Risques lis aux systmes informatiques

et de tlcommunications
(Juillet 1989)

La vitesse de linnovation technologique lie aux ordinateurs et aux tlcommunications, ces

dernires annes, et lintgration doprations automatises rendent les banques de plus en plus
dpendantes de la fiabilit et de la continuit de leurs systmes informatiques.
Les banques ont toujours t exposes des risques tels querreurs et fraudes, mais leur importance
et la rapidit avec laquelle ils peuvent survenir se sont modifies de manire spectaculaire. En outre,
avec des systmes de rglement informatiss, les relations de crdit interbancaires couvrent
dsormais le monde entier sous forme de rseaux interconnects. partir du moment o une banque
est dans lincapacit de faire face ses obligations de paiement, du fait de difficults propres aux
systmes, dune dfaillance ou dautres raisons, les prts accords par des tablissements cranciers
cette banque se transforment en crances douteuses, et la dfaillance se propage, par raction en
chane, tout le systme, menaant dinvestir et de paralyser lensemble du systme de rglement.
Les types de risques qui caractrisent un environnement informatique et les procdures de scurit et
de contrle ncessaires requirent toute lattention des autorits de surveillance. On examinera ici les
catgories suivantes de risques: diffusion non autorise dinformations, erreurs, fraudes, interruption
de lactivit par suite dune dfaillance du matriel ou du logiciel, planification inefficace et risques lis
aux oprations dinformatique individuelle.
Le prsent document est un outil de rfrence labor lintention des autorits de contrle dans un
vaste domaine dactivit. Il nest pas conu comme un document technique pour des experts en la
matire et sefforce plutt de mettre laccent sur les principaux problmes devant retenir lattention des
autorits de contrle.

Diffusion non autorise dinformations

La plupart des informations bancaires sont cres par traitement informatique ou lies directement
ce dernier. Les donnes et documents sont gnralement achemins lintrieur dune banque ou
entre une banque et ses correspondants et clients par des rseaux publics de communication (lignes
tlphoniques et satellites, par exemple). Un grand nombre dusagers, dont les employs et clients
des banques, peuvent accder directement ces informations par lintermdiaire de terminaux et de
tlphones informatiques. Tout en amliorant les services la clientle et les oprations internes, ces
activits ont accru les risques derreur et dutilisation abusive des informations des banques.
Une grande partie de ces informations sont confidentielles; elles pourraient nuire aux relations avec la
clientle ainsi qu la rputation de ltablissement et entraner des demandes de dommages et
intrts si elles tombaient entre de mauvaises mains. On peut citer parmi ces informations les soldes
des comptes privs, les plafonds des dcouverts et les modalits dexcution des oprations. La
cration et le stockage de la correspondance et des stratgies bancaires seffectuent galement par
traitement de texte. Le danger particulier que reprsente la divulgation dinformations confidentielles
avec les systmes informatiques, par rapport aux systmes manuels, rside dans le fait que lon peut
prlever plus facilement, et sous une forme pouvant tre traite par ordinateur (telles que copies sur
bande ou disquette), une quantit beaucoup plus importante dinformations et que laccs non
autoris peut intervenir sans laisser de traces.
Il convient donc de mettre en place des procdures adquates de scurit et de contrle pour
protger la banque. Cest en fonction du degr de risque encouru par ltablissement et de lincidence
des pertes (ou de la diffusion non autorise dinformations) quil faut fixer le niveau de contrle requis.
Les contrles techniques effectus aux fins de la scurit de linformation pourraient inclure: le
chiffrement, processus par lequel le texte en clair est converti en une srie de symboles dnus de

sens; lutilisation de codes dauthentification des messages, qui protgent contre toute altration non
autorise les transactions lectroniques de donnes au cours de la transmission ou du stockage;
enfin, le recours du logiciel dapplication de mesures de scurit, en vue de restreindre laccs aux
donnes, fichiers, programmes, utilitaires et commandes de systmes informatiques. De tels
systmes permettent de contrler laccs par utilisateur, par transaction et par terminal. Les violations
ou tentatives de violation de la scurit doivent tre signales.

