’agit de renforcer la résilience opérationnelle. Par instance, les projets de règlements tels que DORA et le DORA ICT RMF ne s’appliqueront pas seulement à l’environnement local, mais considéreront également l’utilisation de fournisseurs de services tiers tic comme partie intégrante de son cadre.
De plus, comme décrit dans la consultation du CSF du 22 juin 2023, l’accent principal est mis sur les services essentiels. Nous le voyons également dans d’autres réglementations telles que DORA. L’accent doit être mis sur les services critiques, car sinon, l’étendue des services à évaluer devient trop large à mesure que les services technologiques sont de plus en plus interconnectés.
Par conséquent, nous recommandons aux entreprises de revoir les infrastructures de gouvernance des risques internes et d’incorporer de manière holistique ces nouvelles mesures de résilience opérationnelle en mettant l’accent sur les services critiques, en incorporant diverses directives sur l’externalisation tierce ou cloud pour garantir la conformité.
Voici quelques questions appropriées à poser dans ce contexte :
- Des tolérances de risque organisationnelles claires ont-elles été définies ?
- Quels services sont critiques pour l’entreprise ?
- Quels scénarios de menace plausibles ou réels peuvent avoir un impact sur ces scénarios ?
- Quel est l’appétit global pour le risque de mon entreprise ?
Les infrastructures de gouvernance des risques doivent également être mises à jour chaque année pour garantir une conformité continue dans un paysage réglementaire en évolution rapide.
Les règlements et les lignes directrices de l’introduction s’alignent sur ces questions comme point de départ lorsqu’il s’agit de renforcer les risques opérationnels. Pour tenir compte de ces exigences dans les différentes juridictions, Microsoft a créé un ensemble complet de listes de vérification de conformité des services financiers pour aider les clients à auto-évaluer les réglementations dans différents pays/régions en matière d’utilisation de la technologie cloud. Ces listes de contrôle comportent des mappages réglementaires et pointent vers des informations spécifiques pertinentes lors de l’évaluation de l’utilisation de la technologie cloud Microsoft.
En outre, le Programme de conformité pour Microsoft Cloud a été conçu pour aider les fonctions de risque et de conformité dans les trois lignes de défense à se conformer à ces réglementations et à traiter les risques globaux liés à l’utilisation du cloud. Le programme offre des fonctionnalités proactives et réactives, offrant un canal de support premium pour les parties prenantes à risque.
Étape 2 : Identifier la concentration
Plus le niveau de concentration des services avec un seul fournisseur tiers est élevé, plus le risque d’impact négatif est élevé en cas de problème, ce que l’on appelle le risque de concentration. Ce risque est la raison pour laquelle les organisations doivent avoir une compréhension claire de toutes les dépendances entre les processus métier, les plateformes TIC, les logiciels et les relations tierces.
Le mappage de ces dépendances est généralement effectué dans le cadre de l’analyse d’impact sur l’entreprise (BIA). Une fois que toutes les relations tierces ont été identifiées et mappées à des cas d’usage critiques, il devient possible d’identifier le niveau de concentration des services critiques avec un seul fournisseur tiers. Cette vue permet aux entreprises de déterminer où elles doivent se concentrer dans la gestion des risques de concentration.
Pour les services cloud Microsoft, il est possible d’identifier les concentrations potentielles pour les charges de travail critiques en examinant les ID d’abonnement et de locataire dans le Portail Azure. Les entreprises peuvent également afficher et filtrer les informations sur les ressources Azure qui peuvent aider à fournir une compréhension détaillée des services utilisés dans une organization. Ces informations sont exportables et peuvent être mises en corrélation avec les informations BIA internes pour aider à identifier les dépendances critiques en temps réel. Pour Microsoft 365, les entreprises peuvent également générer des rapports dans le Centre Administration sur les licences achetées et sur l’activité.
Étape 3 : Évaluer les alternatives
Une fois qu’une entreprise comprend ses dépendances et comment elles sont liées aux cas d’usage critiques, l’étape suivante consiste à traiter le risque de concentration associé. Commencez par identifier une courte liste d’alternatives réalisables qui peuvent être examinées plus en détail. Les questions que vous souhaiterez peut-être répondre sont les suivantes :
- Quelles alternatives pratiques existent sur site, hybride, multi-approvisionnement et cloud complet ?
- Quels sont les inconvénients et les avantages de chacun ?
