Marc Andries, inspecteur Banque de France et chef de mission de l’Autorité de contrôle prudentiel et de résolution (ACPR)

« Le risque zéro n’existe pas »

le 03/04/2014 L'AGEFI Hebdo

Quelles sont les obligations des banques en matière de protection des données  de leurs clients ? C’est le règlement n°97-02 du CRBF du 21 février 1997 qui fixe le cadre à respecter par les établissements bancaires en matière de sécurité et de confidentialité des données. Même s’il a été complété depuis par toute une série de mesures adaptées à chaque profil de risques, le régulateur a choisi de rester sur les grands principes. Il revient à l’APCR de veiller, à travers des contrôles ciblés, à ce que les mesures prises correspondent à la réalité des risques auxquels les banques doivent faire face. Sur quoi portent les contrôles de l’ACPR en matière de sécurité ? Jusqu'à présent, nos attentes ont principalement porté sur la sécurité de l'environnement de la banque, mais nous étendons de plus en plus cette préoccupation à la bonne sécurité de l'environnement du client. Pour le système d’information de la banque, nous vérifions que les données sensibles sont correctement identifiées. Nous analysons également les mesures de protection prises pour lutter contre les risques de fraudes internes et externes à travers des mesures de chiffrement des données ou de limitation des droits d'accès aux données sensibles. Nous nous assurons en outre que la banque effectue régulièrement des tests d'intrusion et qu'elle prend bien en compte les recommandations formulées à l’issue de ces tests. Quel regard portez-vous sur l'efficacité des dispositifs de sécurité mis en place par les banques ? Les grandes banques ont aujourd’hui parfaitement pris conscience des risques et engagé des mesures de protection globalement satisfaisantes. Mais la difficulté en matière de sécurité, c'est que le risque zéro n’existe pas, et qu'il faut donc rester en permanence à un niveau de vigilance élevé. Ce qui suppose de mobiliser énormément de ressources.

A lire aussi