Erreurs
Les erreurs se produisent en gnral lors de lentre des donnes ainsi que durant le dveloppement
et la modification des programmes. Des erreurs importantes peuvent galement se glisser au cours de
la conception des systmes, des procdures routinires de gestion des systmes et de lutilisation de
programmes spciaux destins corriger dautres erreurs. Les erreurs sont habituellement imputables
une dfaillance humaine, et trs rarement aux composants lectroniques ou mcaniques internes.
Elles peuvent aussi tre introduites dans les programmes de logiciel lorsque ces derniers sont
personnaliss et adapts aux besoins dun utilisateur particulier. Il faudrait veiller, lors de
lacquisition de programmes de logiciel standards, limiter les modifications un strict minimum.

Fraudes
Les flux de donnes bancaires reprsentent des actifs ou des instructions qui donnent lieu finalement
un dplacement dactifs. La vitesse avec laquelle les actifs peuvent tre transfrs par les systmes
lectroniques de paiement et de commutation de messages complique le contrle interne. Les fraudes
russies ne se traduisent pas seulement par une perte financire directe pour ltablissement; elles
portent aussi atteinte, lorsque les mdias en prennent connaissance, la confiance place dans
ltablissement et le systme bancaire en gnral. Vu les nombreuses possibilits daccs aux
documents informatiques, les risques de fraude sont multiples. En voici quelques exemples:

introduction de transactions non autorises dans le systme informatique;

modification non autorise des programmes lors doprations courantes de dveloppement

et de maintenance, de sorte que ceux-ci risquent dengendrer automatiquement des
transactions frauduleuses, de ne pas tenir compte des tests de contrle effectus sur
certains comptes ou dliminer lenregistrement de transactions spcifiques;

utilisation de programmes spciaux pour modifier sans autorisation des documents

informatiques en contournant les dispositifs normaux de contrle et les pistes de vrification
intgrs dans les systmes informatiques;

extraction physique des fichiers dun ordinateur, qui seront modifis ailleurs par insertion de
transactions ou de soldes frauduleux avant dtre remis en place pour le traitement;

introduction ou interception aux fins de leur modification de transactions lors de leur

transmission par lintermdiaire des rseaux de tlcommunications.

lheure actuelle, on assiste la mise en place de nouvelles formes de paiement qui permettent
des tiers dinitier des paiements au moyen dun quipement lectronique. La probabilit de voir se
produire certains de ces types de fraudes par le biais dun accs non autoris aux systmes de
tlcommunications sen trouve accrue.
La plupart des systmes bancaires comportent des dispositifs de contrle et fournissent des
informations destines faciliter la prvention ou la dtection de ces types de fraudes. Toutefois, ces
informations courent, elles aussi, le risque dtre manipules par des personnes ayant accs aux
terminaux ou aux fichiers informatiques.
Pour mettre sur pied des systmes de contrle interne efficaces, il est essentiel de dterminer tous les
points vulnrables de chaque systme. Les programmes et enregistrements sensibles doivent tre
protgs tout spcialement contre des modifications non autorises. Il faut galement veiller donner

une formation adquate au personnel uvrant dans les domaines sensibles et rpartir
convenablement les tches.

Interruption dactivit par suite dune dfaillance du matriel ou du logiciel

Les systmes informatiques sont constitus, au niveau du matriel comme du logiciel, de multiples
lments et la dfaillance de lun dentre eux suffit pour bloquer tout le systme. Ces lments sont
souvent concentrs en un seul ou en un nombre limit dendroits, ce qui en accrot la vulnrabilit.
Le remde classique contre une panne du systme consistait auparavant revenir aux procds
manuels que le systme informatique avait remplacs. Dans la plupart des cas, cette faon de
procder nest plus raliste et peu de banques pourraient fonctionner sans systmes informatiques. Le
traitement et la fourniture de linformation au moyen dune technologie amliore ont accru la
dpendance des utilisateurs lgard de la disponibilit et de la fiabilit des systmes automatiss. La
disponibilit continue du systme dinformation dune banque fait partie intgrante dune prise de
dcisions efficace.
Lorsque les systmes informatiques sont hors dusage, les effets prjudiciables qui en rsultent pour
les services bancaires en temps rel aux clients sont immdiats et prennent rapidement des
proportions alarmantes. Les retards saccumulent et, si la dfaillance dure plusieurs heures, leur
limination peut durer des jours entiers. Ces effets sont particulirement dvastateurs dans le cas des
systmes lectroniques et de paiement, ceux notamment qui garantissent un rglement le jour mme,
lorsque les bnficiaires sont tributaires de la rception de fonds pour faire face leurs engagements.
Les cots engendrs par une panne srieuse des systmes peuvent dpasser de loin les frais de
remplacement du matriel, des donnes ou du logiciel endommags.
Lexistence de plans de secours efficaces peut permettre aux utilisateurs de rduire lincidence des
problmes dexploitation de ce genre. Ces plans devraient prolonger le systme de contrle interne et
de scurit physique dune banque. Ils devraient comporter des dispositions pour la poursuite de
lactivit et des procdures de relance en cas dinterruption ou de non-fonctionnement des systmes,
cest--dire un dispositif de sauvegarde, sis hors du lieu dinstallation, des fichiers sensibles, du
logiciel et du matriel, ainsi que des procdures de remplacement du traitement de linformation. Les
plans de secours devraient tre tests priodiquement pour sassurer que leur efficacit demeure
intacte. Une banque qui sen remet des services informatiques externes pour le traitement de ses
donnes devrait veiller ce que les plans de secours de ces services compltent les siens.