- Comment leurs profils de risque se comparent-ils les uns aux autres ? Quelle est la résilience de chaque alternative ?
- Lesquelles correspondent le mieux à la stratégie cloud et à l’appétit pour le risque de l’organization ?
- Lors de la planification d’une sortie, une sortie complète du fournisseur est-elle possible et souhaitable ? Quelles alternatives peuvent être envisagées ?
Le risque de concentration est un terme agrégé qui indique l’impact plus élevé d’un événement indésirable sur un ou plusieurs services critiques. Lors de l’évaluation de ces risques, il faut évaluer chacun des scénarios de menace sous-jacents, ce qui à son tour conduit à une vue nuancée qui inclut à la fois les avantages et les inconvénients associés à la concentration des services. Les facteurs de menace à prendre en compte incluent les catastrophes du centre de données, les défaillances matérielles, les pannes réseau, les cyberattaques, les modifications et mises à niveau défectueuses, les erreurs humaines, etc. Pour chacune de ces mesures d’atténuation appropriées doit être soigneusement examinée. Les entreprises doivent également tenir compte des coûts d’atténuation, de la complexité et de la disponibilité des compétences internes lorsqu’elles envisagent la solution de préférence pour réduire le risque de concentration.
Il peut être possible et, dans certains cas, même souhaitable de maintenir la concentration afin que les entreprises puissent renforcer au maximum leur résilience. Plutôt que d’essayer de supprimer entièrement la dépendance tierce, les entreprises doivent se concentrer sur le renforcement de la résilience opérationnelle en répondant aux scénarios de menace sous-jacents associés au risque de concentration (par exemple : un événement de catastrophe de centre de données régional). Ces scénarios peuvent souvent être facilement traités et avec moins d’inconvénients en (i) en réduisant la probabilité que l’événement de menace se produise et (ii) en limitant son impact en réduisant la concentration :
La réduction de la probabilité est obtenue en renforçant la résilience dans la conception de la solution. Un ensemble robuste de procédures de gestion des risques peut améliorer la résilience opérationnelle malgré la concentration des fonctions critiques avec un seul fournisseur tiers. Les mesures peuvent inclure l’exécution sur une infrastructure de pointe, l’exécution d’un modèle de sécurité confiance zéro, la mise à jour corrective des systèmes avec les dernières mises à jour, la garantie que les mesures de continuité de l’activité ont été configurées et éprouvées, le déploiement de technologies modulaires et open source( par exemple : conteneurs), etc. Chacun de ces éléments contribue à l’obtention d’un environnement de résilience maximale.
La limitation de l’impact en réduisant la concentration à des niveaux inférieurs est obtenue en concevant vos services pour fonctionner sur plusieurs zones de disponibilité dans une configuration active/active. en veillant à ce que des redondances et des mécanismes de récupération suffisants soient en place (pour les sauvegardes instance) et en tirant parti des conceptions géoredondantes. Ces configurations entraînent non seulement une plus grande résilience et de meilleurs contrats SLA, mais elles aident également à atténuer les menaces telles que la perte d’un seul centre de données ou même d’une région entière en raison de leur nature distribuée. L’impact des menaces peut être réduit, ce qui réduit également le risque de concentration, allant même parfois au-delà de ce qui est possible dans les scénarios locaux ou hybrides.
En conclusion, si une topologie cloud complète offre une plus grande résilience par rapport aux alternatives, le risque de concentration sera également réduit efficacement, bien que la concentration elle-même ne soit pas réduite. Ce résultat peut être à la fois acceptable et même souhaitable.
Nous vous recommandons d’incorporer ce modèle d’exploitation dans une stratégie cloud d’entreprise, car cela fournit des conseils aux équipes métier et TIC sur la topologie préférée pour un organization et les éléments à prendre en compte dans le cadre de la conception de leur solution. Une autre raison à prendre en compte est que des alliances stratégiques sont souvent établies avec un ou plusieurs fournisseurs de cloud pour la fourniture de services tiers TIC et que les approches de gestion des risques associés sont souvent gérées à un niveau supérieur.
Étape 4 : Concevoir pour la résilience
À ce stade, vos équipes informatiques, de sécurité et d’exploitation commencent à approfondir la conception de la solution en créant les conclusions et les exigences des précédents dans des cas utilisateur individuels.