Planification inefficace
Une saine planification est dune importance capitale. Lefficacit et la qualit des services bancaires
sont dsormais tellement tributaires des systmes informatiques que toute dfaillance dans la
planification ou le dveloppement de nouveaux systmes peut avoir de svres consquences
commerciales. Toute dfaillance dans linstallation de nouveaux systmes et la fourniture de
nouveaux services peut pnaliser lourdement une banque par rapport ses concurrents. Inversement,
linformatisation outrance, dans les cas notamment o les avantages sont faibles, sest souvent
rvle errone du point de vue des cots.
Quelques tablissements financiers ont rencontr de srieux problmes en essayant dintroduire des
systmes financiers hautement intgrs. Un systme de logiciel intgr est une structure dans
laquelle les programmes concernant diffrentes applications prts, dpts, clientle de particuliers
ou de grandes entreprises qui sont conus et exploits normalement de manire autonome sont
labors ds le dpart dans le cadre dune structure globale. Cette approche vise accrotre la
disponibilit relle de linformation, amliorer lefficacit de lexploitation et faciliter limplantation de
nouveaux produits. Dans certains cas, le cot, le temps et les ressources en personnel ncessaires
pour assurer le succs dune installation de systmes intgrs ont t sous-estims. Des projets
dvelopps pendant de nombreuses annes ont d tre abandonns avec des cots normes.
tant donn la complexit des systmes informatiques et leur incidence sur lensemble de
lorganisation, il importe que la direction sengage assurer le succs de chaque projet. Elle devrait

attacher une grande attention la planification (stratgique) long terme des systmes informatiques,
lquipement, au logiciel, aux tudes de faisabilit, la dtermination des spcifications des
systmes, au choix des fournisseurs et la conduite du projet.

Risques lis linformatique individuelle

Les ordinateurs personnels, micro-ordinateurs et quipements informatiques mis la disposition de
lutilisateur final ont jou jusqu une date rcente un rle relativement minime dans le traitement
informatique central. lheure actuelle, compte tenu des avantages techniques, de la rapidit et du
rapport cot/bnfice de linformatique individuelle, le recours ces quipements sest
considrablement renforc; linformatique individuelle prend ainsi son compte une partie du
traitement des donnes relevant du contrle centralis. Les risques informatiques touchent maintenant
de nouveaux domaines bancaires et, dans bien des cas, ces activits nont fait lobjet daucune
mesure de contrle ou de surveillance. La question la plus proccupante propos de linformatique
individuelle est que la mise en place des contrles ne sest pas faite au mme rythme que le
dveloppement de ces nouveaux rseaux de fourniture et de traitement des informations.
Les risques sont gnralement les mmes que ceux lis aux units centrales, mais il faut accorder
une attention particulire lventualit dune altration ou dune perte de donnes ou de logiciel
susceptible dentraver le fonctionnement efficace de tout le rseau dexploitation de ltablissement.
Les micro-ordinateurs sont utiliss aujourdhui non seulement pour le traitement de texte, mais aussi
en tant que terminaux de communication avec dautres ordinateurs et dautres processeurs
autonomes. Comme ces systmes sont, le plus souvent, extrmement personnaliss et indpendants,
une seule personne tant souvent charge du dveloppement, des tests, de la ralisation et de
lexploitation dun jeu de programmes, on voit saccrotre la possibilit dun recours des procdures
et des mthodes de traitement de donnes diffrentes et incompatibles avec les normes adoptes
par ailleurs dans ltablissement.