Les équipes TIC doivent s’assurer qu’elles configurent et conçoivent les applications pour qu’elles soient sécurisées et résilientes par défaut. Cela signifie que les solutions sont fiables, sécurisées, exemptes de points de défaillance uniques et qu’elles tirent potentiellement parti des zones de disponibilité pour établir des objectifs de temps de récupération (RTO), des objectifs de point de récupération (RPO) et des niveaux de service (SLA) selon les besoins de l’entreprise. L’implémentation de sauvegardes si nécessaire, la mise à jour des plans de continuité d’activité et de sortie font également partie du processus.
Lorsque vous essayez d’optimiser les contrats SLA de bout en bout avec la technologie cloud Microsoft, envisagez de passer en revue nos contrats SLA pour Microsoft Online Services. Vous constaterez que les contrats SLA varient selon le service et dépendent des choix de conception des clients, avec des contrats SLA plus élevés pour les déploiements dans plusieurs zones de disponibilité. En choisissant la conception appropriée, les clients peuvent obtenir un contrat SLA de disponibilité mensuel de 99,999 % dans le cloud.
Garantir une conception solide et sécurisée par défaut n’est pas une tâche facile et il existe un risque que les équipes TIC laissent des faiblesses ou fassent des erreurs lors de leurs implémentations. C’est pourquoi nous offrons des conseils sur les meilleures pratiques lors du déploiement sur le cloud Microsoft.
Les services SaaS tels que Microsoft 365 et Dynamics 365 ont été conçus de bout en bout pour optimiser la résilience et minimiser les perturbations de ces services cloud. Nous avons des redondances intégrées pour des services tels que Exchange, SharePoint, OneDrive, Teams & Microsoft Entra et conçu le service de manière à ce qu’il puisse fonctionner avec plusieurs couches d’abstraction entre les couches du matériel et du centre de données. Pour plus d’informations sur ce fonctionnement, consultez notre documentation relative à l’assurance du service ici sur la conformité Microsoft.
Nous offrons également des conseils sur la façon de déployer la protection contre les ransomwares pour votre client Microsoft 365 en tirant parti des fonctionnalités intégrées de gestion de version et de restauration de Microsoft 365. Une fois correctement configuré, cela peut être suffisant pour vos organisations, mais de nombreuses grandes entreprises cherchent à disposer de fonctionnalités pour récupérer et restaurer après tout incident, y compris les attaques par ransomware, d’une manière plus précise et de traverser des intervalles de temps étendus. C’est là qu’intervient la sauvegarde Microsoft 365 qui permet de récupérer rapidement avec des points de récupération fréquents et des temps de récupération en bloc rapides. Il est disponible en tant que service Microsoft ainsi que par le biais de certains partenaires qui peuvent offrir des fonctionnalités supplémentaires pour répondre à vos besoins. Vous trouverez des solutions partenaires reconnues basées sur la plateforme de stockage Sauvegarde Microsoft 365 ici. Vous pouvez également découvrir comment prendre une décision d’approvisionnement de solution de sauvegarde dans ce livre blanc. Les solutions qui s’appuient uniquement sur une copie exportée de vos données Microsoft 365 ont du mal à fournir des performances de temps de récupération suffisantes pour vous aider à récupérer les opérations commerciales après un événement ayant un impact sur la résilience. Tenez compte des performances de la solution que vous achetez soigneusement afin d’être le mieux placé pour répondre aux exigences de DORA.
Les choses peuvent devenir complexes lorsqu’une solution est basée sur Azure (IaaS). Par conséquent, Microsoft Azure Well-Architected Framework a été créé par Microsoft pour fournir des conseils supplémentaires sur la façon de concevoir pour la fiabilité et la sécurité. Microsoft fournit des ressources pour aider les entreprises à implémenter des scénarios de haute résilience, notamment une vue d’ensemble de la fiabilité d’Azure, une vue d’ensemble de la sécurité Azure et une révision des concepts d’Azure Zones de disponibilité et régions. D’autres aspects à prendre en compte incluent l’établissement de l’excellence opérationnelle et, dans une moindre mesure, l’optimisation des coûts et des performances.
Une grande attention doit donc être portée à la sécurité globale, en particulier dans les services financiers. Nous vous recommandons d’évaluer notre sécurité dans microsoft Cloud Adoption Framework pour Azure, qui fournit des principes fondamentaux et des conseils pratiques sur la façon de traiter les menaces de cybersécurité d’aujourd’hui le plus efficacement possible sur notre cloud. Il inclut également des liens vers des architectures de référence et des bases de référence de sécurité pour différents cas d’usage.