Tches des responsables

Cest aux dirigeants de ltablissement quil incombe de veiller ce que les activits soient protges
efficacement contre les risques mentionns prcdemment. Il convient en premier lieu dinstaurer des
mesures prventives adquates, destines rduire au minimum la probabilit dune apparition de
ces problmes. Au nombre de ces mesures figurent une conception et une localisation minutieuses
des centres informatiques, la mise en place de contrles pour la saisie des donnes et de dispositifs
de scurit visant prvenir laccs non autoris lquipement informatique, ainsi que lutilisation de
mots de passe pour limiter laccs aux programmes et aux donnes.
Comme une action prventive ne peut jamais tre totalement efficace, il est ncessaire que les
responsables mettent galement au point des systmes de mesures correctives. Celles-ci doivent
viser dceler et limiter les effets sur lactivit dvnements qui chappent au contrle prventif et
menacent les oprations des banques. Elles doivent comprendre un doublement des capacits des
rseaux de tlcommunications et dordinateurs pour faire face au risque de panne ainsi que des
procdures de rapprochement destines dtecter les erreurs et des plans de secours pour les
catastrophes de grande ampleur. En outre, toute politique informatique soigneusement labore
devrait comporter une assurance contre les pertes lies aux fraudes des employs, aux cots de
remplacement des donnes et la destruction de logiciel ou de matriel.

Audit interne
Il appartient galement aux dirigeants et administrateurs de revoir, surveiller et tester les systmes de
contrle informatique pour sassurer de leur efficacit quotidienne et de leur utilit du point de vue de
lactivit de ltablissement. Il est ncessaire de mettre en place un programme rgulier de tests
indpendants des procdures de scurit et de contrle par des inspecteurs, des auditeurs ou des

consultants. Ce programme devrait permettre de dceler les insuffisances des contrles avant quelles
ne compromettent srieusement les oprations bancaires. La frquence et limportance des tests
daudit raliss dans tout secteur doivent reflter le risque auquel les banques sont exposes si les
procdures de scurit et de contrle se rvlent dfaillantes.

Rle des autorits de contrle

Du point de vue des autorits de contrle, il est ncessaire dvaluer tant la pertinence de la politique
suivie par un tablissement en matire informatique que lefficacit de son systme de contrle et
daudit informatiques internes. Lun des moyens dont elles disposent pour sacquitter de cette tche
est dvaluer la situation par le biais de questionnaires ou de rapports, mais ces fonctions relvent le
plus souvent de la comptence des inspecteurs et auditeurs externes. Un simple questionnaire ou
rapport permet habituellement de donner des indications prliminaires aux autorits de contrle, mais
ne peut tre considr comme un substitut lanalyse dtaille de spcialistes de la scurit ou de
laudit informatiques. Le sujet est techniquement complexe et, dans chaque banque, les systmes et
le matriel prsentent des diffrences considrables en ce qui concerne les causes de perturbations
et les techniques de contrle mises en uvre.
Dans un domaine aussi spcialis, il serait particulirement utile que les autorits de contrle mettent
profit les comptences des auditeurs externes. Il faudrait les inciter consacrer les ressources
ncessaires cette partie de leurs responsabilits.
Les banques devraient attirer lattention des auditeurs externes sur cette question, en insrant dans la
lettre dengagement une clause stipulant que lauditeur externe value priodiquement la solidit des
procdures informatiques qui sont vitales pour les activits de ltablissement ainsi que lefficacit des
contrles informatiques internes. Par ailleurs, les auditeurs externes devraient mentionner, dans leur
compte rendu annuel aux dirigeants, les insuffisances et imperfections quils ont dceles au cours de
lexamen effectu dans ce domaine particulier.
Si les autorits de contrle sacquittent de leur tche essentiellement par le biais dinspections sur
place, les inspecteurs procdent galement des interviews, lexamen de la documentation et des
tests au hasard. Nanmoins, il leur sera sans doute difficile, du fait de leur nombre restreint ou de la
limitation de leurs qualifications, sans parler des contraintes budgtaires et autres, de suivre
lvolution des nouveaux systmes informatiques. Il est indispensable aujourdhui que le corps
dinspecteurs comprenne des spcialistes en informatique, dont la formation corresponde au degr de
perfectionnement des systmes des banques soumises inspection.
Tant les inspecteurs que les auditeurs utilisent normalement pour leur travail dans le domaine
informatique des aide-mmoire ou des guides de rfrence labors par les autorits de contrle avec
lassistance dinstitutions spcialises; ces outils se rvlent extrmement prcieux.