Enfin, LES ÉQUIPES TIC doivent déployer des ressources cloud d’une manière qui réponde à toutes les exigences réglementaires et de stratégie interne. La gouvernance Azure aide les entreprises à implémenter ces exigences réglementaires et de contrôle interne en appliquant ces stratégies aux ressources cloud Azure. En outre, les entreprises peuvent consulter notre présentation d’Azure hybride et multicloud, qui permet de prendre en charge les déploiements hybrides et multiclouds.
Étape 5 : Tester le plan de continuité d’activité
Le processus de planification et de test de la continuité d’activité a été bien établi dans les ISF réglementés. L’objectif de cette étape est d’évaluer les impacts susceptibles d’entraîner une interruption de l’externalisation tierce (utilisation du cloud Microsoft) sur ce processus. Un bon exemple de test est abordé dans l’article 26 Test des plans de continuité d’activité tic du projet de DORA RTS sur les outils de gestion des risques TIC processus et politiques.
Il existe un aspect de la responsabilité partagée à cet égard, et notre vue d’ensemble de la résilience et de la continuité Microsoft aide les clients à se préparer aux scénarios d’urgence. Il fournit des conseils spécifiques pour chaque service cloud Microsoft, notamment la façon dont Microsoft gère la continuité de l’activité pour chaque service et des conseils sur la façon dont les clients peuvent tirer parti des services cloud Microsoft pour se préparer aux événements d’urgence.
La continuité d’activité doit être testée régulièrement par les sociétés financières lors de l’utilisation de Microsoft Cloud, car la responsabilité suit le modèle de responsabilité partagée. Pour les solutions SaaS telles que Microsoft 365 et pour certains services Azure, Microsoft est responsable de l’exécution de ces tests à intervalles réguliers. Pour plus d’informations, les clients peuvent consulter le rapport trimestriel de validation du plan de continuité d’activité et de récupération d’urgence de Microsoft que Microsoft publie sur son portail d’approbation de services sous la section Continuité d’activité et récupération d’urgence pour plus d’informations sur les performances de certains services cloud Microsoft.
Étape 6 : Préparer les plans de sortie
Certains scénarios de menace ne peuvent pas être gérés avec des plans de continuité d’activité ou des mesures de résilience technique, comme le risque de faillite ou de résolution du fournisseur tiers. Un plan de sortie a l’avantage de faire face à de tels scénarios catastrophiques et doit être considéré comme complémentaire d’avoir testé des plans de continuité d’activité.
C’est pourquoi chaque organization devrait avoir une stratégie de sortie globale et des plans de sortie individuels pour ses cas d’usage critiques, car cela est ancré dans plusieurs règlements et directives futures.
La section 3.7 de la consultation du CSF du 23 juin fournit des conseils utiles indiquant des éléments d’une stratégie de sortie et des plans de sortie tels que (i) convenir contractuellement de périodes de transition afin de réduire au minimum le risque de perturbation ; (ii) veiller à ce que les biens logiques et physiques, y compris les données et les applications, soient retournés de manière rentable et en temps voulu et (iii) disposer de dispositions contractuelles relatives à la propriété, à la maintenance, à la conservation et à la disponibilité à long terme des enregistrements, le cas échéant.
L’article 28 (8) de la DORA exige également que les entreprises élaborent des stratégies de sortie pour les services TIC qui prennent en charge des fonctions critiques ou importantes. De même, la déclaration de surveillance SS2/21 sur l’externalisation et la gestion des risques des tiers de mars 2021 de l’PRA du Royaume-Uni contient une description détaillée des exigences de planification des sorties dans la section 10 et présente également le concept de sorties stressées. Les entreprises financières de ces juridictions doivent évaluer ces lignes directrices et mettre en place des dispositions contractuelles adéquates qui peuvent soutenir l’exécution des présentes, pour instance en exigeant des périodes de transition obligatoires pendant lesquelles les fournisseurs de services tiers tic continuent à fournir les services pertinents (exemple : L’article 30.3.f de la DORA fait référence à l’établissement contractuel d’une période de transition obligatoire et adéquate).
Un document technique rédigé par la Fédération bancaire européenne en juin 2020 décrit quelques-unes des façons dont le test du plan de sortie peut être réalisé pour les institutions financières conformément aux lignes directrices de l’ABE.